Trojaner-Board - wsnpoem und ntos.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - wsnpoem und ntos.exe (https://www.trojaner-board.de/63071-wsnpoem-ntos-exe.html)

wsnpoem und ntos.exe

Hey ihr Fachkundigen!

Ich habe folgendes Problem:

Der "Spyware Doctor" meldet mir folgenden Fund: "Trojan-Spy.Zbot (1 Infizierung)" mit dem Pfad C:\WINDOWS\SYSTEM32\wsnpoem\

Löschen/Reparieren kann ich ihn damit leider nicht, da nur ne Testversion.
Im Windows-Explorer find ich die Datei nicht...

Andere SpyWare-Finder finden ihn nicht. Ich habe dann (auf Anraten einiger Foren) den McAfeeRootkitDetective und Rootkit Buster ausprobiert, die finden alles, aber auch ihn nicht.

Hab den Windows-Ordner durch Avira AntiVir gejagt, auch da wird nix gefunden.

System: Windows XP, SP2

Kann mir da vielleicht jemand weiterhelfen?
Vielen, vielen dank!

Hallo,

hier hast du eine klare und deutliche Antwort => Neuaufsetzen
Erstell aber bitte noch ein HijackThis Logfile und bevor du dich ans Eingemachte begibst, führe das Tool aus:

Lade dir bitte mbr detector herunter und führe ihn aus.
Poste das Ergebnis dann hier.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:41:45, on 28.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 6597 bytes

Anhand des Logfiles kann ich nicht erkennen, das du jemals mit ZBot infiziert warst bzw. bist, nur das dein System uralt ist:

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Das hier wird mehr Aufklärung bringen:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

==============================

Dir soll trotzdem im Klaren bleiben, dass nur ein Neuaufsetzen zum 100% vertrauenswürdigem System bei einer ZBot-Infektion führt.

Das Prog fragt mich, ob er eine Bootdisk erstellen soll. Brauch ich die, wenn ich über die Windows Recovery CD verfüge?

Nein, einfach das machen, was in der Anleitung steht.
Nicht mehr und nicht weniger. ;)

ok, dann bis in, ähm, 20min? ;)

OK, das ist dabei rausgekommen. Das Problem ist nur, dass ich das Ding 2mal gestartet hab, der erste eintrag also flöten gegangen ist. Beim ersten Durchlauf zeigte mir das Programm aber folgendes an:

Gelöschte Datein (oder so ähnlich)
C:\...\wsnpoem.exe
C:\...\dao_(irgendne Zahl).dll

Ich hoffe, das macht die Auswertung trotzallem noch möglich... :schmoll:

ComboFix 08-10-27.05 - *** 2008-10-28 13:49:05.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.289 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***.***-GQ363NS77U\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-28 bis 2008-10-28 ))))))))))))))))))))))))))))))
.

2008-10-28 13:40 . 2008-10-28 13:40 <DIR> d-------- C:\Programme\CCleaner
2008-10-27 23:13 . 2008-10-27 23:13 <DIR> d-------- C:\Programme\Trend Micro
2008-10-27 22:34 . 2008-10-27 22:34 142,096 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-10-27 22:13 . 2008-10-27 22:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Kaspersky Lab Setup Files
2008-10-27 22:00 . 2008-10-27 22:00 260 --a------ C:\WINDOWS\system32\ikhcore.cfg
2008-10-27 20:01 . 2008-10-27 20:06 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-10-27 16:41 . 2008-10-27 16:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Lavasoft
2008-10-27 16:34 . 2008-10-27 16:37 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-27 16:34 . 2008-10-28 13:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-10-27 16:24 . 2008-10-28 12:55 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-10-27 16:24 . 2008-08-25 12:36 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-10-27 16:24 . 2008-08-25 12:36 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-10-27 16:24 . 2008-08-25 12:36 40,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-10-27 16:24 . 2008-06-02 16:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-10-27 16:23 . 2008-10-27 16:27 <DIR> d-------- C:\Programme\Spyware Doctor
2008-10-27 16:23 . 2008-10-27 16:23 <DIR> d-------- C:\Dokumente und Einstellungen\***.***-GQ363NS77U\Anwendungsdaten\PC Tools
2008-10-13 18:59 . 2008-10-14 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec
2008-10-09 19:20 . 2008-10-09 19:20 32 --a------ C:\WINDOWS\Menu.INI
2008-10-05 17:38 . 2008-10-10 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\***.***-GQ363NS77U\Anwendungsdaten\skypePM
2008-10-05 17:38 . 2008-10-05 17:38 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-10-05 17:35 . 2008-10-16 20:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
2008-09-30 20:25 . 2008-10-27 22:49 <DIR> d-------- C:\Programme\WhatsRunning
2008-09-29 18:16 . 2008-09-29 18:16 <DIR> d-------- C:\Dokumente und Einstellungen\***.***-GQ363NS77U\Anwendungsdaten\Thunderbird

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-27 15:41 --------- d-----w C:\Programme\Lavasoft
2008-10-27 15:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-27 12:49 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Google Updater
2008-10-16 19:25 --------- d-----w C:\Programme\OpenOffice.org 2.3
2008-10-16 19:23 --------- d-----w C:\Programme\Nebenkosten easy
2008-10-16 19:17 --------- d-----w C:\Programme\ICQToolbar
2008-10-16 19:17 --------- d-----w C:\Programme\Google
2008-10-16 19:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-10-14 18:07 --------- d-----w C:\Programme\Norton AntiVirus
2008-10-09 18:46 --------- d-----w C:\Programme\WLAN Quick Starter
2008-10-08 18:49 --------- d-----w C:\Programme\WLAN Monitor
2008-10-04 17:45 --------- d-----w C:\Dokumente und Einstellungen\***.***-GQ363NS77U\Anwendungsdaten\OpenOffice.org2
2008-09-28 16:22 --------- d-----w C:\Dokumente und Einstellungen\***.***-GQ363NS77U\Anwendungsdaten\Canon
2008-09-23 15:40 --------- d-----w C:\Programme\ICQ6
2008-09-01 10:08 --------- d-----w C:\Dokumente und Einstellungen\***.***-GQ363NS77U\Anwendungsdaten\gtk-2.0
2008-08-14 11:42 0 ----a-w C:\Dokumente und Einstellungen\***.***-GQ363NS77U\jagex_runescape_preferences.dat
2007-06-22 14:50 35,268 ----a-w C:\Programme\Piranha.RPT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 15360]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-05 68856]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"ATIPTA"="C:\ATI-CPanel\atiptaxx.exe" [2003-02-06 315392]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-08-25 1168264]
"ATIModeChange"="Ati2mdxx.exe" [2003-03-05 C:\WINDOWS\system32\Ati2mdxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-03-27 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 15360]

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 01:38 34672 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 10:39 486856 C:\Programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2006-10-17 02:20 398944 C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 15:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-09-05 15:51 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vspdfprsrv.exe]
--a------ 2007-08-08 05:43 966656 C:\Programme\Visagesoft\eXPert PDF 5\vspdfprsrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

R1 SSHDRV65;SSHDRV65;C:\WINDOWS\system32\drivers\SSHDRV65.sys [2008-04-25 120320]
R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 147456]
S3 jgameenp;jgameenp;C:\DOKUME~1\***~1.ANJ\LOKALE~1\Temp\jgameenp.sys [ ]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***.***-GQ363NS77U\Anwendungsdaten\Mozilla\Firefox\Profiles\j5kpt81l.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de
FF -: plugin - C:\Programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-28 13:50:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-28 13:52:45
ComboFix-quarantined-files.txt 2008-10-28 12:52:32
ComboFix2.txt 2008-10-28 12:36:17

Vor Suchlauf: 41 Verzeichnis(se), 50.297.815.040 Bytes frei
Nach Suchlauf: 41 Verzeichnis(se), 50,287,890,432 Bytes frei

123

Hallöle.

Wie kamst du eigentlich auf die ntos.exe?

Wenn CF die wsnpoem.exe gefunden hat dann darfst du formatieren..

Neuaufsetzen und Ändern sämtlicher Passwörter und Zugangsdaten, jede Bereinigung wäre sinnfrei.
Dein System ist kompromittiert.

Verdammt...

Habt ihr da noch einen Link für mich, welcher mich dabei ein wenig lotst? Ich kann mich noch erinneren, als ich es das letzte mal gemacht hab.
Wollte da auch meine FP formatieren, da kam beim Neuaufsetzen von XP iwann die Meldung Partition kann nicht gelöscht/formatiert werden.

Reicht es also aus, wenn ich die Recovery-CD (was naderes hab ich nicht) einlege und Windows XP neu installiere?

Nimm dir die Boardanleitung (ist bei dem Wort Neuaufsetzen verlinkt) zur Hand und druck schwierige Schritte ggf. aus.
So wird's dann auch klappen. ;)

Führ aber zuvor noch das mbr-Tool aus.

öhm, was kann denn das Tool? Hab nämlich ne Warnung von dem Spyware-detector bekommen, als ich es starten wollte...da war ich dann doch schon ein wenig skeptisch.

Und warum findet mein SpywareDoctor wsnpoem auf einmal nicht mehr?

Das Tool überprüft deinen MBR auf Rootkits, wie den berüchtigten Sinowal.
Am besten ist, wenn du in Zukunft auf das ganze Spyware-Gelumpe verzichtest. ;)

Ok, das Recovery-Board hab ich gerade mal kurz durchstöbert.

"Nachdem Sie dem Vetrag zugestimmt haben, können Sie Ihre Festplatte partitionieren, also aufteilen (eventuell erkennt das Installationsprogramm eine bereits vorhandene Installation, es wird ein weiterer Dialog angezeigt, bei dem Sie die Installation reparieren könnten, was wir allerdings nicht tun möchten). Haben Sie die Festplatte bereits partitioniert, wählen Sie die Partition aus, auf der Sie Windows installieren möchten und bestätigen Sie mit Enter. Ist dort bereits Windows installiert, weil Sie den Computer neu aufsetzen möchten, müssen Sie nochmals mit I bestätigen.
Wenn die Festplatte noch nicht partitioniert ist, drücken Sie E, um eine Partition zu erstellen, und weisen der neuen Partition im nächsten Schritt ihre Größe in MB zu. Optimal wären hier 10000-12000 Megabyte. Nachdem Sie mit Enter bestätigt haben, gelangen Sie wieder zurück zur Partitionsübersicht. Wählen Sie die neue Partition hier aus und drücken Sie dann Enter. Zuvor können Sie auch noch mehrere andere Partitionen erstellen, bzw. alte löschen. Wenn Sie eine Partition löschen, gehen alle auf ihr gespeicherten Daten verloren!"

Genau das ging beim letzten mal eben nicht. Deshalb konnte ich damals auch nicht wirklich formatieren...Das komische war aber, das manche Ordner nachher leer waren, manche nicht... Ich konnte einfach keine neue Partition erstellen.
Vielleicht, weil die 1 Partition (c:) bereits die gesamte Kapzität der Festplatte beansprucht hat???

Und wenn das nicht funktioniert, bringt es ja nichts, das system neu aufzusetzen, oder?

Wenn es nicht gehen sollte, kannst du immer noch Tabula Rasa mit DBAN machen.

mmh... also erstmal daten sichern...

Wie kann ich mich denn in Zukunft vor solchem Mist schützen? Ich kann doch nicht jeden Monat mein System aufsetzen...

Und kann ich jetzt etwas ganz verkehrt machen? Sodass ich meinen PC wegwerfen kann? Also irgendwelche Sachen löschen, mit denen ich nie wieder Windows draufspielen kann?

Zitat:

Und kann ich jetzt etwas ganz verkehrt machen? Sodass ich meinen PC wegwerfen kann? Also irgendwelche Sachen löschen, mit denen ich nie wieder Windows draufspielen kann?

Nö, außer du gehst mit dem Magnet an deine HDD ran. ;)

Für die Zukunft, dass solche Infektionen unterbunden werden => Sicher ins Netz

Gut, und wie sieht es aus mit Firewall, AntiVirenProgrammen etc? Irgendwelche Empfehlungen?

Windows XP Firewall und eine kostenlose Virenklingel wie Avira reichen vollkommen (Router ist heutzutage Pflicht!)

Gegem Adware, etc. hat sich SuperAntiSpyware und MalwareBytes für das gelegentliche Scannen sehr bewährt.

mbr kann ich leider nicht nutzen, da keine win32 anwendung...

Komisch, sie sollte normal gehn.
Wenn du Zeit hast, kannst du den MBR sicherheitshalber manuell überschreiben:

Code:

Gehen Sie folgendermaßen vor, um die Wiederherstellungskonsole von der Windows XP-Startdiskette oder der Windows XP-CD-ROM zu starten:

1. Legen Sie die Windows XP-Startdiskette in das Diskettenlaufwerk ein, oder legen Sie die Windows XP-CD-ROM in das CD-ROM-Laufwerk ein, und starten Sie den Computer anschließend erneut.
 

Wenn Sie dazu aufgefordert werden, wählen Sie alle Optionen aus, die für einen Start des Computers von CD-ROM erforderlich sind.

2. Wenn die Willkommensseite angezeigt wird, starten Sie mit der Taste [R] die Wiederherstellungskonsole.

3. Wählen Sie die Installation aus, auf die Sie von der Wiederherstellungskonsole aus zugreifen möchten, falls Sie über ein Dual-Boot- oder Multiple-Boot-System verfügen.

4. Geben Sie das Administratorkennwort ein, wenn Sie dazu aufgefordert werden. Wenn es sich bei dem Administratorkennwort um ein leeres Kennwort handelt, drücken Sie einfach die [EINGABETASTE].

5. Geben Sie an der Eingabeaufforderung die erforderlichen Befehle ein, um Ihre Windows XP-Installation zu diagnostizieren und zu reparieren.
 

fixmbr \device\harddiskX       X = 0,1,2, ...

Also, hab meine Festplatte partitioniert, und dann alles formatiert. Auf der einen ist nur Windows.

Auf die andere kommen die Programme. So kann alles ich im Notfall besser handlen...

Avira ist drauf, SP2 drin, bald SP3, wenn es sicherer wird. Gibt da anscheinend noch recht viele Probleme damit.

Sonst noch Tipps außer täglich zum Anti-Viren-Gott beten? ;)

Zitat:

Sonst noch Tipps außer täglich zum Anti-Viren-Gott beten?

:lach:
Am besten ein Konto mit eingeschränkten Rechten einrichten und mit diesem im World Wide Web surfen. ;)

Ich bin zu sehr auf der Seite der Noobs, um deine Äußerung als Ironie oder ernst gemeinten Hinweis deuten zu können. :schmoll:

Nein nein, das war schon ernst gemeint. :)

und was heißt das im speziellen? :confused:

Das du nicht mit Adminrechten im Internet rumbrausen solltest, sondern mit einem eingeschränktem Konto. :)

Achso...!!! *licht aufgeh*

Da richte ich das ein, vielen Dank!

Und vielen Dank nochmal für deine Hilfe!!! :party:

Kein Problem,

gern geschehen. :party: