Bitte um Eure Hilfe
 

Hallo zusammen, hoffe Ihr könnt einer totalen PC Niete helfen!

Hatte letzte Woche erstmals folgende Trojaner: Spy.KStaff.4 und 5
Ich benutze AntiVir, habe beide Dateien gelöscht, Spy.Kstaff 4 ist aber heute wieder aufgetaucht.

23.10.2004,16:32:26 [WARNUNG] Ist das Trojanische Pferd TR/Spy.KStaff.4!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F674807-7CE8-4B23-B7F1-A482D94D0E17}\RP86\A0022161.EXE
[INFO] Die Datei wurde gelöscht!

Ich finde auf C: auch keine "System Volume Information".
Befürchte dass der Trojaner wieder auftaucht, irgendwelche Ideen? Hab auch keine Ahnung was diese beiden Trojaner anrichten können?

Hier noch mein Hijack Log file, glaub auch, dass hier so einiges zu fixen ist, oder unnötig.

Danke Claudia

Logfile of HijackThis v1.98.2
Scan saved at 17:03:45, on 23.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Dit.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Samsung\Digimax Viewer 2.0\STImgBrowser.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\System32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Bilder\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at/portal
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunServicesOnce: [washindex] C:\Programme\Washer\washidx.exe
O4 - Global Startup: Digimax Viewer 2.0.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab27513.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{908F19CE-7863-4FD6-BA11-0F65202581D7}: NameServer = 195.3.96.67 195.3.96.68

Dein Log schaut sauber aus.

Scanne mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

SP2 von XP installieren!

Bin total verzweifelt, habe e-scan im abgesicherten Modus laufen lassen, hat gar kein Virus gefunden, war total happy, doch gerade eben ist wieder ein Trojaner aufgetaucht. Diesmal Spy.KStaff.1 wieder in der selben Datei, die ich gar nicht finde.

Kann mir jemand sagen, ob diese Trojaner gefährlich sind. Hijack Log so wie gestern, hab ich geprüft schaut sauber aus.

Irgendein Tip? Danke Claudia

Deaktiviere mal die Systemwiederherstellung, boote neu und aktiviere sie wieder:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Es handelt sich um einen Systemordner, der normalerweise versteckt ist und auch nicht ganz so einfach zu bearbeiten, durch die oben beschriebene Prozedur sollte er aber geleert werden inklusive des Virus.

So solltest du ihn dann sehen (den ordner):

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"