Verschiedene Trojaner, Würmer, Dropper (im Thread aufgelistet)

#1 Hallo miteinander,

Antivir bringt mir alle paar Sekunden verschiedene Meldungen über Würmer etc. Hab sie unten aufgelistet, vielleicht kann mir jemand helfen, ich hab null Ahnung von dem Mist. Vielleicht ohne das ganze System zu plätten? Wäre schön,

Drchili

03.02.2005,11:16:16 [WARNUNG] Enthält Signatur des Droppers DR/Bridge.A.2!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP56\A0008724.DLL
03.02.2005,11:19:30 [WARNUNG] Ist das Trojanische Pferd TR/DNet.Drop.2!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP56\A0008725.EXE
03.02.2005,11:21:33 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Krepper.3!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP56\A0008733.EXE
03.02.2005,11:21:34 [WARNUNG] Enthält Signatur des Wurmes Worm/Doep.A!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP54\A0008392.DLL
03.02.2005,11:21:36 [WARNUNG] Enthält Signatur des Wurmes Worm/Doep.A!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP53\A0008301.DLL
03.02.2005,11:21:37 [WARNUNG] Enthält Signatur des Droppers DR/180Solutions!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP53\A0008304.EXE
03.02.2005,11:21:38 [WARNUNG] Ist das Trojanische Pferd TR/HideRun.A.7!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP36\A0006203.EXE
03.02.2005,11:21:43 [WARNUNG] Ist das Trojanische Pferd TR/Drop.Delf.DJ.2!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP26\A0005592.EXE
03.02.2005,11:22:53 [WARNUNG] Enthält Signatur des Droppers DR/Bridge.A.2!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8D724808-CFA6-4AA4-840C-0C563876F0AB}\RP56\A0008724.DLL

#2 Die Infektionen liegen alle unter C:\SYSTEM VOLUME INFORMATION\_RESTORE...
diese Verzeichnisse sind für die Systemwiederherstellung verantwortlich. Dein aktuelles System scheint also nicht betroffen zu sein.

Deaktiviere also zunächst die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften).

Reboote dein System bei deaktivierter Wiederherstellung und lasse nochmal neu scannen. Zur Sicherheit arbeiten wir dann das ganze Programm ab:

Lade folgende Programme herunter und update sie:

HijackThis
http://www.hijackthis.de/downloads/hijackthis_199.zip

AdAware
http://www.lavasoft.de/support/download/

Spybot S&D
http://www.safer-networking.org/de/download/index.html

eScan
http://www.mwti.net/antivirus/free_utilities.asp
edit: Tippfehler in der eScan-URL berichtigt

Deaktiviere den Virenwächter, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken) (DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig).
Starte eScan mit der mwav.exe. Das Programm wird sich im temp-Ordner extrahieren und automatisch starten, wenn du es frisch heruntergeladen hast sind die Viren-Definitionen aktuell und das manuelle Update nicht zwingend nötig. Setze im eScan alle Häkchen und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!). Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (komlpetter Pfad + Datei, sowie Art der Infektion!)
Virenwächter danach wieder aktivieren!

Erstelle danach ein HijackThis-Log und poste es mit den Ergebnissen von eScan ebenfalls hier.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#3 Na dann mal vielen Dank, Malkesh, für die nette Hilfe. Werd mich gleich an die Arbeit machen. Falls es Probleme gibt, schreib ich gern nochmal...

Chili

#4 Hier jetzt mein Logfile, escan hat nichts mehr gefunden...

Logfile of HijackThis v1.99.0
Scan saved at 16:40:06, on 03.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX04.869\HijackThis.exe
C:\Programme\Outlook Express\msimn.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5B652D3-F071-4975-B8B9-963FA3CB304E}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: eScan Server-Updater - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Sieht somit glaub ich ganz gut aus!
Danke Dir nochmal,

Drchili