TR/Drp.Small.OW.2.A und keine Ahnung von Hijackthis

#0
17.08.2005, 03:43
...neu hier

Beiträge: 6
#1 Hallo
Hoffe es macht nichts aus wenn ich ein neues Thema eröffnet hab, aber bin auf nichts passendes gestoßen.
Habe kurzzeitig Firewall im Netz ausgeschalten und schon war es passiert....
Es sind gleich Pop-Ups erschienen und der Rechner meldet dass er infiziert ist.
Habe gleich Antivir installiert und Spybot. Spybot hat gleich 252 probleme gefunden von denen 6 garnicht entfernt werden konnten. Antivir hat haufen sachen gelöscht, jedoch kommt ein fenster immer wieder:


C:\WINDOWS\SYSTEM32\DSKRFUOUI.DLL
das Trojanische Pferd TR/Drp.Small.OW.2.A

Und da ich mich mit Logfiles und Hijackthis überhaupt nicht auskenn hoffe ich jemand kann mir helfen. Ich weiss nicht was ich tun soll...

Danke schonmal
Grüße
Seitenanfang Seitenende
17.08.2005, 03:52
Member
Avatar Gool

Beiträge: 4730
#2 Lade Dir HijackThis (HJT): http://virus-protect.org/hjtkurz.html
Dort ist auch eine Anleitung, wie Du ein HJT-Log machst.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
17.08.2005, 13:30
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo Managor,
Danke für eine so schnelle Antwort.
Habe Antivir und Spybot noch einige male durchlaufen lassen, aber kamen
teilweise die selben Trojaner wie gestern, die gehen anscheinend nicht weg.
Habe mir Hijackthis gezogen und hier ist mein aktuelles Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:25:30, on 17.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\msole32.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\Programme\Office Mouse\moffice.exe
D:\Programme\GuitarFX v2.18\uninstall.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Office Mouse\MOUSE32A.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\intmon.exe
D:\Programme2\Razor\Razor.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Spiele\Ultima Online 2D\Client_AOS_2D_V.4.0.0c.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Setup-Programme\EasyUO400c.exe
C:\Programme\Windows Media Player\wmplayer.exe
D:\HiJack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.cyberlink.com.tw/registration/registration1.asp?SoftWare=POWERDVD&Version_Num=2.55&Cd_Key=MV3746E799591493&Company=.&FName=SchwarzMetaller&Lang=Deu
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R3 - Default URLSearchHook is missing
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpA884.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\docntrop.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] D:\Programme\Office Mouse\moffice.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [uninstall] D:\Programme\GuitarFX v2.18\uninstall.exe
O4 - HKLM\..\Run: [teqq32] dePloy.exe
O4 - HKLM\..\Run: [bnui] new32.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [FLKPT] AliceSD.exe
O4 - HKCU\..\Run: [StatusCheck] 34763.exe
O4 - HKCU\..\Run: [progmen] new32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{06AE0893-E957-45E9-AF14-FAF678827E3A}: NameServer = 69.50.176.197,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{833ADFCB-219C-4778-925C-9B80DAF2C240}: NameServer = 69.50.176.197,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{06AE0893-E957-45E9-AF14-FAF678827E3A}: NameServer = 69.50.176.197,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{06AE0893-E957-45E9-AF14-FAF678827E3A}: NameServer = 69.50.176.197,195.225.176.31
O18 - Filter: text/html - {19F92F6E-2A2A-450B-873E-9117BE1C6C62} - C:\WINDOWS\System32\dskrfuoui.dll
O18 - Filter: text/plain - {19F92F6E-2A2A-450B-873E-9117BE1C6C62} - C:\WINDOWS\System32\dskrfuoui.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q11525578_disk.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

was für ein Chaos....*g*
danke nochmal
Grüße Germane
Seitenanfang Seitenende
17.08.2005, 13:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Germane

ich will dir antworten, da @Managor im Moment nicht da ist:

was haelst du von formatieren?
Eine Reinigung ist nicht zu empfehlen.(obwohl sie moeglich ist......)
http://virus-protect.org/kompsystem.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2005, 16:07
...neu hier

Themenstarter

Beiträge: 6
#5 Hi Sabina,
Danke für die Antwort.
Jedoch muss ich wenn ich formatier, ca. 150GM herunterbrennen...
Weiss nicht ob das einfacher ist.
Gruß Germane
Seitenanfang Seitenende
17.08.2005, 16:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 gehe in die Registry

Start-->Ausfuehren-->regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
loesche:
WareOut "DisplayName" = "WareOut"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
loesche:
WareOut "UninstallString" = "uninstall.exe

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.cyberlink.com.tw/registration/registration1.asp?SoftWare=POWERDVD&Version_Num=2.55&Cd_Key=MV3746E799591493&Company=.&FName=SchwarzMetaller&Lang=Deu
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R3 - Default URLSearchHook is missing
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpA884.tmp

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\docntrop.dll (file missing)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)

O4 - HKLM\..\Run: [uninstall] D:\Programme\GuitarFX v2.18\uninstall.exe
O4 - HKLM\..\Run: [teqq32] dePloy.exe
O4 - HKLM\..\Run: [bnui] new32.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [FLKPT] AliceSD.exe
O4 - HKCU\..\Run: [StatusCheck] 34763.exe
O4 - HKCU\..\Run: [progmen] new32.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{06AE0893-E957-45E9-AF14-FAF678827E3A}: NameServer = 69.50.176.197,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{833ADFCB-219C-4778-925C-9B80DAF2C240}: NameServer = 69.50.176.197,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{06AE0893-E957-45E9-AF14-FAF678827E3A}: NameServer = 69.50.176.197,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{06AE0893-E957-45E9-AF14-FAF678827E3A}: NameServer = 69.50.176.197,195.225.176.31
O18 - Filter: text/html - {19F92F6E-2A2A-450B-873E-9117BE1C6C62} - C:\WINDOWS\System32\dskrfuoui.dll
O18 - Filter: text/plain - {19F92F6E-2A2A-450B-873E-9117BE1C6C62} - C:\WINDOWS\System32\dskrfuoui.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q11525578_disk.dll (file missing)

PC neustarten

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

deinstallieren:

BearShare
WareOut

wieder im normalmodus.

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\SYSTEM32\DSKRFUOUI.DLL
C:\WINDOWS\System32\dskrfuoui.dll
C:\WINDOWS\q11525578_disk.dll
C:\Programme\WareOut\WareOut.exe
C:\Programme\WareOut\WareOutUpdate.exe
C:\Programme\WareOut
C:\WINDOWS\System32\docntrop.dll
C:\WINDOWS\System32\vpc32.exe
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\System32\hpA884.tmp
C:\WINDOWS\System32\intmon.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\msole32.exe

PC neustarten

Zitat

suche/loesche:
C:\Dokumente und Einstellungen\user\Anwendungsdaten\wo.tmp

C:\Programme\WareOut

* uninstall.exe (33,155 bytes)
* WareOut.exe (403,456 bytes)
* wareout.ico (4,286 bytes)
* WareOutUpdate.exe (416,256 bytes)
* warez.dat (10,381 bytes)wocount.exe (6,176 bytes)
* wover.dat (8 bytes)
* wotmp11.tmp (0 byte)
* sprmover.exe (3,201 bytes)
* woinst.exe (648,357 bytes)
* wosys32.dll (9,216 bytes)
smitRem TOOL (Entfernungstool)
Download: http://noahdfear.geekstogo.com/
öffne smitRem folder, Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Lade Ewido von dieser Seite -- im abgesicherten Modus scannen (poste mir das log vom Scan)
http://virus-protect.org/ewido.html

-----------

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

Start -- Ausführen -- reinschreiben : cmd -- DOS wird sich öffnen

einzeln in das schwarze DOS-Fenster reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

nun wird sich automatisch der Texteditor öffnen und alle Daten einzeigen, die sich auf dem PC befinden. Kopiere bitte nur die letzten 20 Tage raus.

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit


+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2005, 16:56
Member
Avatar Gool

Beiträge: 4730
#7 Allgemeiner Hinweis an Germane:

Um Daten zu sichern, besorge Dir ein Programm zur Partitionierung Deiner Festplatte (Partition Magic von Powerquest/Symantec bietet sich dazu an, da es einfach zu bedienen ist und auch nicht sehr teuer). Damit erstellst Du Dir aus der bestehenden Festplatte eine Systemfestplatte, auf der Windows läuft, auf die andere(n) Partition(en) kannst Du dann Deine Daten speichern/sichern.
Die Alternative wäre, eine zweite Festplatte in den Rechner einzubauen oder ein externes Backup-System zu verwenden (diese sind aber doch recht teuer, helfen jedoch bei einem Ausfall/Crash der Festplatte).

Die Festplatte während eines Virenbefalls zu partitionieren halte ich allerdings für nicht empfehlenswert, auch wenn der eigentlich Vorgang nicht direkt unter Windows ausgeführt wird. Also sollte erstmal gereinigt werden - halte Dich deshalb genau an Sabinas Anweisungen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
17.08.2005, 22:54
...neu hier

Themenstarter

Beiträge: 6
#8 Hallo
Oh mein Gott ich hab sowas zuvor nie gemacht.
Hoffe ich schaff es, ich fang mal an.
Seitenanfang Seitenende
17.08.2005, 23:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo@germane

Versuche es mal, arbeite alles Schritt fuer Schritt ab und poste alles, damit ich sehen kann, was los ist ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2005, 23:27
...neu hier

Themenstarter

Beiträge: 6
#10 Danke für eure Hilfe nochmal ;-)
Die Einträge WareOut "DisplayName" = "WareOut" und WareOut "UninstallString" = "uninstall.exe befanden sich nicht in der registry, deswegen konnte ich diese nicht löschen.

Aber in dem Logfile von Hijackthis habe ich alle Einträge markiert und bin dabei die auch zu fixieren, und start gleich neu.

Hoffe es macht nichts wenn die ersten Sachen in der Registry nicht waren.
Außerdem meldet Antivir bei jedem start die selben vieren und ich geh immer auf löschen, aber beim nächsten mal sind die wieder da. Naja nicht Viren sondern Trojaner.

Also start jetzt neu.
Bis gleich
Seitenanfang Seitenende
18.08.2005, 12:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 du sollst einfach abarbeiten, was ich geschrieben habe ;)
Und poste hier alle Reports von allen Tools, die du ausfuehrst.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2005, 19:56
...neu hier

Themenstarter

Beiträge: 6
#12 Hallo Sabina,
Ich habe gestern die Schritte bis zu der Killbox abgearbeitet. Dann ist während
des Löschens der Rechner abgestürzt und hat sich 20 minuten lang nicht mehr starten lassen, musste die ganze zeit mitm Resetknopf rumplagen. Dann hab ich den Rest auch noch gemacht, doch trotzdem hat Antivir die Trojaner immer wieder erneut gemeldet. Dann ist der Rechner erneut abgestürzt wegen der ganzen Meldungen seitens Antivir. Musste Resetknopf wieder 30 Minuten hin und her drücken, bis der Rechner wieder richtig hochgefahren hat. Das hat mir dann gereicht ich habe DVD-Rohlinge vom Kumpel geholt und alles wichtige runtergebrannt und die Festplatte formatiert! Gleich zu Beginn habe ich Antivir und Zone Alarm installiert, außerdem habe ich jetzt den Microsoft IE gelöscht und habe Mozilla Firefox draufgemacht. Ein Programm gegen Spyware werde ich später noch installieren und Service Pack 2 von Microsoft auch, hier aber derzeitiges Logfile.

Logfile of HijackThis v1.99.1
Scan saved at 19:54:14, on 18.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\PROGRAMME\QuickTime\qttask.exe
D:\Programme\ICQLite\ICQLite.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\PROGRAMME\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRAMME\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRAMME\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "D:\PROGRAMME\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\PROGRAMME\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Und danke dir vielmals, dass du dir Zeit und Mühe genommen hast.
Gruß Germane

ps.: Rechner hat sich bis jetzt nicht mehr aufgehängt, und Antivir streikt nicht.
Seitenanfang Seitenende
18.08.2005, 20:11
Member
Avatar Gool

Beiträge: 4730
#13 Jo, so sollte es aussehen. Formatieren war wohl die richtige Entscheidung (auch wenn es lästig ist).

Nachtrag: Den IE hast Du aber nicht wirklich gelöscht, sondern nur die Verknüpfung entfernt. Den IE kann man zwar prinzipiell aus Windows richtig löschen, allerdings funktionieren dann wichtige Dinge wie WindowsUpdate nicht mehr und das System kann instabil werden (und im schlimmsten Fall gar nicht mehr laufen).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende