Mehrere Würmer, Änderung Autostart-Menü,Agobot

#1 Hallo Leute,
ich habe einige Probleme mit meinem Rechner und hoffe, dass ihr mir helfen könnt.


Die Firewall stellt fest, dass csrss.exe versucht sich mit dem Internet zu verbinden. Zudem kommt die Warnung, dass Generic Host Process für Win32 Services mit der Applikation svchost.exe versucht eine Verbindung herzustellen.

Ctfmon exe trägt sich immer wieder ins Autostart- Menü ein. Anwendung: C:\WINDOWS\system32\ctfmon.exe,
Typ: HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Run.
Eine weitere Autostart-Menü Änderung:
Eintrag: MS Config
Anwendung: C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe/auto
Typ: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


Beim Scan mit AntiVir wurde zweimal WORM/Agobot.39680 gefunden. Einmal in csrss.exe und zusätzlich noch in eraseme_02110.exe.

Außerdem erkennt Spybot immer wieder die folgenden Probleme, die auch durch löschen nicht zu beheben sind:
Windows Security Center.AntiVirus Disable Notify
Windows Security Center.AntiVirus Override
Windows Security Center.Firewall Disable Notify
Windows Security Center.Firewall Override
Windows Security Center.SP2 Update
Windows Security Center.Update Disable Notify.

Der Scan mit MicroWorld AntiVirus hat Folgendes ergeben:
Fri Oct 07 18:25:05 2005 => ERROR!!! Invalid Entry "C:\WINDOWS\System32\integitor.exe" -service in SYSTEM\CurrentControlSet\Services\Secure System...

Fri Oct 07 18:25:09 2005 => ERROR!!! Invalid Entry System32\DRIVERS\wanatw4.sys in SYSTEM\CurrentControlSet\Services\wanatw...

Fri Oct 07 18:25:09 2005 => ERROR!!! Invalid Entry "C:\WINDOWS\csrss.exe" in SYSTEM\CurrentControlSet\Services\wservtime...

Fri Oct 07 18:45:57 2005 => File C:\WINDOWS\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken.


Und die aktuelle Logfile von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 19:39:12, on 07.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\LOKALE~1\Temp\Temporäres Verzeichnis 8 für hijackthis_199.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

#2 Hallo, leider hat sich noch niemand dazu bequemt, Dir eine Auskunft zu geben. Dann möchte ich das mal übernehmen

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

Dieser Eintrag ist böse und sollte entfernt werden. Das "(file missing") zeigt an, dass die Datei nicht mehr existiert bzw. von HJT nicht gefunden werden konnte. Zur Sicherheit solltest Du mal selbst dort nachschauen. Wenn sie vorhanden ist, solltest Du sie löschen.

Zitat

Zudem kommt die Warnung, dass Generic Host Process für Win32 Services mit der Applikation svchost.exe versucht eine Verbindung herzustellen.

Das ist normal. Meistens kann man den Zugriff blockieren, ohne dass man sich selbst aus dem Internet aussperrt. Es kann sein, dass dann ein bestimmter Service keinen Zugriff mehr auf das Internet hat, aber bisher ist mir noch nicht bekannt geworden, dass sich das unangenehm bemerkbar macht.

Zitat

Ctfmon exe trägt sich immer wieder ins Autostart- Menü ein.

Ebenfalls normal. Das kannst Du auch so lassen. Gleiches gilt für die MSConfig.exe (wenn Du über den Befehl "msconfig" an den Systemstarteinstellungen rumgebastelt hast, wird das Programm geladen)

Zitat

Außerdem erkennt Spybot immer wieder die folgenden Probleme, die auch durch löschen nicht zu beheben sind:

Lade Dir die aktuelle Version von Spybot S&D herunter. Ich meine, es hat was mmit einer veralteten Version zu tun, die diesen Bug beinhaltet. Falls Du den TeaTimer aktiviert hast, solltest Du ihn deaktivieren, damit Einstellungen in der Registry vorgenommen werden können.

Zitat

File C:\WINDOWS\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus!

Die gefundenen Fehler sind nicht tragisch. Hierum solltest Du Dich jedoch kümmern. Lösche die angegebene Datei (wenn das manuell nicht gehen sollte, dann verwende Killbox : http://managor.de/killbox.htm)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser