hi,
ich brauche schon wieder Hilfe! Diesmal ist es der Computer einer Freundin, die noch weniger Ahnung hat als ich. Sie hat sich, so scheints alles mögliche eingefangen. Antivir meldet: BDS/AGENT.A und den Trojaner TR/Dldr.Psymc.Q. Ich habe ihr jetzt Adaware & Spybot installiert und die haben jeweils dutzende von Problemen gefunden. Ich habe die dann alles löschen lassen aber der Trojaner ist natürlich noch da (und wer weiß was noch...) Hijack gibt folgendes File aus:
Logfile of HijackThis v1.97.7
Scan saved at 13:22:47, on 24.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinZip\WZQKPICK.EXE
D:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6023311769
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/C ... 4306712963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab

Wäre super wenn uns jemand beistehen könnte!

Grüße, Sven & Janka

PS.: Will ihr eigentlich auch das SP 2 runterladen, weil sie bisher ohne Firewall surft, sollte ich das sofort tun oder erst wenn alle anderen Probleme behoben sind?

Hallo @svister

Das Log sieht sauber aus, aber das will nichts besagen.

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.
<Gehe wieder in den Normalmodus und scanne noch mal.
<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde

............................................................................................................
#Deaktiviere die Wiederherstellung , boote und aktiviere sie wieder

#Dann lade SP2 (aber poste, ob der PC ein Einzelplatzrechner ist oder nicht.)
#Oder besser : keinSP2 laden, aber eine Firewall.
FIREWALLS, NETZWERK-SICHERHEIT UND DIE BÖSEN HACKER
http://www.nickles.de/c/s/26-0015-204-1.htm

zum Beispiel:
<Agnitum: Outpost Firewall
Outpost von Agnitum gibt es auch als free-Version.
http://www.agnitum.com/download/outpost1.html
<Outpost Firewall Spezial
Deutschsprachige Anleitungen zur Installation und Konfiguration von Outpost auf brain-pro.de.
http://www.brain-pro.de/outpostspezial.htm

<und die Dienste konfigurieren:
Windows-Dienste abschalten"!
http://www.dingens.org/
http://www.ntsvcfg.de/kss_xp/kss_xp.html#smb

mfg
Nikita

Hi Nikita!

Erstmal herzlichen Dank für die schnelle Antwort!
Habe alles so gemacht, der erste e-scan hat noch 7 viren entdeckt und alle renamed. beim 2ten scan hat er nichts mehr gefunden, allerdings zwei errors gemeldet.

habe dann die outpost-firewall installiert und die dienste abgestellt. dann noch antivir deinstall. und statt dessen kaspersky draufgeladen. der kaspersky scan hat promt wieder zwei viren entdeckt, die er dann gelöscht hat (hoffentlich!) Beide waren vom Typ Exploit.HTML.Mht
Werde morgen nochmal scannen...
herzliche Grüße!