Trotz Formatieren sofort lauter Viren und Würmer! Hilfe!

[tambo]

Hi,

ich verzweifel langsam echt.
Ich habe extra heute meinen PC neu formatiert, da ich einige Würmer drauf hatte, die ich trotz AntiVir 6.0 nicht runterbekommen habe.
Nachdem ich mein System neu eingerichtet habe (XP Prof.), habe ich sofort, bevor ich ins Internet gegangen bin, AntiVir 6 installiert.
Doch, kaum bin ich online und surf ein bisschen sagt AntiVir:


C:\WINDOWS\SYSTEM32\DGVWQ.EXE

Enthält Code des Windows-Virus W32/Parite



C:\WINDOWS\SYSTEM32\RUGRM.EXE

Enthält Signatur des Wurmes WORM/PoeBot.8192


C:\WINDOWS\SYSTEM32\QHYC.EXE

Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/PoeBot.B.9



C:\WINDOWS\SYSTEM32\ERASEME_08654.EXE

Enthält Signatur des Wurmes WORM/Agobot.39680



C:\WINDOWS\SYSTEM32\QQRWF.EXE

Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/PoeBot.B.9

Zudem war auf einmal der extrem nervige Wurm Sasser wieder auf meinem PC. Wie kommt denn das? Was soll ich denn noch machen?
Es kommen andauernd neue Meldungen von AntiVir, dass irgendein Wurm wieder in C:\Windows\System32\... gefunden wurde.

Kann es sein, dass auf den CDs von Original-Software, die ich von AntiVir nach dem Formatieren draufgezogen habe, die Würmer sind?


Bitte helft mir, mich nervts langsam echt dermaßen...



Danke für Eure Hilfe!


Greetz Tambo

[Holy Marcell]

Das ist übel... Formatiere erneut und lade dir vorher die insatllationsdateien davon und installiere sie bevor du ans Netz gehst. Und dann machst du sofort alle Critical Updates (win-Updates).

Firewall: SyGate

(www.sygate.de)
Zur Privaten Nutzung Kostenlos

Antiviren: Antivir

Download zum Privaten gebrauch kostenlos

Anti-Spyware: SpyBot Serch & Destroy

Download Frei

Anti-Adware: Ad-Aware

Download frei

[tambo]

Hi Holy Marcell,

vielen Dank für deine flotte Antwort und die Links!
Welche Dateien meinst Du denn, die ich bevor ich ans Netz geh, installieren soll?
Die Progs, zu denen Du mir die Links gegeben hast?

Kann ich die Win-Updates auch schon vorm Formatieren runterladen und auf meine externe Festplatte ziehen?

Greetz Tambo

[Holy Marcell]

Richtig, du lädtst die Insatllationsdateien, die du bei den Links bekommst und speicherst sie extern. Zu den Win-Updates: Lade dir Sp2 herunter und aktiviere nach dem Format sofort "Automatische Updates" das wird genügen.

[tambo]

Okay, das werd ich dann jetzt mal gleich machen.
Mit SP2 meinst Du schon ServicePack2, oder?


Vielen Dank nochmals!

[Holy Marcell]

Ja ^^

[Nikita]

das ist neue Malware und interessiert mich.

poste bitte alles 4 Logs (2 Monate vom Datum her)
http://virus-protect.net/datfindbat.html

poste auch das Log vom HijackThis
http://virus-protect.net/hjtkurz.html

[tambo]

Ich habe nun alle so gemacht, wie es Holy Marcell gesgat hat.
Sofort nach dem Formatieren habe ich als erstes die Firewall SyGate installtiert, danach AntiVir 7.0, dann bin ich ins Internet und hab mir sofort alle Updates von Microsoft.com geholt.

Nun kommen aber schon wieder Meldungen von AntiVir, dass ein gefährliches Backdoorprogramm gefunden wurde.

Mann, was soll ich denn noch alles machen?

Hier mal die ganzen Log FIles. Ich hoff, so stimmts...
Was sagt das denn aus? Hab ja erst formatiert, deswegen sind nicht viele Dateien drin.
Jedoch sogar bis 2002, als ich den PC noch gar nicht gekauft hatte...




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0069-BD83

Verzeichnis von C:\WINDOWS\system32

14.10.2005 13:51 147.225 ngyf.exe
14.10.2005 13:50 71 i
14.10.2005 07:26 30.276 BMXCtrlState-{00000000-00000000-0000000A-00001102-00000002-80651102}.rfx
14.10.2005 07:26 17.596 BMXState-{00000000-00000000-0000000A-00001102-00000002-80651102}.rfx
14.10.2005 07:26 30.276 BMXBkpCtrlState-{00000000-00000000-0000000A-00001102-00000002-80651102}.rfx
14.10.2005 07:26 17.596 BMXStateBkp-{00000000-00000000-0000000A-00001102-00000002-80651102}.rfx
14.10.2005 07:26 1.080 settingsbkup.sfm
14.10.2005 07:26 1.080 settings.sfm
14.10.2005 07:26 24 DVCState-{00000000-00000000-0000000A-00001102-00000002-80651102}.dat
14.10.2005 07:26 24 DVCStateBkp-{00000000-00000000-0000000A-00001102-00000002-80651102}.dat
14.10.2005 07:22 110.192 FNTCACHE.DAT
13.10.2005 22:53 0 h323log.txt
13.10.2005 22:24 40.128 perfc009.dat
13.10.2005 22:24 311.740 perfh009.dat
13.10.2005 22:24 316.924 perfh007.dat
13.10.2005 22:24 48.354 perfc007.dat
13.10.2005 22:24 723.744 PerfStringBackup.INI
13.10.2005 22:19 13.646 wpa.dbl
13.10.2005 22:19 13.646 wpa.bak
13.10.2005 22:05 25.065 wmpscheme.xml
13.10.2005 22:01 261 $winnt$.inf
13.10.2005 21:59 2.951 CONFIG.NT
13.10.2005 21:59 16.832 amcompat.tlb
13.10.2005 21:59 23.392 nscompat.tlb
13.10.2005 21:58 488 WindowsLogon.manifest
13.10.2005 21:58 488 logonui.exe.manifest
13.10.2005 21:58 749 cdplayer.exe.manifest
13.10.2005 21:58 749 ncpa.cpl.manifest
13.10.2005 21:58 749 nwc.cpl.manifest
13.10.2005 21:58 749 sapi.cpl.manifest
13.10.2005 21:58 749 wuaucpl.cpl.manifest
13.10.2005 21:56 21.740 emptyregdb.dat
12.07.2005 18:04 23.304 GWFSPidGen.dll
12.07.2005 18:04 520.456 LegitCheckControl.dll
26.05.2005 04:19 178.408 muweb.dll
26.05.2005 04:19 173.536 wuweb.dll
26.05.2005 04:16 18.200 wups2.dll



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0069-BD83

Verzeichnis von C:\DOKUME~1\NDI~1\LOKALE~1\Temp

13.10.2005 22:57 475.136 94e9.rra
13.10.2005 22:46 293.692 Office 2000 Premium Setup(0002)_MsiExec.txt
13.10.2005 22:42 1.742 Office 2000 Premium Setup(0002).txt
13.10.2005 22:42 29.884 offcln9.log
13.10.2005 22:39 89 VerChk.txt
17.07.2002 19:00 344.923 IECA.tmp
6 Datei(en) 1.145.466 Bytes
0 Verzeichnis(se), 10.245.390.336 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0069-BD83

Verzeichnis von C:\WINDOWS

14.10.2005 13:50 496.912 WindowsUpdate.log
14.10.2005 13:49 849 win.ini
14.10.2005 11:48 0 0.log
14.10.2005 11:47 3.374.149 {00000000-00000000-0000000A-00001102-00000002-80651102}.BAK
14.10.2005 11:47 3.374.149 {00000000-00000000-0000000A-00001102-00000002-80651102}.CDF
14.10.2005 11:47 2.048 bootstat.dat
14.10.2005 07:26 1.316 SchedLgU.Txt
14.10.2005 07:24 236.177 setupapi.log
13.10.2005 22:52 50 wiaservc.log
13.10.2005 22:52 509 wiadebug.log
13.10.2005 22:52 0 Sti_Trace.log
13.10.2005 22:50 1.348 regopt.log
13.10.2005 22:50 231 system.ini
13.10.2005 22:49 0 setuperr.log
13.10.2005 22:49 299.552 WMSysPrx.prx
13.10.2005 22:47 772 hpinfo.lnk
13.10.2005 22:47 710 wininit.ini
13.10.2005 22:46 722 reg.prm
13.10.2005 22:45 403 ODBC.INI
13.10.2005 22:45 59 vbaddin.ini
13.10.2005 22:40 307 SBWIN.INI
13.10.2005 22:36 3.415 KB902400.log
13.10.2005 22:35 3.305 KB896423.log
13.10.2005 22:30 22.164 comsetup.log
13.10.2005 22:30 1.393 imsins.log
13.10.2005 22:30 11.710 ntdtcsetup.log
13.10.2005 22:30 18.662 tsoc.log
13.10.2005 22:30 68.743 iis6.log
13.10.2005 22:30 2.290 tabletoc.log
13.10.2005 22:30 8.053 KB898461.log
13.10.2005 22:30 1.701 ocmsn.log
13.10.2005 22:30 5.726 netfxocm.log
13.10.2005 22:30 24.760 ocgen.log
13.10.2005 22:30 1.791 msgsocm.log
13.10.2005 22:30 30.083 FaxSetup.log
13.10.2005 22:30 15.920 msmqinst.log
13.10.2005 22:29 1.393 imsins.BAK
13.10.2005 22:29 6.929 KB893803v2.log
13.10.2005 22:29 5.893 KB842773.log
13.10.2005 22:29 199.854 setupact.log
13.10.2005 22:19 810.773 setuplog.txt
13.10.2005 22:15 2.499 tonlinst.ini
13.10.2005 22:14 107.176 TOSO40.ISU
13.10.2005 22:10 978 KB883939.log
13.10.2005 22:09 4.975 Active Setup Log.txt
13.10.2005 22:05 829 OEWABLog.txt
13.10.2005 22:02 8.192 REGLOCS.OLD
13.10.2005 21:59 0 control.ini
13.10.2005 21:59 4.161 ODBCINST.INI
13.10.2005 21:58 280 Windows Update.log
13.10.2005 21:58 749 WindowsShell.Manifest
13.10.2005 21:56 1.060 sessmgr.setup.log
13.10.2005 21:56 36 vb.ini
13.10.2005 21:56 128 DtcInstall.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0069-BD83

Verzeichnis von C:\

14.10.2005 13:57 0 sys.txt
14.10.2005 13:56 5.365 system.txt
14.10.2005 13:55 586 systemtemp.txt
14.10.2005 13:53 92.307 system32.txt
14.10.2005 11:47 535.613.440 hiberfil.sys
14.10.2005 11:47 805.306.368 pagefile.sys
13.10.2005 21:59 0 AUTOEXEC.BAT
13.10.2005 21:59 0 CONFIG.SYS
13.10.2005 21:59 0 IO.SYS
13.10.2005 21:59 0 MSDOS.SYS
13.10.2005 21:53 194 boot.ini
29.08.2002 14:00 4.952 bootfont.bin
29.08.2002 14:00 47.580 NTDETECT.COM
29.08.2002 14:00 235.296 ntldr
14 Datei(en) 1.341.306.088 Bytes
0 Verzeichnis(se), 10.245.443.584 Bytes frei

[-leer-]

Wie wär s wenn ma n anderes antivirprog nach dem win install benuzt ? Bei erster internetverbindung nur auf updates achten und ned grossartig surfen. Neustarten und müste ziemlich sicher sein.
Evt steckt dass virus in einer anderen partition ...

[tambo]

Hi,

ich bin extra schon von Nortin AntiVirus auf AntiVir 7.0 umgestiegen, da ich gedacht habe, das wäre besser...
Auf der anderen Partition kanns auch nicht sein, da ich beide Partitionen formatiert habe, genau um dies zu vermeiden...
Welches AntiVir-Prog kannst Du mir denn empfehlen?


Besten Dank

[-leer-]

Hi,

ich bin extra schon von Nortin AntiVirus auf AntiVir 7.0 umgestiegen, da ich gedacht habe, das wäre besser...
Auf der anderen Partition kanns auch nicht sein, da ich beide Partitionen formatiert habe, genau um dies zu vermeiden...
Welches AntiVir-Prog kannst Du mir denn empfehlen?


Besten Dank

Also meine tips sind sharware aber vorläufig kannst nutzen:
Kaspersky Antivirus personal machst gleich updateaktualisierung.
Oder dass neue Bitdeffender 9 dass schon ne ziemlich aktuelle datenbank intus hat. Und immer schön gleich neustarten bei erster aktualisierung.

[tambo]

Ahh, okay,
könntest Du mir bitte noch sagen, wo ich die Progs herbekomm!?


Vielen Dank

[-leer-]

http://www.bitdefender.de/bd/site/versionen.php

http://www.kaspersky.com/de/downloads?chapter=146440558

[Nikita]

Verzeichnis von C:\WINDOWS\system32

14.10.2005 13:51 147.225 ngyf.exe
14.10.2005 13:50 71 i

KILLBOX
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.net/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:

C:\WINDOWS\system32\ngyf.exe
C:\DOKUME~1\NDI~1\LOKALE~1\Temp\94e9.rra
C:\WINDOWS\system32\i


und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

scanne mit Kaspersky und berichte vom Scan (Report)
http://virus-protect.net/onlinescan.html