Ist noch ein Virus drauf?

[fobermeier]

Hallo,

Ich hatte / habe? auf meinem PC jede Menge Trojaner usw. denen ich gestern mit antivir, norton, ad-aware und spybot zu leibe gerückt bin.
Habe jetzt einen scan mit hijackthis gefahren. Könnt Ihr euch bitte mal das logfile ansehen und mir sagen ob ich jetzt vierenfrei bin, bzw. was ich noch zu tun habe?

Vielen Dank schon mal!

Logfile of HijackThis v1.97.7
Scan saved at 09:59:32, on 22.04.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\internat.exe
C:\WINNT\temp\u3spwd.exe
C:\Programme\WINZIP\WINZIP32.EXE
C:\unzipped\hijackthis1977\HijackThis.exe
C:\WINNT\System32\taskmgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

[Nikita]

Sieht sauber aus, nur die C:\WINNT\temp\u3spwd.exe kann man nirgens zuordnen.
Mache mal einen Virencheck mit Kapersky.
http://www.kaspersky.com/remoteviruschk.html
von dieser exe.

Ansonsten wuerde ich, unter Dienste die Remote-registrierung abstellen.
/sicherer !!!

MfG
Nikita

[fobermeier]

Hallo!

Vielen Dank erst mal für die schnelle Antwort !!!

Ich habe den Check durchgeführt --> sieht gut aus, oder?:

Statistics:
Known viruses: 87280 Updated: 22.04.2004
File size (Kb): 280 Scan time: 00:00:01
Speed (Kb/sec): 281 Virus bodies: 0
Archives: 0 Packed: 0
Folders: 0 Files: 1
Suspicious: 0 Warnings: 0

Nikita: bezüglich des Remote-registrierung meinst Du den Eintrag:
"Remote Regestrierungsdienst / Ermöglicht die Bearbeitung der Registrierung über das Netzwerk" ?

Ich habe noch zwei weitere Frage an Euch:

Ich wollte ein Benutzerkonto im Explorer löschen. Eine Datei lässt sich aber nicht löschen:
C:\Dokumente und Einstellungen \Administrator.NEUERCOMPUTER\ Favoriten \MyRealPics
Was auch immer ich an der Datei direkt mache wird nicht zugelassen. - Auch im abgesicherten Modus nicht. Es kommt immer die Fehlermeldung:
"Das System kann die angegebene Datei nicht finden"
Die Datei wurde auch bei keinem Scan (antivir, norton, ad-aware und spybot) bemängelt.
Ich habe jetzt auch versucht sie von kaspersky checken zu lassen, aber ich glaube es wurde nichts übermittelt, da ich keinen report wie oben erhalten habe. Wenn ich mir die Eigenschaften der Datei ansehe, dann sieht das so aus:

Dateityp:
Öffnen mit:
Ort: C:\Dokumente und Einstellungen \Administrator.NEUERCOMPUTER\ Favoriten \MyRealPics
Größe: 0 Byte
Größe auf Datenträger: 0 Byte
Erstellt: (Unbekannt)
Geändert: (Unbekannt)
letzter Zugriff: (Unbekannt)

Wisst Ihr was das ist?? und wie ich das los werde??

Die zweite Frage:
Ich wollte Windows 2000 komplett neu installieren. Dabei bin ist das SetUp mehrmals hängengeblieben. Das war sehr weit vorne bei der initialisierung des SetUp: "Lese Gerätedaten aus" (oder so ähnlich) Dann hat es irgendwann doch geklappt, aber ich stelle mir jetzt die Frage ob der Bootsektor beschädigt ist, oder ob vielleicht noch Reste eines Virusses vorhanden sind. Ein Fehler meines PC vor der Anti- Vieren- Aktion war, dass sich der PC nicht mehr automatisch herunterfahren ließ, weil sich die rundll32.exe nicht aurtomatisch geschlossen hat.
Könnt ihr mich helfen?

Vielen Dank schon mal
& Gruß

fobermeier

[Nikita]

Ja, stelle es ab, wenn du nicht staendig die Remote-Funktion benutzt. Es ist ein Sicherheitsrisiko.

------------------------------------------------------------------------------------
Dateityp:
Favoriten \MyRealPics

Das ist ein Hijacker, der wahrscheinlich auf dem Comp. war , aber inzwischen geloescht ist.
http://forums.techguy.org/showthread.ph ... ..scrollen bis in die Mitte....

Gehe in den abgesicherten Modus.

1...) öffnen den Windows-Explorer und wechsel in den Windows-Ordner. Hier siehst du eine grosse Liste von Unterordnern, und einer von denen heisst «Favoriten». Dieser Ordner enhält genau die Dateien, wenn du die Favoriten im Internet Explorer aufrufst.

2..) In den abgesicherten Modus gehen
Start<Ausfuehren<regedit

In der Registry mit der Suchfunktion FreeSex Download und MyRealPics
unter Favoriten suchen und loeschen

-------------------------------------------------------------------------------------
Zu Windows2000 -Problemen kann ich leider nichts beitragen...ich arbeite mit XP . Vielleicht gibt es im Forum andere Leidgepruefte, die damit arbeiten und die dir helfen koennen.

Lade den Firefox als Zweitbrowser....ist viel sicherer, was die Hijacker betrifft....

http://www.firebird-browser.de/

MfG
Nikita