avira hat trojaner gefunden

ich habe einfach mal ein sytemüberprüfung gemacht und avira hat dann HTML/Rce.Gen gefunden. ich habe diesen natürlich gelöscht

HTML/Rce.Gen:

Name: HTML/Rce.Gen
Entdeckt am: 14/08/2007
Art: Trojan
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Engine Version: 7.04.01.62


Ist der virus jetzt weg? oder was richtet das ding überhaupt an?

mfg

 

Mach mal bitte ein HJT-Log (2. Punkt meiner Signatur klicken).

 

ok ich hoff ich habs richtig gemacht^^

 

so ein word document bei txt datei sagt er ungültig

 

Da ist noch so einiges im Argen.
Klick mal Punkt 1 meiner Signatur und arbeite die Anleitung ab.

 

Respekt, da haste dich getraut, eine doc.Datei zu öffnen!

 

Tja, manchmal ist Brain.exe einfach am schlafen. Als es aufwachte, war es zu spät. Ist aber gott sei dank, nix passiert.

 

wenn ich aber die sytemwiederherstellung deaktiviere dann kann ich ja gar nie mehr aus versehen gelscöhte dateien zurück holen oder?

und was sind eigneltich die temporären datein?

mfg
danke für die Hilfe

 

Die sollst du doch nur zur Bereinigung deiner verseuchten Kiste deaktivieren! Anschließend wird sie wieder aktiviert! Steht das nicht auch da irgendwo?

 

Tja, so ist das mit den Viren. Wenn Du die Systemwiederherstellung nicht deaktivierst, kommen die immer wieder.

Temporäre Dateien

 

Das kannst du sowieso nicht, dazu ist die Systemwiederherstellung auch nicht gedacht.
http://de.wikipedia.org/wiki/Systemwiederherstellung

 

so ich hab das jetzt alles gemacht und der ad-aware hat:
Win 32.TrojanDownloaderBanload in dem Pfad C:\Windows\Finst27.exe

gefunden

ich hab das dann alles bei ad-aware direkt gelöscht was nun?

 

Na, alles hast Du noch nicht gemacht. Am Ende steht ja, bitte nochmal ein HJT-Log posten.

 

alles?
was sagt Spybot S&D?
Was sagt Kasperskys Onlinescan?

und wie Terminator schon sagt, ein HJT log.....

 

so ich hab den pc gleich neu aufgesetzt das hat er sowieso mal gebraucht. SO sieht der HJT log nun aus ich weiß nicht ob das jetzt boch nötig iszt ich glaube jetzt is sowieso alles gelöscht. Außerdem wollt ihr ja keine word docs öffnen^^


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:58:35, on 04.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3193 bytes

 

Neu aufsetzen ist immer gut.

Der Log ist logischerweise nun sauber.

Ich gehe davon aus, dass Du über einen Router ins Netz gehst und dort die Hardware-Firewall "sitzt". Falls Du nicht über einen Router online bist, sondern nur über Modem, solltest Du Dir eine gute Software-Firewall zulegen.

P.S.: Update auf SP3 kann auch nicht schaden.

 

Code:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

unnötig ergo fixen, gratuliere, du hast dich für die beste Variante entschieden