Garstiger Virus

Schön guten Tag,
wir haben folgendes Problem auf unseren 16 Rechnern in der Firma.

Vor ca. 6 Wochen haben wir uns aus noch ungeklärte Sache einen Trojaner oder einen Virus gezogen.

Den wir seit dem versuchen zu bekämpfen!

Gesichert waren wir zu den Zeitpunkt durch Panda

Erst änderte er uns unsere Startseite auf jeden PC in w*w.dbsarticles.com
Nach dem wir dann mit ADAWARE und mit NOD32 unsere Sicherheit auf unseren PC`s
geändert haben war auch für ca. 2 Wochen ruhe danach kam es zu abstürzen unseres Internet.

Das machte sich in dem Bemerkbar das die Suchseite nicht angezeigt werden konnte oder wir direkt auf Goggle verwiesen wurden.

Nun bin ich langsam mit mein Latein am ende habe mich hier im Forum schon mit ähnlichen fällen befasst nur konnte ich noch nicht wirklich killen.

Welche Chancen habe ich denn ohne neu Aufsetzung der PC´s den Virus bzw. Trojaner endgültig zu Stoppen


Unsere Systeme benutzten Windows 2000 Service Pack 4

Viren Schutz und Firewall übernimmt NOD32.

Hier der Hijackthis Log: ( von einen PC an den wir Arbeiten)

----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich als Text-Datei an den Beitrag anhängen, wie auf folgender Seite (bebildert) beschrieben: http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

Es kann auch weiterhin der Link zum ausgewerteten Log gepostet werden.

Gruß
Nevok
----------------------------------------------------------------


Vielen dank im voraus für eure Hilfe

Mit freundlichen Grüßen
Tobias Ahlers

 

Wenn du dich schon seit Wochen mit unbekannten Schädlingen herum schlägst, wird ein Neuaufsetzen die einzige Option sein, Ruhe zu bekommen.
Du kannst mal den PC mit der Avira Rettungs-CD scannen oder mit der Knoppicillin-CD, falls du NOD32 von der c´t hast.
http://www.pcwelt.de/start/sicherheit/antivirus/news/149200/

Übrigens ist der Eintrag nicht schädlich, auch wenn die automatische Auswertung bei hijackthis.de das behauptet.

Code:

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] ;internat.exe (User 'Default user')

Das ist ein Eintrag, der erst ab HijackThis V2 bei Windows 2000 angezeigt wird. Bei HijackThis V1.99.1 war der noch in der Whitelist (vertrauenswürdige Liste) und wurde nicht aufgeführt.

Ist das die IP des Routers?

Code:

O17 - HKLM\System\CCS\Services\Tcpip\..\{34089EDA-B548-4609-894D-9FF0A735861E}: NameServer = 192.168.0.117

 

Die Startseite sieht etwas merkwürdig aus: Host 192.168.244, Port 81 (!?). Evtl. findet sich noch ein Eintrag in der HOSTS, durch den die URL "192.168.244" auf eine Hijacker-Seite umgeleitet wird. Auf jeden Fall paßt die Startseiten-URL nicht zu Eurem Subnet (192.168.0.xxx).

Abgesehen davon würde ich auch dazu raten, den ganzen Google-Kram (Toolbar, Updater) zu deinstallieren. Auch Quicktime hat m.E. im Autostart nichts zu suchen.