Systemwiederherstellung wurde deaktiviert. Mal sehen was sich jetzt tut.

Die erneuerte Scan.zip wurde geprüft:

Complete scanning result of "Scan.zip", processed in VirusTotal at 10/14/2006 17:34:21 (CET).

[ file data ]
* name: Scan.zip
* size: 36575
* md5.: 9e7c66518ffb56068ddc721506160d32
* sha1: c334b3bfc9a7324f8b3902fe2cdd62c69c733944

[ scan result ]
AntiVir 7.2.0.30/20061014 found [HEUR/Malware]
Authentium 4.93.8/20061013 found [Possibly a new variant of W32/IRCBot-based!Maximus]
Avast 4.7.892.0/20061013 found nothing
AVG 386/20061013 found nothing
BitDefender 7.2/20061014 found nothing
CAT-QuickHeal 8.00/20061014 found [Trojan.Horst.gen]
ClamAV devel-20060426/20061014 found nothing
DrWeb 4.33/20061014 found [DLOADER.IRC.Trojan packed by BINARYRES]
eTrust-InoculateIT 23.73.22/20061013 found nothing
eTrust-Vet 30.3.3131/20061013 found [Win32/Boxed!generic]
Ewido 4.0/20061014 found [Proxy.Horst.ko]
F-Prot 3.16f/20061013 found [Possibly a new variant of W32/IRCBot-based!Maximus]
F-Prot4 4.2.1.29/20061013 found [W32/IRCBot-based!Maximus]
Fortinet 2.82.0.0/20061014 found [Horst!tr]
Ikarus 0.2.65.0/20061013 found nothing
Kaspersky 4.0.2.24/20061014 found nothing
McAfee 4873/20061013 found nothing
Microsoft 1.1603 /20061014 found nothing
NOD32v2 1.1803/20061013 found nothing
Norman 5.80.02/20061013 found nothing
Panda 9.0.0.4/20061014 found [Suspicious file]
Sophos 4.10.0/20061013 found [Troj/Horst-Gen]
TheHacker 6.0.1.098/20061014 found [Trojan/Horst.gen]
UNA 1.83/20061013 found nothing
VBA32 3.11.1/20061013 found [suspected of Worm.Warezov.8 (paranoid heuristics)]
VirusBuster 4.3.7:9/20061014 found [Trojan.Medbot.Gen!Pac8]

[ notes ]
packers: UPX
packers: UPX, BINARYRES
packers: UPX
packers: UPX

Kaspersky findet jetzt nichts mehr und der Virus wütet wie er will auf meinem Rechner

Hallo,
was ich nicht so ganz verstehe......
Die Datei wurde erst heuristisch erkannt(vermutlich wegen dem UPX-Packer),dann in die Scannerupdates eingelesen.Das heißt der Trojan-Downloader ist identifiziert und böse.(übrigens kein Virus).
Warum geht ihr nicht einfach her und löscht die betroffene und infizierte Datei "Scan zip" ?
Die windowseigene Suchfunktion sollte euch zeigen ,wo noch Teile davon sind.Danach schaltet ihr die Systemwiederherstellung aus und geht in den abgesicherten Modus und scannt und eventuell entfernt mit einem der Scanner ,die den Schädling in Virustotal erkennen.In den Normalmodus und das Programm "Regseeker" laden und starten."Registrierung säubern" und alles entfernen was angezeigt wird,das so oft bis nix mehr angemeckert wird.Damit sollten alle teile komplett und restlos entfernt sein.
Sir Reklov

@Sir Reklob
"Scan.zip" ist ein Archiv, dass ich selbst erstellt habe und 2 Dateien reingesteckt: setup.exe und autorun.inf. Diese 2 Dateien werden regelmäßig in meinen freigegeben Ordnern (2 an der Zahl) erstellt. D.h. wenn ich sie lösche, tauchen sie ein paar Stunden später wieder auf.
Systemwiederherstellung wurde deaktiviert, was die Dateien aber nicht davon abgehalten hat, wieder neu aufzutauchen.

Ok, die Liste von Sir Reklov abgearbeitet. F-Prot hat nichts gefunden. Registrierung durchgesäubert. Irgendwie nicht erfolgreich, da eigentlich Spuren des Virus vorhanden sein hätten müssen.

Wie erwartet: kein Erfolg. Soeben ist setup.exe wieder aufgetaucht. Wurde auch von F-Prot entdeckt.
Jetzt wird das System nochmal gescannt. Ich weiß keinen Rat mehr 

Scanne im abgesicherten Modus... , bei ausgeschalteter Systemwiederherstellubg !!!

Die Systemwiederherstellung ist schon lange aus und ich habe genau im Abgesicherten Modus gescannt. Wie gesagt, kein Fund, aber eben gerade ist setup.exe wieder aufgetaucht.

Super. Der nächste Virenscanner versagt. F-Prot meldet jetzt auch nichts mehr.

Hallo,

auf dieser Seite steht wie vorzugehen ist.http://www.avira.com/de/threats/section/fulldetails/id_vir/2876/tr_proxy.horst.fv.1.html
Dieser Schlüssel ist des Pudels Kern.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ".nvsvc"="%SYSDIR%\smss.exe /w"

Er erstellt nach einem Neustart,sich selbst wieder.Der muß zwingend zuerst gelöscht werden.Achtet aber genauestens auf die Zeichenreihenfolge und killt nur den genau gleichlautenden Schlüssel.Schießt ihr einen anderen ab,könnte es sehr haarig werden.
Falls aber der Trojaner bereits über IRC Kontakt mit dem Server hatte,dürfte es eh zu spät sein.Wie das feststellen ? Ehrliche Antwort :ist fast unmöglich,zumindest für einen Normaluser....
Was ich machen würde ?
Tabula Rasa.....Bilder und MP3 sichern bzw.auf CD brennen und Neuinstallation.Nur so kann ich sicher sein ,allleiniger Cheff auf meiner Kiste zu sein.Insbesondere wenn ich bei EBay aktiv bin und/oder Onlinebanking betreibe...a möchte ich nix kaufen bzw.überweisen,von dem ich gar nichts weis....
Sir Reklov

Hallo HCK und Sir Reklov,
Ihr redet in euren Beträgen von Malwareinfektionen, die hier kein Thema sind !
Die Hinweise werden das Problem nicht lösen !
Einzig der Tipp auf einen Einsatz einer PS-Firewall könnte was bringen.

Die genannten Registrierungsschlüssel und Dateien sind auf meinem System nicht vorhanden.
@Sir Reklov
Firewall ist nicht vorhanden. Ich habe mein System auch schon einmal neu aufgesetzt, aber ohne Erfolg. Wie soll ich mich also nach einer erneuten Neuinstallation vor weiterem Befall schützen? Ich will nicht nach 3 Wochen wieder feststellen, dass mein System infiziert ist 

Hallo,
nach dem Neuaufsetzen,bevor du das erste Mal ins Netz gehst,die Konfigurationstipps von hier beherzigen :http://www.heise.de/security/dienste/browsercheck/
Klick dich vorher durch diese Seite und entscheide selbst was deaktiviert werden kann.
@Help
 

Ihr redet in euren Beträgen von Malwareinfektionen, die hier kein Thema sind !

Einzig der Tipp auf einen Einsatz einer PS-Firewall könnte was bringen.