Hallo miteinander,

wer kann mir anhand des logfile sagen, ob hier ein Problem (Trojaner/Virus)
am Werke ist und wie ich ihn beseitigen kann? Problem ist, dass meine CPU Auslastung fast immer am Anschlag ist.Insbesondere der Prozess Syntpenh.exe läuft fast mit 100% CPU-Auslastung. Für Tips wäre ich euch wirklich dankbar.

Gruß

Virenhasser



Logfile of HijackThis v1.98.2
Scan saved at 21:19:36, on 02.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Antivir\AVGUARD.EXE
C:\Programme\Antivir\AVWUPSRV.EXE
c:\PROGRA~1\cocreate\MEls.exe
C:\WINDOWS\system32\scagent.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Generic\USB Card Reader Driver v2.2e4\FlashIcon.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Antivir\AVGNT.EXE
C:\windows\vcpdll.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Frank\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: sr - {5742F79A-1D91-42c4-990C-B46CF55A6478} - C:\WINDOWS\ssysprs.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {8188076E-FAFB-4256-96D6-0779F84C9E9D} - C:\WINDOWS\lbbho.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {8215A098-ED55-4384-AD22-16AC2E54B9BD} - C:\WINDOWS\lbbho.dll
O2 - BHO: (no name) - {946C4FFF-C6BA-4085-9DE8-BFECCBBE48E5} - C:\WINDOWS\mindep.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - {FA76760E-F199-6003-541D-FA18F7706EC3} - C:\WINDOWS\system32\atlek.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FlashIcon] C:\Programme\Generic\USB Card Reader Driver v2.2e4\FlashIcon.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivir\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cmsound] c:\windows\vcpdll.exe
O4 - Startup: WlanUtility.lnk = C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: GloPhone - {C9B8ABB6-1CC3-4957-9CA3-053036B2EE3A} - C:\Dokumente und Einstellungen\All Users\Desktop\Glophone.lnk (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll

Hallo Virenhasser,

Du hast einige Probleme auf dem Rechner. Überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\system32\scagent.exe

teile uns das Ergebnis der Überprüfung mit.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Lies Dir bitte die Anleitung sehr genau durch. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Gesamt-Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Hallo und vielen Dank für die schnelle Antwort...

Ich habe erst mal, wie vorgeschlagen, den online Virenscan durchgeführt.
allerdings mit folgendem Problem: Die Datei "Scagent.exe" war nicht in dem angegebenen Verzeichnis. Bei einer Suche nach der Datei hat sich gezeigt, dass diese in einem Verzeichnis gelegen hat, welche von dem Programm Antivir als "infected" angelegt wurde. Nach dem ich sie eben dort gescannt habe, kam dann die Meldung, dass bereits ein anderes Programm ( Antivir) diese Datei gescannt habe (so habe ich es jedenfalls verstanden).

Also habe ich wie vorgeschlagen "escan" heruntergeladen und ein update gemacht. Bei dem Scan im abgesicherten Modus kam dann eine erschreckendes Ergebnis - jede Menge Viren und Trojaner (sofern das Programm recht hat). Ich habe alle Zeilen aus dem Logfile von escan untenstehend reinkopiert, in denen der Begriff "infected" vorkam.

Bitte um Hilfe. Bin für alle Tips dankbar, welche helfen, diesen Mist wieder los zu werden.

Gruß

Virenhasser

----------------------------------------------------------

Fri Dec 03 18:40:57 2004 => File C:\WINDOWS\ssysprs.dll infected by "Trojan-Downloader.Win32.Agent.fc" Virus. Action Taken: No Action Taken.


Fri Dec 03 18:41:18 2004 => File C:\WINDOWS\httpfilter.dll infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.

Fri Dec 03 18:41:18 2004 => File C:\WINDOWS\httpfilter2.dll infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.

Fri Dec 03 18:41:22 2004 => File C:\WINDOWS\n_zglnil.dat infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Fri Dec 03 18:41:25 2004 => File C:\WINDOWS\ssysprs.dll infected by "Trojan-Downloader.Win32.Agent.fc" Virus. Action Taken: No Action Taken.

Fri Dec 03 18:54:02 2004 => File C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.

Fri Dec 03 18:57:17 2004 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\43JDW1B3\dll2[1].bin infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:06:41 2004 => Scanning Folder: C:\Programme\Antivir\INFECTED\*.*

Fri Dec 03 19:06:41 2004 => Scanning File C:\Programme\Antivir\INFECTED\EXE2[2].BIN.001
Fri Dec 03 19:06:41 2004 => File C:\Programme\Antivir\INFECTED\EXE2[2].BIN.001 infected by "Trojan.Win32.Scagent.h" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:06:41 2004 => Scanning File C:\Programme\Antivir\INFECTED\EXE2[2].BIN.002
Fri Dec 03 19:06:41 2004 => File C:\Programme\Antivir\INFECTED\EXE2[2].BIN.002 infected by "Trojan.Win32.Scagent.h" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:06:41 2004 => Scanning File C:\Programme\Antivir\INFECTED\EXE2[2].BIN.VIR
Fri Dec 03 19:06:41 2004 => File C:\Programme\Antivir\INFECTED\EXE2[2].BIN.VIR infected by "Trojan.Win32.Scagent.h" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:06:41 2004 => Scanning File C:\Programme\Antivir\INFECTED\jguxill.VIR
Fri Dec 03 19:06:42 2004 => File C:\Programme\Antivir\INFECTED\jguxill.VIR infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:06:42 2004 => Scanning File C:\Programme\Antivir\INFECTED\SCAGENT.EXE.001
Fri Dec 03 19:06:42 2004 => File C:\Programme\Antivir\INFECTED\SCAGENT.EXE.001 infected by "Trojan.Win32.Scagent.h" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:06:42 2004 => Scanning File C:\Programme\Antivir\INFECTED\SCAGENT.EXE.002
Fri Dec 03 19:06:42 2004 => File C:\Programme\Antivir\INFECTED\SCAGENT.EXE.002 infected by "Trojan.Win32.Scagent.h" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:06:42 2004 => Scanning File C:\Programme\Antivir\INFECTED\SCAGENT.EXE.VIR
Fri Dec 03 19:06:42 2004 => File C:\Programme\Antivir\INFECTED\SCAGENT.EXE.VIR infected by "Trojan.Win32.Scagent.h" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:06:42 2004 => Scanning File C:\Programme\Antivir\INFECTED\wutop.VIR
Fri Dec 03 19:06:43 2004 => File C:\Programme\Antivir\INFECTED\wutop.VIR infected by "TrojanDownloader.Win32.Agent.dr" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:33:04 2004 => File C:\System Volume Information\_restore{5A5C747A-6D0B-4C2D-9280-D0B5BAFEC42F}\RP104\A0026311.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:33:06 2004 => File C:\System Volume Information\_restore{5A5C747A-6D0B-4C2D-9280-D0B5BAFEC42F}\RP106\A0026326.exe infected by "Trojan-Downloader.Win32.Small.aaq" Virus. Action Taken: No Action Taken.


Fri Dec 03 19:41:07 2004 => File C:\System Volume Information\_restore{5A5C747A-6D0B-4C2D-9280-D0B5BAFEC42F}\RP118\A0043490.exe infected by "TrojanDownloader.Win32.Agent.dr" Virus. Action Taken: No Action Taken.
Fri Dec 03 19:41:07 2004 => File C:\System Volume Information\_restore{5A5C747A-6D0B-4C2D-9280-D0B5BAFEC42F}\RP118\A0043499.exe infected by "Trojan.Win32.Scagent.h" Virus. Action Taken: No Action Taken.


Fri Dec 03 19:41:07 2004 => Scanning File C:\System Volume Information\_restore{5A5C747A-6D0B-4C2D-9280-D0B5BAFEC42F}\RP118\A0043500.exe
Fri Dec 03 19:41:07 2004 => File C:\System Volume Information\_restore{5A5C747A-6D0B-4C2D-9280-D0B5BAFEC42F}\RP118\A0043500.exe infected by "TrojanDropper.Win32.Tibsis.a" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:41:07 2004 => Scanning File C:\System Volume Information\_restore{5A5C747A-6D0B-4C2D-9280-D0B5BAFEC42F}\RP118\A0043501.dll
Fri Dec 03 19:41:07 2004 => File C:\System Volume Information\_restore{5A5C747A-6D0B-4C2D-9280-D0B5BAFEC42F}\RP118\A0043501.dll infected by "Trojan.Win32.Scagent.h" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:41:07 2004 => Scanning File C:\System Volume Information\_restore{5A5C747A-6D0B-4C2D-9280-D0B5BAFEC42F}\RP118\A0043502.exe
Fri Dec 03 19:41:07 2004 => File C:\System Volume Information\_restore{5A5C747A-6D0B-4C2D-9280-D0B5BAFEC42F}\RP118\A0043502.exe infected by "Trojan.Win32.Scagent.h" Virus. Action Taken: No Action Taken.

Fri Dec 03 19:55:39 2004 => File C:\WINDOWS\httpfilter.dll infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.


Fri Dec 03 19:55:39 2004 => File C:\WINDOWS\httpfilter2.dll infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.

Fri Dec 03 20:03:13 2004 => File C:\WINDOWS\n_zglnil.dat infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Fri Dec 03 20:08:15 2004 => File C:\WINDOWS\ssysprs.dll infected by "Trojan-Downloader.Win32.Agent.fc" Virus. Action Taken: No Action Taken.

Fri Dec 03 20:14:33 2004 => Total Disinfected Files: 0




,

Deaktiviere die Systemwiederherstellung -> Neustart -> Systemwiederherstellung aktivieren ...

Leere Temp und Temp. Internet Files.

Leere den AntiVir-Qurantäne-Ordner ...

den Rest lösche manuell im abg. Modus.

Danke für den Tip...
Da ich aber kein Profi bin habe ich Angst durch manuelles löschen meinen Rechner eventuell komplett zu verbiegen. Deshalb folgende Frage:r

Habe gelesen, dass mit Kaspersky Antivirus, solche Dinge beseitigt werden können. Dieser Virenscanner findet wohl auch Viren, welche mit Norton Antivirus z.B. gar nicht detektiert werden. Was haltet ihr davon?

Gruß

Virenhasser

@Virenhasser
mache es bitte wie *Christian* gepostet hatte, ist der einfachste methode.
abgesicherte modus
kuckst du hier
http://www.trojaner-board.de/63335-w...s-starten.html

chaosman