guten tag!

ich bitte euch um hilfe bitten bezüglich eines (vermutlichen) trojaner problems.

maus und keybord spielen verrückt, d.h. sind nur bedingt steuerbar und verselbständigen sich dauernd.

das HijackThis logfile sagt folgendes:

###################

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MSI\LAN Utility\DiagAP8169.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Apache\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\mysql\bin\mysqld-nt.exe
C:\Apache\Apache.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Programme\iPod\bin\iPodService.exe
D:\PROGRAMME\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=144440
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?new-hklm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://default-homepage-network.com/start.cgi?new-hkcu
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169 /hw
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [svcsys32] svcsys32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [svcsys32] svcsys32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...198.2437384259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

###################

würd ich mich echt freuen über hinweise...

greetz_jo

Das sieht nicht wirklich gut aus!

Vermutlich bzw zu 99% ist es der hier

http://www.sophos.de/virusinfo/analy...2agobotll.html

Mach bitte mit escan im abgesicherten Modus einen Scan,gehe genau nach Anleitung vor,und poste dann das Ergebnis!

http://www.trojaner-board.de/42731-escan-anleitung.html

hallo, kann mir irgendjemand helfen??
Ich kenne mich gar nicht mit dem Pc aus, habe jedoch einen Virus namens TR/HideRun.A.5 auf dem Pc!!
Ich kann ihn nicht löschen da er auf dem Archiv ist!!
Was soll ich bloß tun???

Zitat:

Zitat von mysteriös

hallo, kann mir irgendjemand helfen??
Ich kenne mich gar nicht mit dem Pc aus, habe jedoch einen Virus namens TR/HideRun.A.5 auf dem Pc!!
Ich kann ihn nicht löschen da er auf dem Archiv ist!!
Was soll ich bloß tun???

Hallo,

bitte eröffne einen eigenen Thread und poste dort bitte ein Log von HijackThis rein! http://filepony.de/download-hijackthis/

vielen dank für die rasche antwort.

meine antwort brauchte leider etwas länger. - ist nicht so einfach mit nem verrückten computer irgendwas auszuführen....

gefunden wurden
- exploit.codebaseexec
- trojan downloader.win32.vb.dj
(copy&paste leider nicht möglich)

nachdem ich glaubte, diesen agobot schon vor monaten identifiziert und entfernt zu haben, gebe ich jetzt auf.

ich werd neu aufsetzten.

aber jedenfalls danke für hilfe!
grüsse_jo

Das wird wohl das beste sein,lese dazu auch folgenden Beitrag:

http://www.trojaner-board.de/showpos...28&postcount=2

Gruss

Edit: Du solltest auch alle Passwörter ändern!