Wie entferne ich die Trojaner???

brixxi · 01.03.2005, 15:30

Habe seit gestern folgendes Problem: Mein PC (Betriebssystem Windows XP) stürzt ständig ab. Gestern konnte ich über Mozialla problemlos ins Internet, der Internet Explorer hat nicht funktioniert. Mein Anti Vir-Programm ist auch nach einiger Zeit abgestürzt. Nun habe ich das HiJackThis-Programm durchlaufen lassen und die betroffenen Dateien - soweit es möglich war - gelöscht. Heute komme ich nicht über Mozilla sondern nur über den IE ins Internet und mein Anti Vir-Programm konnte ich starten. Nach ca. 20 Minuten wurde dann das erste trojanische Pferd gefunden. Habe dann Datei löschen betätigt und das Programm läuft weiter. Mein Problem ist nun, dass das ganze nach ca. 45 Min wieder abstürzt und wenn ich den PC dann wieder hochfahre kommen wieder die Warnmeldungen dass Trojaner gefunden wurden. Gehe ich dann auf Löschen kommt die Melden: Rundll Modul nicht gefunden... Bitte helft mir bin am verzweifeln!

Haui45 · 01.03.2005, 16:26

Was wird/wurde wo gefunden?
Was hast du mit HijackThis "gefixt"?
Poste ein HijackThis-Logfile in diesen Thread.

Dané · 01.03.2005, 16:54

Check mal die Hosts Datei. Wenn Du schon Trojanas auf dem System hattest. Vllt haben die die Datei verändert. Zu finden als versteckte Datei unter 'Windows'->'SYSTEM32'->'DRIVERS'-<'ETC'. Mit dem Notepad aufmachen und mit DIESER Datei vergleichen

Wenn dir ein unterschied auffällt ,bitte posten.

Das würde ich mal zuerst vorschlagen,ist in den meisten fällen eine Lösung.

brixxi · 01.03.2005, 17:46

Habe mein Antiviren-Programm nun im abgesicherten Modues durchlaufen lassen und die betroffenen Dateien löschen lassen. Bekomme aber im normalen Modus nach wie vor die Fehlermeldungen und einige Dateien die ich gestern im HijackThis gelöscht hatte sind immer noch da.

Logfile of HijackThis v1.99.1
Scan saved at 16:42:27, on 01.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\soundman.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking2.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\systime.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\systime.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\StarOffice6.0\program\soffice.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\xor\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinZip\WINZIP32.EXE
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy1:8080
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {04241A1F-39A3-47ED-89E6-96F9FA6EF7B8} - C:\WINDOWS\System32\nnmo.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [xor] C:\WINDOWS\System32\xor\svchost.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [cRyStUcJ] C:\WINDOWS\System32\dryalyspyfvmwb.exe
O4 - HKLM\..\Run: [P2P Networking2] C:\WINDOWS\System32\P2P Networking\P2P Networking2.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe \RESET
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\hwshzdn.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.co...veX/winrep.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19fd5a18...dxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} (WebResponseAttachments Control) - https://webresponse.one.microsoft.co...X/FileXfer.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O18 - Filter: text/html - {1972EAC4-6AE8-42DF-AEA1-4A79EBCA029A} - C:\WINDOWS\System32\nnmo.dll
O20 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

brixxi · 01.03.2005, 17:51

hmm habe jetzt versucht das mit dem Word Pad zu öffnen und habe dann mehrere Dateien zur Auswahl. Die die deiner am ähnlichsten sieht ist Imhosts, hat aber folgenden Inhalt:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine Beispieldatei für LMHOSTS, wie sie von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
# Sie ist mit der LMHOSTS-Datei von Microsoft TCP/IP für LAN Manager 2.x
# kompatibel.
# Bearbeiten Sie diese Datei mit einem ASCII-Editor.
#
# In dieser Datei werden einzelnen IP-Adressen die entsprechenden
# Computernamen (NetBIOS-Namen) zugeordnet. Jeder Eintrag sollte aus
# einer einzelnen Zeile bestehen.
# Die IP-Adresse wird in der ersten Spalte eingetragen, gefolgt vom
# zugehörigen Computer-Namen. Die Adresse und der Computer-Name müssen
# dabei durch mindestens ein Leerzeichen oder ein Tabulatorzeichen
# getrennt sein.
# Das Zeichen "#" wird gewöhnlich Kommentaren vorangestellt. Ausnahmen
# hiervon sind die folgenden Erweiterungen:
#
# #PRE
# #DOM:<Domäne>
# #INCLUDE <Dateiname>
# #BEGIN_ALTERNATE
# #END_ALTERNATE
# \0xnn (Unterstützung nichtdarstellbarer Zeichen)
#
# Die Erweiterung "#PRE" wird nach dem Computer-Namen angegeben, wenn
# dieser Eintrag bereits zu Anfang in den Namen-Cache geladen werden
# soll. Standardmäßig werden die Einträge nicht zu Anfang in den Namen-
# Cache geladen, sie werden jedoch auch nur dann ausgewertet, wenn die
# dynamische Namensauswertung fehlschlägt.
#
# Die Erweiterung "#DOM:<Domäne>" wird nach dem Computer-Namen angegeben,
# wenn der Eintrag mit einer Domäne verknüpft werden soll.
# Dies wirkt sich auf das Verhalten des Computer-Suchdienstes und des
# Anmeldedienstes in der TCP/IP-Umgebung aus.
# Die Erweiterung "DOM:<Domäne>" kann zusammen mit der Erweiterung "PRE"
# für einen Eintrag angegeben werden.
#
# Die Angabe von "#INCLUDE <Dateiname>" veranlasst den NetBIOS Helper-
# Dienst die angegebene Datei zu suchen und sie wie eine lokale Datei
# auszuwerten. Für <Dateiname> werden UNC-Namen akzeptiert. Dadurch ist
# es möglich, eine LMHOSTS-Datei zentral auf einem Server zu verwalten.
# Befindet sich der Server außerhalb des Broadcast-Bereichs, ist eine
# Adresszuordnung für diesen Server vor der "#INCLUDE"-Anweisung not-
# wendig.
#
# Die Anweisungen "#BEGIN_ALTERNATE" und "#END_ALTERNATE" ermöglichen die
# Gruppierung von mehreren "#INCLUDE"-Anweisungen.
# Ist eine "INCLUDE"-Anweisung erfolgreich, werden alle weiteren
# "INCLUDE-ANWEISUNGEN" übersprungen und die Gruppe verlassen.
#
# Nichtdarstellbare Zeichen können im Computer-Namen enhalten sein.
# Solche Zeichen müssen als Hex-Wert in der \0xnn-Notation angegeben
# werden und zusammen mit dem NetBIOS-Namen in Anführungszeichen
# eingeschlossen werden.
#
#
# Beispiel:
#
# 102.54.94.97 maestro #PRE #DOM:technik # DC von "Technik"
# 102.54.94.102 "spiele \0x14" # besonderer Server
# 102.54.94.123 nordpol #PRE # Server in 3/4317
# #BEGIN_ALTERNATE
# #INCLUDE \\lokal\public\lmhosts
# #INCLUDE \\maestro\public\lmhosts
# #END_ALTERNATE
#
# In diesem Beispiel enthält der Server "spiele" ein Sonderzeichen
# im Namen, und der Server "nordpol" wird bereits zu Anfang in den
# Namen-Cache geladen.
# Die Adresszuordnung für den Server "maestro" wird angegeben, um diesen
# Server weiter unten in der #INCLUDE-Gruppe verwenden zu können.
# Wenn der Server "lokal" nicht verfügbar ist, wird die zentrale LMHOSTS-
# Datei auf "maestro" verwendet.
#
# Beachten Sie, dass die gesamte Datei bei jeder Auswertung durchsucht wird,
# einschließlich der Kommentarzeilen. Es wird daher empfohlen, die obigen
# Kommentarzeilen zu entfernen.

Haui45 · 01.03.2005, 17:57

Dein System ist total verseucht. Du solltest es zu deiner eigenen Sicherheit neu aufsetzen. -> Anleitung

Könntest du vorher evtl. die Datei C:\WINDOWS\System32\ntddetect.exe online bei http://virusscan.jotti.org überprüfen und das Ergebnis posten?

btw: Für den Fall, dass die Datei nicht von allen Scannern erkannt wird, könntest du sie bitte bei www.malwareupload.com hochladen?

brixxi · 01.03.2005, 18:16

oh, das hört sich nun gut an. Hoffe das geht auch ohne meine Windows XP-Datei, die müsste ich mir nämlich erst aus Deutschland schicken lassen. Und heisst das dann das alle Datein, das Office-Paket etc. auch alles neu installiert werden muss? Habe verucht die exe-Datei zu finden, finde aber nur die ntddetect als DAT und die ist ok.

Haui45 · 01.03.2005, 18:39

Q: Was bedeutet Neuaufsetzen?
A: Es sollte mindestens die System-Partition (i.d. Regel C: ), besser aber alle befindlichen Partitionen der Festplatte, gelöscht werden. Anschliessend wird die Festplatte bei der Installation des Betriebssytems neu partitioniert und das System gemäss der nachfolgenden Anleitung abgesichert.

d.h. die gesamte Festplatte bzw. die Systempartition formatieren und Windows sowie alle anderen Programme neu installieren. Dazu brauchst du die XP-CD.

btw: sind die Ordneroptionen so gesetzt?

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

brixxi · 01.03.2005, 21:40

puuuh das wird echt ein Akt werden hier in der Ferne. Werde dann wohl erst mal alle Office-Dateien auf CD brennen. Habe die Einstellungen im Windows-Explorer überprüft und sie sind NICHT so gesetzt wie du empfohlen hast. Was bedeutet das?

Wie entferne ich die Trojaner???

Plagegeister aller Art und deren Bekämpfung: Wie entferne ich die Trojaner???