Untenstehend mein Hijack-Log.

"Mein" Trojaner wird immer aktiv, sobald ich ins Netz gehe. Dann öffnet er mehrere Dateien, z.B. photos.exe. Kurze Zeit später beginnt dann der Prozess svchost.exe - von denen ich 2 habe im Task Manager - der die gesamte Performance des Systems runterholt.

Ich kriege die Dinger nicht entfernt, kaum sind die .exe Dateien gelöscht,sind sie auch schon wieder da, wahrscheinlich habe ich da irgendwo einen DLL, die sofort neue .exe erzeugt.

Und die müßte ich einfach mal rausbekommen...

Hier mein Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 03:25:12, on 07.05.2005
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Trend Micro\PC-cillin 2000\Tmntsrv.exe
C:\Programme\Trend Micro\PC-cillin 2000\pccntupd.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\soundman.exe
C:\WINNT\ALDAEMON.EXE
C:\WINNT\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\System32\Promon.exe
C:\Programme\Acer\Launch Manager\Wbutton.exe
C:\Programme\Acer\Powerkey\powerkey.exe
C:\WINNT\System32\PRPCUI.exe
C:\Programme\Trend Micro\PC-cillin 2000\Pop3trap.exe
C:\Programme\Trend Micro\PC-cillin 2000\WebTrapNT.exe
C:\Programme\Acer\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Launch Manager\HotkeyApp.exe
C:\Programme\Acer\Launch Manager\KeyHook.exe
C:\Programme\Acer\Launch Manager\CtrlVol.exe
C:\Programme\Nokia\Card Phone 2.0\Setup\CardPhoneUIStarter.exe
C:\WINNT\System32\LXSUPMON.EXE
C:\WINNT\loadqm.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3d.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\rundll32.exe
C:\WINNT\System32\CTSVCCD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\ftphost.exe
C:\WINNT\System32\Logitech.exe
C:\WINNT\System32\internat.exe
C:\Programme\D\D-Info\dinfostarter.exe
C:\Programme\Trend Micro\PC-cillin 2000\PNTIOMON.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINNT\System32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe /DeviceName:\\.\Display1
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [AlDaemon] ALDAEMON.EXE
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Acer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [Powerkey] "C:\Programme\Acer\Powerkey\powerkey.exe"
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2000\Pop3trap.exe"
O4 - HKLM\..\Run: [WebTrapNT.exe] "C:\Programme\Trend Micro\PC-cillin 2000\WebTrapNT.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [Launch App] c:\DMSINFO\launapp.exe
O4 - HKLM\..\Run: [UIStarter] "C:\Programme\Nokia\Card Phone 2.0\Setup\CardPhoneUIStarter.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AME_CSA] rundll32 csa.cpl,RUN_DLL
O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Kernel Faults] ftphost.exe
O4 - HKLM\..\Run: [Logitech] Logitech.exe
O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\RunServices: [Kernel Faults] ftphost.exe
O4 - HKLM\..\RunServices: [Logitech] Logitech.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
O4 - Global Startup: D-Info Starter.lnk = C:\Programme\D\D-Info\dinfostarter.exe
O4 - Global Startup: Echtzeitsuche.lnk = C:\Programme\Trend Micro\PC-cillin 2000\PNTIOMON.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: SANTIS USB and PC Card Utility.lnk = C:\Programme\Siemens\SANTIS WLAN\WlanMonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html
O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFFA39DC-8791-4D2B-B999-0C1FFD3F90C2}: NameServer = 195.238.2.21 195.238.2.22
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINNT\system32\IExplore327.exe (file missing)
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2000\Tmntsrv.exe

Du hast eine Menge Mist auf deinem Rechner.
Gehe mal wie folgt vor:

Escan runterladen:

http://www.trojaner-board.de/42731-escan-anleitung.html

Anleitung genau befolgen.

Funde mitteilen:

Zitat:

Zitat von Haui45

Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread

File C:\WINNT\System32\CTSVCCD.EXE infected by "Backdoor.Win32.Rbot.mg" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\ftphost.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\CTSVCCD.EXE infected by "Backdoor.Win32.Rbot.mg" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\ftphost.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\Logitech.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File System Found infected by "FunWebProducts Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "ezula Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINNT\4.html infected by "Trojan-Clicker.JS.Linker.j" Virus. Action Taken: No Action Taken.
File C:\WINNT\kansy.reg infected by "Trojan.WinREG.LowZones.f" Virus. Action Taken: No Action Taken.
File C:\WINNT\kany.reg infected by "Trojan.WinREG.LowZones.f" Virus. Action Taken: No Action Taken.
File C:\WINNT\ss.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\btest4.scr infected by "Trojan-Downloader.NSIS.Gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP1704 infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP1892 infected by "Backdoor.Win32.Codbot.z" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP2884 infected by "Backdoor.Win32.Codbot.z" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP4176 infected by "Backdoor.Win32.Codbot.z" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\DEFAUL~1\LOKALE~1\TEMPOR~1\Content.IE5\G5Y70DUV\dl[1].com infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\DEFAUL~1\LOKALE~1\TEMPOR~1\Content.IE5\ORW5I7OV\io[1].exe infected by "Trojan.WinREG.LowZones.f" Virus. Action Taken: No Action Taken.
Traces of "Welchia" found and cleaned !!!


Anmerkungen:

Das eigentliche Logfile (eScan_neu.txt) kann ich nicht finden. eScan hat 2:44 Stunden gebraucht um alles zu scannen und hat im Programmfenster obige Meldungen abgegeben.

Das System läuft mit 100% Auslastung und dementsprechend langsam. Außerdem habe ich im Explorer ständig die Meldung, daß unsichere Active-X Elemente enthalten sind und somit der Inhalt des Ordners nicht angezeigt werden kann - so kann ich z.B. auch nicht die Dienste in der Systemsverwaltung öffnen, da diese schlichtweg nicht angezeigt werden.

HILFE!

Alleine dieser Schädling, der sich auf deinem System befindet:

http://www.sophos.de/virusinfo/analyses/w32codbotk.html

rechtfertigt es dein System neu aufzusetzen.Am besten gemäß folgendem Link:

http://www.trojaner-board.de/showthread.php?t=12154

um solch einer Infektion in Zukunft vorzubeugen.

Warum eine Bereinigung hie nicht mehr helfen kann:

http://www.mathematik.uni-marburg.de...al.html#sec2.5

Das macht mich fertig.



Die Erstinstallation ist von Ende 2001, den ganzen Kram zusammenzusuchen, das dauert schon eine Woche...