...dann ist der PC eine einzige "Vierenschleuder" !


Nein, das war natürlich etwas übertrieben!

Mein Weibschen war während meiner Abwesenheit im Web als sich mein ICQ meldet und sie bat die Datei xxx anzunehmen seit dem ging nix mehr.
Ich habe nun den PC mittels einiger Vierenprogramme und Tools soweit zum laufen gebracht so das ich wieder ins Internet kann. Doch leider ist er immer noch nicht ganz clean!
Irgend ein Trojaner hält sich noch verbittert fest und macht mir immer wieder Problem!

Spybot findet auch nach jedem Neustart immer wieder Fehler obwohl ich diese erst gelöscht habe.

Ich hoffe ihr könnt mir da weiter helfen?!

Für die Hilfe bedanke ich mich im voraus!


Mfg

Warrant


Hier ein Scan:

Logfile of HijackThis v1.99.1
Scan saved at 14:45:56, on 18.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\svhost.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ipdv.exe
C:\WINDOWS\d3wr.exe
C:\WINDOWS\isrvs\desktop.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
c:\windows\system32\tzlgmr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
D:\Programme-Online\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme-Online\Virusbekämpfung\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lozoo.dll/sp.html#60392
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lozoo.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lozoo.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lozoo.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lozoo.dll/sp.html#60392
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lozoo.dll/sp.html#60392
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lozoo.dll/sp.html#60392
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\svhost.exe
O2 - BHO: Class - {2E350B02-5DF7-6B28-7904-897D53CA0AB7} - C:\WINDOWS\iexn32.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Class - {E8983D00-0142-A0FE-63A0-D9E1F3C04A6B} - C:\WINDOWS\sdkzt.dll
O2 - BHO: Class - {F6F5CE66-F97B-B02C-DFA5-E0E2B60FA523} - C:\WINDOWS\sdkfv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ys2.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [d3wr.exe] C:\WINDOWS\d3wr.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [RSync] C:\WINDOWS\System32\netsync.exe
O4 - HKLM\..\Run: [lpfdszc] c:\windows\system32\tzlgmr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!data.lnk = C:\Programme\FRITZ!\FriDat32.exe
O4 - Global Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.f1organizer.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.addictivetechnologies.com (HKLM)
O15 - Trusted Zone: *.addictivetechnologies.net (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.c4tdownload.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.f1organizer.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.megapornix.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.overpro.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.topconverting.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DEE3E65-9FE3-422C-8CA9-512FD0F12BEF}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{820203B7-A77D-4137-8D0B-5B19B2479E8F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{6DEE3E65-9FE3-422C-8CA9-512FD0F12BEF}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{6DEE3E65-9FE3-422C-8CA9-512FD0F12BEF}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ipdv.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

na dann...selbst ist der MANN! (sieht aber schlimm aus, sämtliche dubiose anwendungen...ala backdoor's.)

aber hier kannst du den logbericht reinkopieren und automatisch auswerten lassen:
http://www.hijackthis.de/index.php

edit: ein teil davon reicht schon für einen totalschaden!
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [d3wr.exe] C:\WINDOWS\d3wr.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [RSync] C:\WINDOWS\System32\netsync.exe
O4 - HKLM\..\Run: [lpfdszc] c:\windows\system32\tzlgmr.exe

fazit: FORMAT C! [leider]

Zitat:

fazit: FORMAT C! [leider]

Das ist nicht unbedingt die Antwort die ich hören wollte!


Auf dem PC sind wichtige Arbeitsdaten wenn die verlohren gehen dann...

gibt es da keine andere Möglichkeit?!


Wo sind hier die Fachmänner unter euch???

Zitat:

Das ist nicht unbedingt die Antwort die ich hören wollte!

Ich denke, rock wird trotzdem bei seiner Meinung bleiben.

Gehe bitte nicht davon aus, dass die alleinige Ursache für diese Sachen auf dem PC Deine Frau ist, zu 99,9% bist Du an dem Zustand mitbeteiligt.

Viele Grüße,
Heike

Dann lasse zunächst Escan im abgesicherten Modus bei deaktivierter Systemwiederherstellung laufen:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm


Anleitung und Download zu Escan

Befolge die Anleitung genau, stell lieber hier im Thread nochmal eine Frage, als das du Escan falsch ausführst.
Sollte Escan keinen aktiven Backdoor erkennen,es könnte einer drauf sein, muss aber nicht, können wir mit einer Bereinigung beginnen.
BTW: Dein Problem liegt u.a. an einem völlig ungepatchtem System.

Zitat:

Zitat von Warrant

Auf dem PC sind wichtige Arbeitsdaten wenn die verlohren gehen dann...

Wenn der PC so wichtig ist, warum ist er dann nicht mit Sicherheitsupdates ausgestattet? Das kannst du vermutlich nicht deiner Frau in die Schuhe schieben.

Zitat:

gibt es da keine andere Möglichkeit?!

Keine, die man guten Gewissens empfehlen kann. Warum das so ist und wie du es in Zukunft verhindern kannst steht unter http://www.trojaner-info.de/report_i...nleitung.shtml

Exemplarisch: C:\WINDOWS\system32\svhost.exe ist RBot:
# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit
# Verändert Kennwörter
# Speichert Tastenfolgen

Dein Rechner wird schon lange nicht mehr nur für deine Zwecke genutzt.

Zitat:

Wo sind hier die Fachmänner unter euch???

Hier sind nur Laien...

"Ich würde es auch vorziehen, wenn ich ihnen diesen verfaulten Stummel, auch bekannt als Raucherbein, nicht amputieren müsste. Schliesslich war das mal ein wunderschönes, gesundes Bein".
"Kann man da nicht noch was mit ner Eigenurintherapie machen? Also wenn ich mir dreimal am Tag auf das Bein pinkel?"
[Michael Fischer in <fufgseoc0bai$.dlg@derfisch.de>]

Gruß
Yopie

Zitat:

Zitat von cronos

Sollte Escan keinen aktiven Backdoor erkennen,es könnte einer drauf sein, muss aber nicht, können wir mit einer Bereinigung beginnen.

Aufgrund laufender svhost.exe ist das imho vertane Zeit.

Gruß
Yopie

Zitat:

Zitat von Yopie

Aufgrund laufender svhost.exe ist das imho vertane Zeit.

Gruß
Yopie

Da ich keinen O4 Eintrag dazu sehe, meiner Meinung nach nicht.
Es gibt ja viele Varianten dazu, und nicht alle sind Bots.
Ich würds prüfen.

Zitat:

Zitat von cronos

Da ich keinen O4 Eintrag dazu sehe, meiner Meinung nach nicht.
Es gibt ja viele Varianten dazu, und nicht alle sind Bots.
Ich würds prüfen.

OK, durch den eScan macht man sich ja nichts kaputt. Wenns mein Rechner wäre, würde ich trotzdem sofort neu aufsetzen.

Gruß
Yopie

@Heike

Zitat:

Gehe bitte nicht davon aus, dass die alleinige Ursache für diese Sachen auf dem PC Deine Frau ist, zu 99,9% bist Du an dem Zustand mitbeteiligt

Das streite ich vorerst auch nicht ab!


@Yopie

Zitat:

Das kannst du vermutlich nicht deiner Frau in die Schuhe schieben.

Das streite ich vorerst auch nicht ab!

Zitat:

Aufgrund laufender svhost.exe ist das imho vertane Zeit.

BIST DU DIR DA GANZ SICHER???

Ganz sicher kann man sich anhand eines Dateinamens nie sein. Ich würde bei meinem Rechner sofort neu aufsetzen, du kannst aber auch erst den escan gem. Anleitung durchführen, um wahrscheinlich danach neu aufzusetzen.

Gruß
Yopie

@ yopie

Die Hoffnung stirbt zuletzt

@cronos und Yopie

THX fürs Mut machen!

Könnt ihr mir vieleicht sagen wie ich wenigstens den Trojaner "TR/Agent.BI " weg bekomme?
Damit ich in Ruhe die wichtigen Daten meines PC sichern kann!
Jedes mal beendet er alle Anwendungen und ich fange wieder von null an!

Denn dieser lässt sich nicht entfernen und kommt immer wieder nach jedem Neustart!

Mach mal den eScan laut Anleitung und poste das Log mithilfe der find.bat.

Gruß
Yopie

hast du schon mit escan gearbeitet? kann unter umständen sehr lange dauern so ein abscannen der festplatte.

in der auto-auswertung siehst du was weg gefixt werden müsste.

aber du kannst auch einen onlinescan anwenden, da erfährst du schnell was los ist: [ganz hintunterscrollen bis zu start scanning]
http://support.f-secure.com/enu/home/ols.shtml

nur lässt sich aktive malware nicht entfernen. das musst du im abgesicherten modus versuchen, manuell.

in diesem modus kannst du auch versuchen daten zu sichern. es sollten sich für den betrieb die notwendigsten treiber laden.
(im taskmanager sollte dann nur noch explorer stehen, zuminderst bei win9x)
edit: besorg dir auch den stinger:
http://vil.nai.com/vil/stinger/ und starte das ding im abgesicherten modus!