Hi Leutz,

ich habe ein Problem mit einem Trojaner. Ich habe die Datei loader.exe schon ein paar mal gelöscht und den Rechner neugestartet, aber nach jedem Neustart ist die Datei wieder da und der Browser öffnet sich und will ins Netz. Hab schon diverse AV´s benutzt (McAfee mit neuester .dat). Er findet einen Trojaner namens "Download ME" löscht die Datei und beim nächsten Start ist sie wieder da. Spybot, AdAware alles drüberlaufen lassen.

Hab jetzt mal mit HijackThis ein log erstellen lassen und bitte um eure Hilfe. Es scheint so als ob die Datei immer wieder versucht ins Netz zukommen um andere Dateien runterzuladen. Und ich hab nicht wirklich Lust auf ne neu Installation.

Hier das Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:09:11, on 24.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\nslsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\Programme\lotus\notes\ntmulti.exe
C:\WINDOWS\System32\PGPserv.exe
C:\Programme\WatchGuard\CONTROLD.EXE
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\dstart4.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\sxirv.pif
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
C:\WINDOWS\System32\ctfmon.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\ImageConverter Plus\2Tray.exe
C:\Programme\lotus\notes\NLNOTES.EXE
C:\Programme\lotus\notes\ntaskldr.EXE
C:\Dokumente und Einstellungen\xxx\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.search-paga.com/10040/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\dstart4.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [sxirv] C:\WINDOWS\System32\sxirv.pif
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\dstart4.exe
O4 - HKCU\..\Run: [2Tray.exe] C:\Programme\ImageConverter Plus\2Tray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {F694DCC1-F83F-435D-9669-489411371A63} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {F694DCC1-F83F-435D-9669-489411371A63} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

THX schonmal im voraus!

RokkoN

Ich nochmal hat denn keiner eine Idee wie ich das mistding wegbekomme? Oder fehlen euch noch ein paar angaben? Dann meldet euch doch bitte, ist echt wichtig.

Während der Arbeit springen immerwieder popups auf, von irgendwelchen pron seiten und das nervt solangsam.

http://www.trojaner-board.de/showthread.php?t=17492

Also, ich würde folgende Einträge fixen :

C:\WINDOWS\System32\nslsvice.exe
(Erst den Prozess beenden und dann manuell aus dem System32-Verzeichnis rausholen! Am besten unter Quarantäne stellen bzw. isolieren wenn du sie nicht löschen kannst!)

-------------------------------------------------------------------------
C:\WINDOWS\System32\PGPserv.exe
C:\Programme\WatchGuard\CONTROLD.EXE
C:\WINDOWS\System32\dstart4.exe
C:\Programme\ImageConverter Plus\2Tray.exe
C:\Programme\lotus\notes\ntaskldr.EXE
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\dstart4.exe
O4 - HKLM\..\Run: [sxirv] C:\WINDOWS\System32\sxirv.pif
O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\dstart4.exe
O4 - HKCU\..\Run: [2Tray.exe] C:\Programme\ImageConverter Plus\2Tray.exe

(Wenn dir die beiden Einträge was sagen, also bekannt sind, dann brauchst du sie nicht löschen! Wenn du dir nicht sicher bist, lösch sie sicherheitshalber!)
Bzw. prüfe die Dateien unter: http://virusscan.jotti.org/de/ oder unter http://www.kaspersky.com/scanforvirus

-------------------------------------------------------------------------

Außerdem unbedingt fixen :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.search-paga.com/10040/
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
-------------------------------------------------------------------------

Ansonsten kannst du ja mal mit eScan nen Scan durchführen! Da gibts eigentlich immer TOP-Ergebnisse!

eScan Antivirus

Einfach runterladen und kostenlos scannen! Spybot und Ad-Aware waren sicherlich up to date bei dir, oder? Ansonsten nochmal updaten und scannen!

Thx! Das Mistding ist nun endlich weg! Hätte sonst diese Woche den Rechner neu aufgesetzt.

Zitat:

Zitat von RokkoN

Hätte sonst diese Woche den Rechner neu aufgesetzt.

Moin,
Du hast doch Ghost auf dem System installiert...

Zitat:

C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

Hast Du kein aktuelles und 'sauberes' Image, welches Du zurückspielen kannst?
Poste doch bitte noch die eScan-Funde.