Hallo !

Ich habe seit gestern einen Trojaner drauf.

Ich habe:

Windows XP Prof. (ohne service packs)
Antivir als schutzprogram.

Es fing gestern damit an dass ich von Antivir dauernd die Meldung bekam dass sich irgendein Virus installieren wil,.. ich habe imer auf Datei Löschen geklickt aber es kam immer wieder. Nach einiger Zeit hats dann aufgehört und ich habe mit Ad-Aware (oder so ähnlich) einen scan gemacht und dort dann einige Dateien gefunden und gelöscht.

Heute habe ich meinen PC angemacht und es ging fast gar nichts mehr, sofort kam eine Virus Meldung von Antivir, dass sich der Trojaner: "Dldr.Lastard.H" aus dem Ordner C:/WINDOWS/SYSTEM32/QYBNDW30104LIB.DLL installieren will. Mein PC reagiert auf fast nichts mehr. Er ist nur noch sehr langsam. Es dauert ca. 5 Minuten bis sich der Task Manager aufbaut. In dem allerlei Zeugs in den Prozessen ist,.. ich weiß aber nicht was der Übeltäter ist, der immer wieder den Virus installieren will. Deshalb hier mal eine Auflistung aller Prozesse:

GUARDGUI.EXE
wmiprvse.exe (der hat auf jeden Fall mit dem Virus zu tun, denn ich habe ihn gestern und heute schon mehr mals gelöscht und er öffnet sich immer wieder ziemlich rasch, aber ich kann den prozess beenden so oft ich will,.. er kommt immer wieder. Daneben steht übrigens NETZWERKDIENST)
taskmgr.exe
GUARDGUI.EXE
CTEaxSpl.exe
wdfmgr.exe
swvchost.exe
fsamcl.exe
mdm.exe
CTSVCCDA.EXE
AVWUPSRV.EXE
ati2exxx.exe
AVGUARD.EXE
alg.exe
RcMan.exe
backWeb-8876480.exe
ctfmon.exe
svchost.exe
svchost.exe
spoolsv.exe
AVGNT.EXE
PDVDServ.exe
jusched.exe
svchost.exe
iTouch.exe
MsPMSPSv.exe
svchost.exe
lsass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
CTHELPER.EXE
atiptaxx.exe
sstray.exe
explorer.exe
system
Leerlaufprozess

So,... ich hoffe hier kann mir jemand helfen,... denn bei google habe ich zu "Dldr.Lastard.H" nichts gefunden und ein virenscan läuft bei mir nicht,.. denn wie gesagt der PC reagiert nur noch sehr langsam. Wenn euch bei den Prozessen irgendwas komisch vorkommt,.. dann sagt mir das bitte. Oder wenn ihr wisst wie ich meinen PC retten kann,... denn die Daten darauf sind sehr wichtig.

Gruß

Carlo

Poste zunächst mal nach folgender Anleitung einen Hijackthis-Log !

Geht ja nicht,... ich sitze hier gerade an einem anderen PC,.. mein PC spinnt total,... das würde Tage dauern bis ich dass dann vielleicht hinbekomme,... da geht so gutwie nix mehr,.. das ist ja das Problem.

Zitat:

Zitat von Don Carlos

mein PC spinnt total,... das würde Tage dauern bis ich dass dann vielleicht hinbekomme

Dann setz das System neu auf, und zwar nach folgender Anleitung:

http://www.trojaner-board.de/showthread.php?t=12154

Das ist dann alles in allem in ein paar Stunden getan, du hast Ruhe und weisst, das dein System sicher konfiguriert ist.

und was ist mit meinen ganzen Daten die ich auch den Platten habe? Die sind dann all futsch? Ich brauche die aber unbedingt,.. gibts da nicht irgendeine Möglichkeit die zu retten?

zusätzlich habe ich jetzt noch den Prozess wuaulct.exe am laufen,.. ein SYSTEM Prozess,...

ich werd verrückt,... wenn ich die ganzen Daten jetzt verliere.

Es gibt 2 Möglichkeiten:

1.
Entweder du postest ein HijackThis Logfile und wir schauen , ob dein System noch zu retten ist.

2.
Du setzt dein System direkt neu auf, sicherst vorher deine wichtigen Daten auf einem externen Datenträger und prüfst die Daten, bevor du sie zurückspielst, mit einem aktuellen Virenscanner.Evtl. mit einem zweiten gegenprüfen.

aha,... ich bin gerade einen kleinen schritt weitergekommen,... ich habe den Virus in SYSTEM32 umbenannt und ihn anstatt .dll die endung .jpg gegeben,... anschließend habe ich ich die Datei mit Antivir gelockt,... jetzt bekomme ich keine Virusmeldungen mehr,... ich werde jetzt mal mit dem PC ins Internet gehen und versuchen mit HiJack this die Log file zu erstellen.

Gruß

Carlo

Hallo !

Also hier ist jetzt mein HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:13:05, on 04.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\qyb.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\saves\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [qyb] C:\WINDOWS\System32\qyb.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [svchost] svhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - Startup: fix.bat.lnk = C:\fix.bat
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.neededware.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU-newOCX/ocx/12110/CTSUEng.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by18fd.bay18.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115389139390
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU-newOCX/ocx/12110/CTPID.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe


Ich hoffe ihr könnt mir helfen,... Danke schon im Vorraus.

Gruß

Carlo

Ich will nicht drängen,.. auf keinen Fall,.. aber wie lange braucht ihr für das Überprüfen in der Regel?

Ich habe mal start --> ausführen "msconfig" ausgeführt und dann einige Programme rausgenommen,... wie z.B.: qyb.exe die sich im Ordner WINDOWS/System32 versteckt und auf jeden Fall ein Virus ist oder einen solche verursacht.

Bei einigen Sachen bin ich mir nicht sicher,.. und frage deshalb mal nach ob jemand eine dieser Dateien kennt:

UpdReg [C:\WINDOWS\UpdReg.exe]
dumprep 0-k [%systemroot%\system32\dumprep 0-k]
hpztsb04 [C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
points manager [c:\program files\altnet\points manager\points manger.exe-s]

Also ich habe noch nie von diesen Anwendungen gehört und könnte sie jetzt auch nicht zuordnen.

Gruß

Carlo

In deinem Logfile sind ziemlich viele Einträge vorhanden, die auf Malware schließen lassen. Überprüfe deinen Rechner deshalb zunächst mit eScan und poste das Ergebnis.

Naja,.. nach knapp 1,5 stunden hat er schon 31 Viren und ca. 250 Errors gefunden,... scheint aber noch ein bisschen zu dauern,... sind knapp 250 GB Daten.

Hoffentlich lassen die sich nachher auch entfernen,.... ich habe bevor ich mit dem scan angefangen habe,.. so einen BackWebAgent aus dem Logitech ordner zu löschen,.. und der wollte einfach nicht gehen,.. weil er in BHetrieb war...

Wenn eScan fertig ist, poste ich hier die Log-File.

Gruß

Carlo

So,... ich habe eScan jetzt durch laufen lassen und er hat sehr viel gefunden,... 130 Viren.

Die Logfile mit 97 MB hier zu posten würde wahrscheinlich den Rahmen sprengen,... deshalb habe ich sie hochgeladen.

Rechtsklick --> speichern unter

mwav.log

Außerdem habe ich auch die Virus-Log-Information aus dem Fenster von eScan kopiert und in eine txt gepackt und ebenfalls hochgeladen (die datei find.bat die in der Anleitung beschrieben wurde habe ich bei mir nicht gefunden, deshalb habe ich es manuell gemacht). Da die Datei ist zwar nur 68KB groß, aber ich empfand sie auch für zu lang um sie hier ins Board zu posten, deshalb habe ich auch diese Datei hochgeladen

Rechtsklick --> speichern unter

Virus-Log-Information

Also ich hoffe dann mal, dass euch das ausreichend Informationen gibt um eine Analyse zu erstellen und mir Anweisungen zu geben diese Krankheiten loszuwerden.

Ich möchte noch dazu sagen, dass ich Anfang August neue Computer Komponenten bekomme (Mainboard, Prozessor, Graka, Rams, HDDs) und dann mein System neu installiere und aufsetze. Ich hoffe daher, dass mein jetziges System wenigstens vorrübergehend noch zu retten ist.

Gruß

Carlo

EDIT: Ich kann zwar gerade mit meinem PC arbeiten, aber ich bekomme ca. alle 5 Minuten eine Virusmeldung von Antivir,.. für den Virus TR/Buddy.F. Ich klicke dann immer auf "Datei Löschen" im Anitvir WARNUNGS Fenster. Gerade habe ich jedoch einen Forumseintrag geschrieben und bekam wieder die Warnmeldung, da ich aber gerade am schreiben war und anscheinend einige Buchstaben für einen Bestimmten punkt in der Auswahlliste im AnitVir warnfenster stehen, war das Fenster schon weg als ich aufgehört habe mit dem schreiben,.. und ich abe nicht gesehen welches Kästchen jetzt angekreuzt war. Jedenfalls kommt die VirusMeldung jetzt nicht wieder und ich habe Angst, dass ich vielleicht "Auf Datei belassen und Zugriff erlauben" gedrückt habe,... naja,.. also im Moment kann ich mit dem PC noch arbeiten,... ich hoffe dass die eScan Analyse euch weiterhilft und ich endlich mein System wieder ans Laufen bringe.

Das schaut leider nicht gut aus. Der Großteil der Files sitzt zwar in temporären Dateien, aber eben nicht alle.

Zitat:

C:\WINDOWS\system32\svhost.exe infected by "Backdoor.Win32.SdBot.gen"

=> http://www.trojaner-board.de/showpos...28&postcount=2

Naja,... mir scheint ja wohl nichts anderes übrig zu bleiben als neu aufzusetzen,.. jedoch kann ich das frühestens in 2 Wochen machen,.. dafür sind die Daten einfach zu wichtig und die Arbeit muss fertig werden.

3 Fragen noch:

Kann es passieren dass die Viren sich automatisch mit auf die DVDs schleichen wenn ich z.B. ein paar Daten DVDs zur Dateisicherung erstelle?

In allen Logs die ich durchgeschaut habe, ist immer nur Festplatte C: aufgetaucht mit verseuchten Dateien. Auf Festplatte F: habe ich auch fast nur Daten drauf... kann es trotzdem sein, dass sich da auch ein Virus verstekct hält?

Kann ich einen Laptop anschließen und Daten von meinem Rechner auf den Laptop ziehen, ohne dass sich der Virus überträgt?


Gruß

Carlo

Zitat:

Zitat von Don Carlos

Naja,... mir scheint ja wohl nichts anderes übrig zu bleiben als neu aufzusetzen,.. jedoch kann ich das frühestens in 2 Wochen machen,.. dafür sind die Daten einfach zu wichtig und die Arbeit muss fertig werden.

Trenn' den PC bis dahin bitte vom Netz.

Zitat:

Zitat von Don Carlos

Kann es passieren dass die Viren sich automatisch mit auf die DVDs schleichen wenn ich z.B. ein paar Daten DVDs zur Dateisicherung erstelle?

Kann passieren.
Lutz über Datensicherung (auf ausführbare Dateien würde ich persönlich ganz verzichten). Word- u. Excel-Dokument sollten aber in den meisten Fällen kein Problem darstellen.

Zitat:

Zitat von Don Carlos

In allen Logs die ich durchgeschaut habe, ist immer nur Festplatte C: aufgetaucht mit verseuchten Dateien. Auf Festplatte F: habe ich auch fast nur Daten drauf... kann es trotzdem sein, dass sich da auch ein Virus verstekct hält?

Kann sein, aber wahrscheinlich reicht es, wenn du C: formatierst.

Zitat:

Zitat von Don Carlos

Kann ich einen Laptop anschließen und Daten von meinem Rechner auf den Laptop ziehen, ohne dass sich der Virus überträgt?

Davon rate ich dringenst ab!