Hallo, beim Durchsuchen nach Trojanern etc. hat mir das Programm Spy-Doctor einen Backdoor-Trojaner angezeigt. Antivir und die anderen Programme zeigen aber nichts an. Deshalbbin ich jetzt verunsichert. Könnt ihr mir also bitte helfen.
Hier ist mein Log-File:




Logfile of HijackThis v1.99.1
Scan saved at 11:52:42, on 29.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\a2\a2guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {20AF0CAF-DFA5-5891-E591-BAB9956B1625} - C:\DOKUME~1\Joachim\ANWEND~1\OPENMA~1\Style Once.exe (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KASP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Mir ist vor allem ''Net-Pumper'' aufgefallen, aber ich krieg es einfach nicht vom PC runter.

netpumper lässt sich doch ganz normal über systemsteuerung->software deinstallieren

Zitat:

Zitat von molaa

netpumper lässt sich doch ganz normal über systemsteuerung->software deinstallieren

kLAR; DAS HABE ICH JA AUCH GETAN; tROTZDEM FINDE ICH IMER WIEDER ORDNER ; DIE nETPUMPER HEI?EN UND IN DER lOG-FILE STEHT ES JA AUCH DRIN

Wenn ich auf Systemsteuerung--->Software gehe, dann werden mir nicht alle Programme angezeigt. Vor ein paar Tagen konnte ich aber jede Software sehen. Komischerweise laufen diese Programme, obwohl sie ja bei Software nicht eingetragen sind. Könnte das was mit einem Trojaner, Virus... zu tun haben??

Hallo Terrortucke

Zitat:

Mir ist vor allem ''Net-Pumper'' aufgefallen, aber ich krieg es einfach nicht vom PC runter.

das Programm erscheint mir nicht als schlecht schau dazu hier Wenn du das deinstallierst und Reste auf deiner Platte manuell löschst ist das weg.
Wenn dein Spy-Doktor dir eine Meldung von einem Backdoor gegeben hat sollte er dir ja auch den Pfad/Ordner mitgeteilt haben. Wo soll sich das Teil befinden?
Um der Sache mal auf den Grund zu gehen solltest du mit eScan deinen Rechner scannen. (siehe meine Signatur)

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

O2 - BHO: (no name) - {20AF0CAF-DFA5-5891-E591-BAB9956B1625} - C:\DOKUME~1\Joachim\ANWEND~1\OPENMA~1\Style Once.exe (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)

scanne jetzt mit eScan, teile uns mit Hilfe der find.bat das Ergebnis mit

Soll ich den E scan auch im abgesicherten Modus machen ??

Lese Dir die Anleitung durch:
http://www.trojaner-board.de/showthread.php?t=17492

Zitat:

Zitat von felix1

Lese Dir die Anleitung durch:
http://www.trojaner-board.de/showthread.php?t=17492

Was soll mir die Anleitung bringen. Kan man meine Frage nicht mit ja oder nein beantworten?????

Wer lesen kann, ist klar im Vorteil
Zitat aus der Anleitung:
1. Deaktiviere die Systemwiederherstellung [3] und wechsle anschliessend in den abgesicherten Modus.

Zitat:

Zitat von felix1

Wer lesen kann, ist klar im Vorteil
Zitat aus der Anleitung:
1. Deaktiviere die Systemwiederherstellung [3] und wechsle anschliessend in den abgesicherten Modus.

Vielen Dank für die Beleidigung. Ich sehe meine Frage als beantwortet an, dennoch hätte man mit ja oder nein enfacher antworten können.
Was würde die Anleitung mehr bringen als eine einfache Antwort??

So Habe nun den e-Scan gemacht(97 minuten!!).
Mir wurde angezeigt, dass Dokumente und Einstellungen-->All Users-->Anwendungsdaten-->Spybot Search and Destroy--->Snapshots-->Reg UBP2b-Joachim.reg mit einem Trojaner infiziert ist. Danach habe ich diese Datei gelöscht. Da ja keine weiteren Viren oder Trojaner gefunden wurden, gehe ich davon aus, dass das Löschen dieser Datei ausreicht, um den Trojaner endgültig von meinem Rechner entfernt zu haben.

Was sagt ihr dazu??
Habe ich alles getan??

Ich würde sagen Ja. Wenn Du ganz sicher gehen willst, kannst Du den escan ja wiederholen, wenn der PC nicht benötigt wird. Man muss ihn ja nicht 90 min beaufsichtigen.

Zitat:

Zitat von felix1

Ich würde sagen Ja. Wenn Du ganz sicher gehen willst, kannst Du den escan ja wiederholen, wenn der PC nicht benötigt wird. Man muss ihn ja nicht 90 min beaufsichtigen.

Auf jeden Fall VIELEN DANK für die Hilfe!!!

@Terrortucke

Zitat:

Was soll mir die Anleitung bringen.

1. Kenntnisse, die dir fehlen
2. Antworten auf deine Fragen
Und das Ganze davon abgesehen, dass Lesen bildet.

Zitat:

Kan man meine Frage nicht mit ja oder nein beantworten?????

Nein.

Zitat:

Vielen Dank für die Beleidigung.

Wenn du dich von felix1 beleidigt fühlst, versuche nächstes mal bei MediaMarkt & Co. die Hilfe zu holen: die sind höfflich und ein paar dutzend Euro werden die von deinem Konto sehr gerne abpumpen .