Hilfe! Werde Trojaner nicht los!

clapet · 05.09.2005, 16:27

Hallo!

Seit einiger Zeit habe ich drei Trojaner "an Bord", die ich trotz dass ich biem ANtivir auf löschen klicke. Ich glaube die verstekcen sich irgendwo und installieren sich immer wieder selbst. Eingefangen hab ich mir die vermutlich bei einer kürzlichen Neuaufspielung von XP Home bevor ich das Servicepack 2 aufgespielt habe und SIcherheitsupdates laufen gelassen habe. AUßerdem geht ständig ein Fenster auf unten rechts, so´n Hinweisfenster mit der MEldung "Your Comuter might be a risk. Klick here....." Ist mir auch cnith so ganz koscher, das ganze. Spybot und Co. haben mir übrigens nicht helfen können. Nun bin ich was die Registreierungsdatenbank angeht totaler Laie und trau mich da ncith ran. Über ein Mitglied in einem Familienforum bin ich auf diese Seite hier gestoßen und das Programm Hijjackthis und setz jetzt einfach mal mein log (Heißt das so?) hier herein. Kann mir bitte jemand helfen, die Dinger wieder los zu werden? Ich habe keine lust, XP und das ganze gedönse neu aufzuspielen.

Hier also mein log:

Logfile of HijackThis v1.99.0
Scan saved at 17:19:46, on 05.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\PROMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ni_nic.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
D:\download xp\aktuell 0805\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R3 - URLSearchHook: (no name) - {28E73033-2984-654F-3EDA-672D705BDDD4} - SetupExeDll.dll (file missing)
R3 - URLSearchHook: (no name) - {B92B9AE5-56A1-2C98-4210-BEB36A1957E6} - abrek.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avpmondll] NsCplTray.exe
O4 - HKLM\..\Run: [driver32] ssweeper.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [xsetup] ABCXYZ.exe
O4 - HKLM\..\Run: [WTFCTF] corrida.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iesetupdll] utsgmon.exe
O4 - HKCU\..\Run: [Uint32] bhoserv.exe
O4 - HKCU\..\Run: [porka_] systemdll.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [newbreed] clamav.exe
O4 - HKCU\..\Run: [syspanel] panel_its.exe
O4 - HKCU\..\Run: [MNTP] prcmon.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1124732587468
O17 - HKLM\System\CCS\Services\Tcpip\..\{35EB7AFD-2B12-46DA-B1D1-30445162CC01}: NameServer = 195.95.218.51,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F9B42E4-0F2D-455D-A5FA-1F6EC9856551}: NameServer = 195.95.218.51,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1B00C4A-51AD-4FB8-A467-6ECB630625F5}: NameServer = 195.95.218.51,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCC29E79-9A83-4D04-BC01-425223F17199}: NameServer = 195.95.218.51,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4E821B0-E5F6-4DB8-A83A-DC66334BEEDE}: NameServer = 195.95.218.51,85.255.112.12
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Intel Client Instrumentation for DMI - Intel® Corporation - C:\WINDOWS\System32\ni_nic.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Terrortucke" · 05.09.2005, 16:34

123456789 test

dartus · 05.09.2005, 23:30

Hallo clapet,

deinstalliere über Systemsteuerung/Software "Wareout" und andere Dir unbekannte Software.
Weitere Infos zu Wareout
Downloade Adaware und Spybot S&D . Installieren und updaten.

Wechsel in den abgesichertem Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html fixen (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

R3 - URLSearchHook: (no name) - {28E73033-2984-654F-3EDA-672D705BDDD4} - SetupExeDll.dll (file missing)
R3 - URLSearchHook: (no name) - {B92B9AE5-56A1-2C98-4210-BEB36A1957E6} - abrek.dll (file missing)
O4 - HKLM\..\Run: [avpmondll] NsCplTray.exe
O4 - HKLM\..\Run: [driver32] ssweeper.exe
O4 - HKLM\..\Run: [xsetup] ABCXYZ.exe
O4 - HKLM\..\Run: [WTFCTF] corrida.exe
O4 - HKCU\..\Run: [iesetupdll] utsgmon.exe
O4 - HKCU\..\Run: [Uint32] bhoserv.exe
O4 - HKCU\..\Run: [porka_] systemdll.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [newbreed] clamav.exe
O4 - HKCU\..\Run: [syspanel] panel_its.exe
O4 - HKCU\..\Run: [MNTP] prcmon.exe

Lösche wenn noch vorhanden alle "gefixten" Dateien, sowie die in den Link zu "Wareout" aufgeführten.
(Falls noch nicht eingestellt: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken).

Lass dann Adaware und Spybot scannen und alle Funde löschen.

Neustart --< Systemwiederherstellung kann wieder aktiviert werden

Neues Logfile und berichten

dartus

05.09.2005, 16:34	#2
Terrortucke" Gesperrt	Hilfe! Werde Trojaner nicht los! 123456789 test __________________ Geändert von Terrortucke" (05.09.2005 um 16:43 Uhr)

Hilfe! Werde Trojaner nicht los!

Log-Analyse und Auswertung: Hilfe! Werde Trojaner nicht los!