Kann mir jemand helfen? Trojanerproblem!

D_A_M_I_E_N · 21.11.2005, 23:31

Hallo!

Seit 2 Jahren bin ich fast völlig verschont geblieben
von lästigen Viren, Würmern, Trojanern etc...
Tja, bis vor einigen Tagen... Argh!
Antivir macht hier zwar ständig Meldung und biept wie
verrückt, aber bringen tut's nichts...
Könnt ihr mir helfen? In erster Linie macht mir der Trojaner
Dldr.ConHook.l zu schaffen... :-(
Da geht aber noch einiges mehr!
Ich glaub', die feiern ne richtig fette Party auf meiner Platte...

Meine Hijackthis-logfile poste ich mal gleich mit:

Logfile of HijackThis v1.99.1
Scan saved at 23:15:37, on 21.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\sysmgr64.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wincntrl.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.903\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\nnnlk.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\wvurq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/071774bc52726200ac00/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124054663293
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124054644005
O20 - Winlogon Notify: nnnlk - C:\WINDOWS\SYSTEM32\nnnlk.dll
O20 - Winlogon Notify: wvurq - C:\WINDOWS\System32\wvurq.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe

irrlicht · 21.11.2005, 23:37

Hallo Damien, die fette Party wundert dich ?
Mich nicht,dein ungepatchtes System läd ja geradezu ein.
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Das ist veraltet und sollte ganz schnell SP2 aufgespielt bekommen.
Hier läßt du mal folgendes Scannen: http://virusscan.jotti.org/de/
C:\WINDOWS\sysmgr64.exe

C:\WINDOWS\system32\wincntrl.exe
Irrlicht

D_A_M_I_E_N · 22.11.2005, 02:11

Danke, für die schnelle Antwort!!!

Okay,

habe jetzt das SP2 installiert.
ABER: Jetzt komme ich nicht mehr ins Internet...

Ja, ähhh... und jetzt?

Bin mit'm Mac vom Freund online,
doch wie bekomme ich diesen GANZEN_HAUFEN
Viren von meinem PC?

Rene-gad · 22.11.2005, 07:36

@D_A_M_I_E_N

Zitat:

habe jetzt das SP2 installiert.

Das hat keiner von dir erwartet bzw. verlangt:Installation von SPs und Patches schützt von Plagen, aber beseitig die bereits vorhandenen nicht.Du musstest die beiden von irrlicht angegebenen Dateien überprüfen und Scanprotokol hier posten. Höchstwahrscheinlich handelt es sich um eine Version von Rbot. In dem Fall muss man die Systemplatte neu formatieren.

irrlicht · 22.11.2005, 14:33

Hallo Damien,
tut mir leid ,ich habe mich da mißverständlich ausgedrückt.
Wenn der Jottiscan das ergibt was Rene-gad vermutet,mußt du dein System neu aufsetzen.Denn dann hat ein Anderer die Herrschaft über deine Kiste übernommen mit allen möglichen negativen Folgen.Die "fette Party" könnte sich in deine eigenen vier Wände verlagern,wenn dir im Morgengrauen die Polizei die Türe eintritt weil sie dich für Osama bin Laden oder einen Kinderschänder hält.Die Reihe ist beliebig fortsetzbar. Nach dieser Anleitung solltest du vorgehen,damit das ohne Probleme funktioniert :
http://www.trojaner-board.de/showthread.php?t=12154
Unten auf der angegebenen Seite steht ein PDF Download zur Verfügung,den solltest du vorher ausdrucken,also bevor du das Neuaufsetzen beginnst.
Irrlicht

D_A_M_I_E_N · 22.11.2005, 15:24

Okay Leute!

Ich werde jetzt meine C-Partition (mit Windows undso) formatieren
und dabei natürlich die Anleitung berücksichtigen.

Vielen Dank für eure Mühe!

D_A_M_I_E_N · 23.11.2005, 15:57

Logfile of HijackThis v1.99.1
Scan saved at 15:54:38, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Meins\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Meine neue Logfile!
Die Party beendet und den Saustall ausgemistet!

Alles wieder in Butter!

irrlicht · 23.11.2005, 16:59

Hallo Damien,
jep,sauber wie ein frisch gewickelter Kinderpopo.
So muß das aussehen !
Die anderen Tips von Cidres Anleitung hast du beherzigt ?
Irrlicht

Kann mir jemand helfen? Trojanerproblem!

Plagegeister aller Art und deren Bekämpfung: Kann mir jemand helfen? Trojanerproblem!