Hallo!

Nachdem ich heute mit AV den Rechner durchsucht habe, wurde mir ein Trojaner (Small.GA.7) im Lokale Einstellungen/Temp Ordner angezeigt (1.tmp und 2.tmp). Da die Dateien geloggt sind lassen sie sich nicht löschen und tauchen immer wieder nach dem Neustart auf. Zudem erscheint ab und an eine Laufschrift am oberen Desktoprand: "Your computer is infected! Press here for help..." Dammich!
Vielleicht kann mir jemand sagen, wie ich vorgehen soll.
Hier habe ich mal die Logfile von HJT:

Logfile of HijackThis v1.99.1
Scan saved at 13:12:51, on 18.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Programme\Hijackthis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2217EBA5-4FD8-4C0E-8502-EC40D6E8410F}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCD3E0CE-0564-437B-A4FF-9D1B3DBF9FEF}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2217EBA5-4FD8-4C0E-8502-EC40D6E8410F}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2217EBA5-4FD8-4C0E-8502-EC40D6E8410F}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - Unknown owner - C:\Acer\eManager\anbmServ.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Servus!

Hast Du schon versucht. die beiden Dateien mit der killbox und der Funktion 'kill on reboot' zu löschen?
Lass anschließend mal den aktualisierten Virenscanner im abgesicherten Modus laufen und poste das Ergebnis (die Funde). Da sollte noch mehr sein!
stupormundi

Danke! Nachdem ich die Dateien mit Killbox abgeschossen habe und auch eine verdächtiger Eintrag bei Adaware entfernt habe, findet der Antivirus weder im abgesicherten noch im normalen Modus etwas. Allerdings glaube ich auch, dass sich tief tief im Rechner was versteckt hält. Vielleicht komme ich ihm noch auf die Schliche und gebe Bescheid!

Servus!
Dazu lass mal - als Alternative zu Deinem AV-Scanner - escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

Hallo,

also war mein AV nicht genau genug, denn mit escan habe ich folgende Einträge gefunden:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Jan 18 14:32:59 2006 => System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: Keine Aktion vorgenommen.
Wed Jan 18 14:32:59 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: Keine Aktion vorgenommen.
Thu Jan 19 09:16:26 2006 => System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: No Action Taken.
Thu Jan 19 09:16:26 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Thu Jan 19 09:50:58 2006 => File C:\WINDOWS\mwcpdi.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
Thu Jan 19 09:50:58 2006 => File C:\WINDOWS\mpqrgm.dat infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Thu Jan 19 09:50:58 2006 => File C:\WINDOWS\stsbic.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
Thu Jan 19 09:53:21 2006 => File C:\Dokumente und Einstellungen\??\Lokale Einstellungen\Temp\11.tmp infected by "not-virus:Hoax.Win32.SpyWare.a" Virus! Action Taken: No Action Taken.
Thu Jan 19 09:53:22 2006 => File C:\Dokumente und Einstellungen\??\Lokale Einstellungen\Temp\12.tmp infected by "Trojan.Win32.Small.ga" Virus! Action Taken: No Action Taken.
Thu Jan 19 09:53:23 2006 => File C:\Dokumente und Einstellungen\??\Lokale Einstellungen\Temp\11.tmp.exe infected by "not-virus:Hoax.Win32.SpyWare.a" Virus! Action Taken: No Action Taken.
Thu Jan 19 09:53:23 2006 => File C:\Dokumente und Einstellungen\??\Lokale Einstellungen\Temp\12.tmp.exe infected by "Trojan.Win32.Small.ga" Virus! Action Taken: No Action Taken.
Thu Jan 19 11:23:52 2006 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Jan 19 11:23:52 2006 => Scanning File C:\Programme\AVPersonal\INFECTED\1.TMP.VIR
Thu Jan 19 11:23:52 2006 => File C:\Programme\AVPersonal\INFECTED\1.TMP.VIR infected by "Trojan.Win32.Small.ga" Virus! Action Taken: No Action Taken.
Thu Jan 19 11:23:52 2006 => Scanning File C:\Programme\AVPersonal\INFECTED\1.TMP.001
Thu Jan 19 11:23:52 2006 => File C:\Programme\AVPersonal\INFECTED\1.TMP.001 infected by "Trojan.Win32.Small.ga" Virus! Action Taken: No Action Taken.
Thu Jan 19 11:23:52 2006 => Scanning File C:\Programme\AVPersonal\INFECTED\2.TMP.VIR
Thu Jan 19 11:23:52 2006 => File C:\Programme\AVPersonal\INFECTED\2.TMP.VIR infected by "Trojan.Win32.Small.ga" Virus! Action Taken: No Action Taken.
Thu Jan 19 12:13:24 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Kann ich die Dateien und Registry-Einträge ebenfalls mit Killbox entfernen?

Servus! Entferne im abgesicherten Modus (mit der killbox) die beanstandeten Dateien.
Mit diesem Tool (Clearprog 1.4.1 final) und der Funktion 'clear all' (links unten) kannst Du auch den restlichen Ballast (Temporärordner) löschen!
stupormundi

Danke Dir! Bis auf die Registrierungsdateien konnte ich alles löschen. Wie gehe ich aber mit den Registryschlüsseln um? Ausserdem habe ich escan mal im normalen Modus laufen lassen und weitere Funde gemacht:

Wed Jan 18 14:51:59 2006 => System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: Keine Aktion vorgenommen.
Wed Jan 18 14:51:59 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: Keine Aktion vorgenommen.
Wed Jan 18 14:52:00 2006 => System found infected with tencent qq Spyware/Adware (skin.ini)! Action taken: Keine Aktion vorgenommen.
Wed Jan 18 14:52:06 2006 => System found infected with tencent qq Spyware/Adware (skin.ini)! Action taken: Keine Aktion vorgenommen.
Wed Jan 18 14:52:07 2006 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: Keine Aktion vorgenommen.
Wed Jan 18 14:52:08 2006 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: Keine Aktion vorgenommen.
Thu Jan 19 14:19:13 2006 => System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: No Action Taken.
Thu Jan 19 14:19:13 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Thu Jan 19 14:19:15 2006 => System found infected with tencent qq Spyware/Adware (skin.ini)! Action taken: No Action Taken.
Thu Jan 19 14:19:21 2006 => System found infected with tencent qq Spyware/Adware (skin.ini)! Action taken: No Action Taken.
Thu Jan 19 14:19:22 2006 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.
Thu Jan 19 14:19:23 2006 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action