Hallo ihr da draußen. Gestern hat sich auf einmal ohne ersichtlichen Grund mein AntiVir gemeldet, dass es Trojaner gefunden hat. Ich habe sofort versucht etwas dagegen zu unternehmen und habe auch diverse Dateien gelöscht bekommen. Nur ist das Problem, dass ich mich mit dem HijackThis Log nicht so gut auskenne und deshalb würde ich gerne von euch wissen, ob ich noch ein Problem habe, oder nicht.
Hier der Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:06:08, on 24.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\MyDownloadfiles\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Quicken 2003 Zahlungserinnerung.lnk = C:\Programme\Quicken2003\billmind.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O15 - Trusted Zone: w*w.mapleglobal.com
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Vielen Dank schonmal im Vorraus

~~edit~~
Ich habe jetzt hier "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram platform build frag" noch eine Datei mit dem Namen "ping else safe" gefunden. AntiVir und Jotti finden keinen Virus. Was ist das jetzt nur schon wieder?

Zitat:

Zitat von zoryfl

Hallo ihr da draußen. Gestern hat sich auf einmal ohne ersichtlichen Grund mein AntiVir gemeldet, dass es Trojaner gefunden hat. Ich habe sofort versucht etwas dagegen zu unternehmen und habe auch diverse Dateien gelöscht bekommen. Nur ist das Problem, dass ich mich mit dem HijackThis Log nicht so gut auskenne und deshalb würde ich gerne von euch wissen, ob ich noch ein Problem habe, oder nicht.
Hier der Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:06:08, on 24.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\MyDownloadfiles\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Quicken 2003 Zahlungserinnerung.lnk = C:\Programme\Quicken2003\billmind.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O15 - Trusted Zone: w*w.mapleglobal.com
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Vielen Dank schonmal im Vorraus

~~edit~~
Ich habe jetzt hier "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram platform build frag" noch eine Datei mit dem Namen "ping else safe" gefunden. AntiVir und Jotti finden keinen Virus. Was ist das jetzt nur schon wieder?

hier ist eine Anleitung :
http://virus-protect.org/artikel/spyware/lop1.html

**
CleanUp anwenden
http://virus-protect.org/cleanup.html

**
Dr.Web (alles löschen oder umbenennen oder verschieben lassen ! )
http://www.trojaner-board.de/showthread.php?t=59299

hm ja danke für die Antwort, aber es ist ja so: Cleanup hab ich schon laufenlassen. Ist dieses Conterspy und DrWeb.Cureit wirklich noch nötig? In der Beschreibung hier im Forum zum Loswerden des Trojaners werden die Programme ja auch nicht erwähnt.

Gruß

Zitat:

Zitat von zoryfl

hm ja danke für die Antwort, aber es ist ja so: Cleanup hab ich schon laufenlassen. Ist dieses Conterspy und DrWeb.Cureit wirklich noch nötig? In der Beschreibung hier im Forum zum Loswerden des Trojaners werden die Programme ja auch nicht erwähnt.

Gruß

Zitat:

"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gram platform build

Counterspy brauchst du nicht anzuwenden, aber Dr. Web loescht den Swizzor raus. und Panda-Online ist zum Ueberpruefen gedacht
http://virus-protect.org/artikel/spyware/lop1.html

dann:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat:

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

*grml*
Ist es so schwer?
Aktive Links und persönliche Informationen in HJT Log-Files

Zitat:

Bitte beachten !
Wenn ihr ein HijackThis Log-File oder die eScan - Virus Log Information postet, dann achtet bitte in eurem und unserem Interesse darauf, daß ihr die gegebenen Hinweise in den Anleitungen dementsprechend umsetzt!
Speziell bei HJT Log-Files sollten 1) aktive Links und 2) persönliche Informationen editiert werden.

Vielen Dank an die Regulars, die uns bei dieser Aktion unterstützen.

1) Beispiel:
http://www.domain.de/ ändern in
h**p://www.domain.de oder
w*w.domain.de

2) Beispiel:
C:\Dokumente und Einstellungen\Hans Mustermann\Eigene Dateien\Downloads\hijackthis\HijackThis.exe
ändern in
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

Danke sagt das Team vom
Trojaner-Board

Aktualisiere dein Windows, da Windows hochveraltet und Malwarebefall wäre ein Neuaufsetzen durchaus sinnvoll.
Anleitung -> Neuaufsetzen des Systems und anschliessende Absicherung!

Aktive Links aus zoryfls Log und aus Sabinas vollkommen unnötigen Fullquote entfernt. Müsste ich das nicht machen, könnte ich mehr helfen.

Okay, danke soweit mal. Dr.Web läuft grade und ich werde dann posten, was er ausgespuckt hat.

Was nur komisch ist: AntiVir findet nichts mehr, ich hab schon 3mal scannen lassen. Und diesen Messenger hab ich auch noch nie auf der Platte gesehen. Auch die ganzen Dateien, die es anscheinend geben soll im Windows/system Verzeichnis z.B. ... die gibts alle bei mri nicht. Aber man wird sehen - melde mich später wieder - danke

Gruß

~~edit~~
sorry, das mit dem Link wollte ich editieren, aber er hat es mir nicht als aktiven Link angezeigt. Tut mir leid.

Aktiv wird der Link durch Editieren und Speichern, deshalb vorher alle (möglichen) Links "zerstören".
Danke.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7479-82B1

Verzeichnis von C:\WINDOWS\tasks

25.03.2006 12:49 <DIR> .
25.03.2006 12:49 <DIR> ..
25.03.2006 12:49 270 AB78E0D79197969F.job
18.08.2001 14:00 65 desktop.ini
07.09.2005 09:50 6 SA.DAT
3 Datei(en) 341 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\zoryfl\Desktop


Das hier hat dann der Doc ausgespuckt...hat nichts gefunden

zoryfl

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat:

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AB78E0D79197969F.job
del AB78E0D79197969F.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

hm okay, hab ich gemacht - was hat das Ganze jetzt aber gebracht? Was genau ist denn dieser "job" ?

Zitat:

Zitat von zoryfl

hm okay, hab ich gemacht - was hat das Ganze jetzt aber gebracht? Was genau ist denn dieser "job" ?

was meint der Antivirus ? Gibt es noch PopUps ?

AntiVir meint schon lange nichts mehr und PopUp gibts auch keines mehr, wenn ich den IE starte...

Aber wie gesagt: diese "ping else save" Datei da gibts immer noch. Die bekomm ich net weg

Danke aber trotzdem für die bisherige Hilfe!

Gruß

Zitat:

Zitat von zoryfl

AntiVir meint schon lange nichts mehr und PopUp gibts auch keines mehr, wenn ich den IE starte...

Aber wie gesagt: diese "ping else save" Datei da gibts immer noch. Die bekomm ich net weg

Danke aber trotzdem für die bisherige Hilfe!

Gruß

Im abgesicherten modus bekommst du das geloescht und ein Scan mit Dr. Web ist ebenfalls hilfreich
http://www.trojaner-board.de/showthread.php?t=59299