Hi!

Ich befürchte fast, dass ich ein Trojaner habe. Ich habe mittlerweile im abgesicherten Modus Ewido arbeiten lassen. Der hat dann auch einen Trojaner namens Trojan.Ciadoor.m oder Trojan.Ciadoor.13 gefunden.
Ich habe diesen Trojaner entfernen lassen, im Windowsverzeichnis den Temp Ordner gelöscht und wollte jetzt wissen, ob der Spuck ein Ende gefunden hat.
Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:04:27, on 22.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\*******\LOKALE~1\Temp\Rar$EX00.718\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.1] C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avgtcrntr - H+BEDV Datentechnik GmbH - (no file)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



-----

Ich befürchte fast, dass:

O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner -

..der Trojaner ist, kann das sein?

Zitat:

Ich befürchte fast, dass:
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner -
..der Trojaner ist, kann das sein?

Sieht ganz danach aus. Abgesehen davon ist der Ciadoor ein Backdoortrojaner.

Lasse die Datei:
C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
mal bei Jotti prüfen. Siehe meine Signatur.

Nein, Anti-Blaxx.exe ist in Ordnung.

Es ist schon dieser Backdoortrojaner. Leider kann ich das Scheiss Ding auch nicht mit Hickjackthis fixen - das lässt es anscheinend nicht zu.

Bei diesem Befall ist ein Neuaufsetzen erforderlich. Eine Bereinigung ist hier sinnlosen Zeitverschwendung. Beachte den Link:
http://www.trojaner-board.de/showthread.php?t=12154

Zitat:

Zitat von Schlomo

Nein, Anti-Blaxx.exe ist in Ordnung.

Anti-Blaxx ist ein illegales Programm und warscheinlich auch nicht sauber.

Muss man jedes Programm kennen?
Man wird ja wohl nochmal nachfragen dürfen .
Bei solchen Exoten bin ich halt vorsichtig.

@all
Vielen Dank für die schnelle Hilfe. Ich habe jetzt Windows neuaufgesetzt. Das ist vielleicht ein Mistding gewesen - keine Warnung, obwohl ich die betreffende Datei (eine Exe-Datei) mit Antivir durchleuchtet habe. Taugt Antivir nichts? Jeden Tag ziehe ich ein Update von denen und trotzdem erkennt er keinen Trojaner, der bereits seit 2 Jahren bekannt ist?
Wie kann ich mich künftig davor schützen? Ich lasse jetzt Ewido im Hintergrund laufen oder beisst sich das mit dem Antivirenwächter? Welches Antivirenprogramm nehmt Ihr denn so? Früher hatte ich mal Norton Antivirus aber irgendwie bremste das Programm sämtliche Anwendungen aus. Das ist mit Antivir nicht der Fall und es gab ausserdem noch einen Gratistrojaner dazu
Es kann doch nicht sein, dass man keine unbekannte Datei mehr öffnen kann - nur weil die Gefahr besteht, dass dort ein Trojaner etc. gelagert ist. Oder gibt es tatsächlich kein Antivirenprogramm, dass so eine Gefahr erkennen kann?


@Markus1234
Anti-Blaxx ist illegal? Das war mir nicht klar. Warum ist denn das so? Es emuliert doch nur ein Originalspiel, wo ich einfach nur zu faul bin die betreffende DVD jedes Mal ins LW zu drücken. Ehrlich.

Zitat:

Zitat von Schlomo

@Markus1234
Anti-Blaxx ist illegal? Das war mir nicht klar. Warum ist denn das so? Es emuliert doch nur ein Originalspiel, wo ich einfach nur zu faul bin die betreffende DVD jedes Mal ins LW zu drücken. Ehrlich.

Wenn es illegal ist, warum bekommt man dann hunderte links bei google (wenn man Anti-blaxx download eintippt), bei denen man das Tool runterladen kann? Ich dächte, ich hätte es auch schonmal bei CHIP-Online gesehen...
Is doch das gleiche, wie Daemon-Tools, oder?

Im übrigen benutze ich Kaspersky, Spybot S&D, adaware und ab und zu cleanup.

..kann mir keiner weiterhelfen?