Hallo zusammen!

Ich bin neu hier und bin etwas unsicher ob mein Rechner wieder frei ist.

Hab mir gestern irgendwo einen Trojaner eingefangen, den Antivir 6 nicht in die Quarantäne schicken konnte. Danach ist die Kiste hier durchgedreht, Pop ups und HiJacker ohne Ende.
Hab dann Spy Sweeper und Spybot SD drüber laufen gelassen und jetzt ist wieder alles stabil. Weiß aber nicht ob ich den Schrott jetzt los bin und wieder sorgenfrei rumsurfen kann oder ob noch was da ist.

Da ich kurz vor der Staatsprüfung steh, kommt ein Formatieren leider nicht in Frage. Brauche die Daten alle noch.

Hoffe es findet sich trotzdem jemand der mir helfen kann!

Mein System ist übrigens Win2000.
Hier mein Logfile von HJT:
Logfile of HijackThis v1.99.1
Scan saved at 10:13:38, on 07.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
D:\Winamp\Winampa.exe
C:\programme\quicktime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
E:\CloneCD\CloneCDTray.exe
C:\WINNT\system32\CmWatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://www.gmx.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [CmCardRun] C:\WINNT\system32\CmWatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [defender] C:\\defender25.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Rntc] "C:\DOKUME~1\Jessi1\ANWEND~1\WNSXS~1\ntvdm.exe" -vt yazr
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &MyToolBar Search - res://C:\Programme\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D168290-F3DF-4842-94C3-2862596771FB} (Yahoo! Fotos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_4de.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540002} - http://www.wildtangent.com/webdrivers/webinstall/shockwave/Install.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://www.newsstand.com/downloads/reader/live/Disk1/isetupml.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game15.zylomgames.com/activex/zylomloader.cab
O20 - Winlogon Notify: winrzf32 - C:\WINNT\SYSTEM32\winrzf32.dll
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cdm_ip - Sun Microsystems, Inc. - C:\WINNT\system32\java.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

LG
LittleRose
P.S.: Habe vor einigen Tagen schon versucht auf antivir 7 zu updaten (bevor das passiert ist). Geht aber irgendwie nicht. Jemand eine Idee was ich tun kann?

Hallo LittleRose,

lass folgende Datei bei Virustotal auswerten:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINNT\SYSTEM32\winrzf32.dll
         

Gruß
Daniel

Hallo Daniel!

Hab ich gemacht.
Die hier hat wurden gefunden:

Win32:Trojano-BJ
BackDoor.Generic2.XNE
Trojan.Agent.NS
Win32/Nebuler.B!Trojan
Win32/Nebuler.B
Trojan.Agent.qt
BDoor.CVT!tr.bdr
Backdoor.Win32.Hupigon.BV
Trojan.Win32.Agent.qt
BackDoor-CVT
Win32/TrojanDownloader.Small.CML
W32/Agent.ADEX
Adware/DollarRevenue
Trojan.Win32.Agent
Trojan.Win32.Agent.qt

Also auch wenn ich keine Ahnung davon hab, aber das sieht irgendwie übel aus.
Wie werd ich die denn jetzt los??
LG
LittleRose

Zitat:

Zitat von LittleRose

Also auch wenn ich keine Ahnung davon hab, aber das sieht irgendwie übel aus.
Wie werd ich die denn jetzt los??

Ganz einfach!
In dem du dein ganzes System neu aufspielst! Das ist der sicherste Weg und vor allem schnellste Weg. Beachte dabei den Link in meiner Signatur er wird dir dabei helfen, vor allem bei der späteren Absicherung deines Systems..Was Backdoor-Trojaner alles können ist dort auch beschrieben.

Sorry
Daniel

Huhu!

Danke für den Hinweis. Aber wie ich oben schon geschrieben habe, geht das zur Zeit nicht.
Ich brauche die Daten die hier drauf sind für meine Staatsprüfung. Und ne Sicherung bringt´s ja nicht, will mir die Viren ja nich sofort wieder drauf laden.

Gibt es echt keine andere Möglichkeit?

LG
LittleRose

Bei einem Trojaner mit Backdoor Aktivität ist eine Bereinigung bzw. entfernung sinnlos! Er kann sich in deinem gesamten System ausgebreitet haben, und wenn du ihn löschst ist er an einer anderen Stelle wieder da...

Was für Daten brauchst du denn für deine Staatsprüfung?? Excel und Word Dateien?

Ja. Und PowerPoint und PDF.
Die sind aber ziemlich wüst verteilt. Das würde mich einfach zu viel Zeit kosten das zusammen zu suchen und zu entscheiden was dringend notwendig ist....

Sorry für´s rumnerven....

Hallo Little Rose,

Zitat:

Die sind aber ziemlich wüst verteilt

Aber spätestens zur Staatsprüfung mußt du da doch Ordnung reinbringen,oder ?

Zitat:

Das würde mich einfach zu viel Zeit kosten das zusammen zu suchen und zu entscheiden was dringend notwendig ist..

Solltest du dich doch entschließen.....und beim Zusammensuchen auf Kinderpornos stoßen......merk dir wo sie liegen....dann kommst du vielleicht um die U-Haft rum,wenn du dem Staatsanwalt gleich sagen kannst das ein Trojaner bei dir aktiv ist...
Wenn der aber schräg drauf ist,und dir Mittäterschaft unterstellt...
Zumindest wirst du dann das Gefühl kennenlernen,mit lauter Knackis die schon jahrelang keine Frau mehr gesehen haben,als "Frischling" zum gemeinsamen Duschen "eingeladen" zu werden...
Irrlicht

Naja, find´s halt ziemlich sinnlos die Dateien von der verseuchten Kiste zu holen und dann wieder auf ne saubere zu ziehen.
Egal. Die Tage wird formatiert und ich hol mir die Sachen irgendwo anders her.

Jedenfalls danke für die Hilfe.

LG
LittleRose
P.S.: Ich glaub da wo ich dann hinkäme, sehen die jeden Tag genug Frauen.

@irrlicht,

Zitat:

Zumindest wirst du dann das Gefühl kennenlernen,mit lauter Knackis die schon jahrelang keine Frau mehr gesehen haben,als "Frischling" zum gemeinsamen Duschen "eingeladen" zu werden...

Du scheinst Erfahrungen zu haben.

dartus