Hallo zusammen,
ich bin neu in diesem Forum. Ich habe mich angemeldet, weil ich mir gestern beim surfen einen ganzen Ars...h voll Trojaner eingefangen habe.
War nun den ganzen Tag damit beschäftigt, diese wieder zu entfernen. War auch soweit ganz erfolgreich, habe aber noch 2 bis 3 kleine Unruhestifter. Ich hoffe, Ihr könnt mir helfen.
Zum einen habe auch ich das Problem, eine iexplore.exe immer im taskmanager zu haben, welche sich nicht schließen läßt. Bisher konnte mir auch die Suchfunktion hier im Board keine Lösung bringen, die mir geholfen hätte.
Des weiteren kriege ich die Prozesse 16D.tmp... und ibm00005.exe nicht gefixt.
Und zu guter Letzt Aktiviert sich alle 5 Minuten ein kleines Programm im Taskmanager, welches sich winbsmv1.exe nennt. Kann auch nicht richtig sein, da mir S&D meldet, daß das Mistvieh was in der Reg-Datei ändern will. Finde nicht mal unter Google was zu letzterem und es wird komischerweise auch nicht im log angezeigt!!!

Hier nun die log-Datei:

Logfile of HijackThis v1.99.1
Scan saved at 16:18:19, on 27.7.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\services.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Alex\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ndr2.de/
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WinMedia] C:\DOKUME~1\Alex\LOKALE~1\Temp\16D.tmp3072.exe
O4 - HKCU\..\Run: [Winsvr] C:\DOKUME~1\Alex\LOKALE~1\Temp\16D.tmp5120.exe
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00005.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{19F9AAFA-461F-4DC2-8D5D-34D73CA17AE3}: NameServer = ****
O17 - HKLM\System\CCS\Services\Tcpip\..\{A78E1384-8454-4B77-B3F7-FE75D737DCAC}: NameServer = ****
O17 - HKLM\System\CS1\Services\Tcpip\..\{19F9AAFA-461F-4DC2-8D5D-34D73CA17AE3}: NameServer = ****
O20 - AppInit_DLLs: tlntwucl.dll mciawmsp.dll
O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - C:\WINDOWS\system32\2236_28.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi272967.exe (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\Alex\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Vielen Dank schonmal für Eure Hilfe.

-Alex

@JohnDoe,

Du hast definitiv einen Spyware-Trojaner im System -> nämlich diesen hier: Troj/Torpig-AJ

Dies sind die Eigenschaften die er mit sich bringt:

Zitat:

* Lädt Code aus dem Internet herunter
* Speichert Tastenfolgen
* Installiert sich in der Registrierung

Daher wäre der sicherste Weg eine Neuinstallation. Wer weiß schon genau was er noch alles auf dein System nachgeladen hat!?
Zumal noch mehr Einträge vorhanden sind die auf Spyware/Trojaner deuten.

Scanne dein System trotzalledem mal mit F-Secure Blacklight, poste anschliessend den Report...

Gruß
Daniel

Vielen Dank für die schnelle Antwort, Sunny.
Leider hat das von Dir angegebene Programm nichts (!) gefunden.
Was mich wundert ist die Tatsache, daß im Netz noch nirgends nachzulesen ist, wie man diesen Mist wieder runter bekommt!
So oft wie man sich solche Trojaner einfängt... da kommt man ja mit dem Neuinstallieren gar nicht mehr nach. Und außerdem werde ich bockig! Ich installiere doch nicht alles neu, nur weil mir so ein blöder Virus das vorschreiben will. <Grummel>
Ich bin ergo für alle weiteren Ideen offen.

Mir ist auch gerade aufgefallen, daß ich die Internetverbindung nicht mehr deaktivieren kann. Kommt dann immer eine Fehlermeldung. Gibt es dafür in der Regisrty irgendwo auch einen Eintrag?