Ich brauche dringend Hilfe!

Merlin999 · 14.09.2006, 21:13

Ich habe Windows XP SP2.
Mein Spyware Doctor meldet mir immer

iablo Keylogger HKCU\Software\VB and VBA Program Settings\Options\Windows XP
gefunden.Ich lösche es,aber nach einer kurzen Zeit installiert er sich immer neu.Mein Logfile lautet:
Logfile of HijackThis v1.99.1
Scan saved at 09:08:38, on 14.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\svhostI.exe
C:\Programme\Trend Micro\Internet Security 14\pccguide.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\TRENDM~1\INTERN~3\PcCtlCom.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\Tmntsrv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\TmPfw.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\tmproxy.exe
C:\Programme\totalcmd\TOTALCMD.EXE
c:\Internet\08.09.06\hijackthis_199\HijackThis.exe

O2 - BHO: (no name) - {06647158-359E-4D10-A8DE-E6145DA90BE9} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 14\pccguide.exe"
O4 - HKLM\..\Run: [SVHOST] svhostI.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [SVHOST] svhostI.exe /RunOnce
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~3\PcCtlCom.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~3\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~3\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~3\tmproxy.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Was kann ich bitte machen??
Ich hoffe das ich jetzt alles richtig gemacht habe,ODER???
Ich möchte hier keinen ärgern,sondern brauche dringend Eure Hilfe!!
MFG Merlin999

Mellosun · 14.09.2006, 21:18

Guten Abend,

mal bitte folgende Datei bei Jotti und Virustotal auswerten lassen:

C:\WINDOWS\svhostI.exe

Link in meiner SIG!
Poste bitte das gesamte Ergebnis, einschließlich der dort angegebenen Größe der Datei!

Gruß Mellosun

Merlin999 · 14.09.2006, 21:38

Zunächst mal sage ich DANKE für Deine Antwort.
Ich bin keine große Leuchte in Sachen PC,kann auch kein englisch,ich hoffe Du kannst mir trotzdem Helfen
Hier das Ergebniss:
Datei: svhostI.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Trojan.Agent.Rk gefunden
Avast Win32:Trojan-gen. {Other} gefunden
AVG Antivirus BackDoor.Agent.AED gefunden
BitDefender Backdoor.Agent.RK gefunden
ClamAV Trojan.Delf-117 gefunden
Dr.Web BackDoor.Mosu gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.Agent.rk gefunden
NOD32 Win32/Agent.NAK gefunden
Norman Virus Control W32/Agent.XGE gefunden
UNA Backdoor.Agent gefunden
VirusBuster Keine Viren gefunden
VBA32 Backdoor.Win32.Agent.rk gefunden
Mfg Merlin999
Hier die zweite Sache:
STATUS: FINISHEDComplete scanning result of "svhostI.exe", received

in VirusTotal at 09.14.2006, 23:03:42 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.14.2006 no virus found
Authentium 4.93.8 09.14.2006 no virus found
Avast 4.7.844.0 09.13.2006 Win32:Trojan-gen. {Other}
AVG 386 09.14.2006 BackDoor.Agent.AED
BitDefender 7.2 09.14.2006 Backdoor.Agent.RK
CAT-QuickHeal 8.00 09.14.2006 no virus found
ClamAV devel-20060426 09.14.2006 Trojan.Delf-117
DrWeb 4.33 09.14.2006 BackDoor.Mosu
eTrust-InoculateIT 23.72.124 09.14.2006 no virus found
eTrust-Vet 30.3.3077 09.14.2006 no virus found
Ewido 4.0 09.14.2006 Backdoor.Agent.rk
Fortinet 2.82.0.0 09.13.2006 no virus found
F-Prot 3.16f 09.14.2006 no virus found
F-Prot4 4.2.1.29 09.14.2006 no virus found
Ikarus 0.2.65.0 09.14.2006 Backdoor.Win32.Agent.RK
Kaspersky 4.0.2.24 09.14.2006 Backdoor.Win32.Agent.rk
McAfee 4852 09.14.2006 no virus found
Microsoft 1.1560 09.14.2006 Backdoor:Win32/Agent.LB
NOD32v2 1.1756 09.14.2006 Win32/Agent.NAK
Norman 5.90.23 09.14.2006 W32/Agent.XGE
Panda 9.0.0.4 09.14.2006 no virus found
Sophos 4.09.0 09.14.2006 no virus found
Symantec 8.0 09.14.2006 no virus found
TheHacker 5.9.8.211 09.14.2006 Backdoor/Agent.rk
UNA 1.83 09.14.2006 Backdoor.Agent.C6D9
VBA32 3.11.1 09.14.2006 Backdoor.Win32.Agent.rk
VirusBuster 4.3.7:9 09.14.2006 no virus found

Aditional Information
File size: 504601 bytes
MD5: 072c5e4fdcc33a41a2114732f13c5642
SHA1: 38c1a5642a74824901b7244e4bef4ae3f7bdbf6d

Mellosun · 15.09.2006, 03:06

Guten Morgen,

auch Dir bleibt leider nur die Neuinstallation von XP!

Da die besagte Datei ein sogenannter Backdoor ist, kann Dir niemand sagen, was an Deinem System geändert wurde.

Installiere XP Neu, befolge dazu den Link "Anleitung zum Neuaufsetzen" in meiner SIG und befolge diese Punkt für Punkt!
Dort kannst du auch nochmals nachlesen, warum eine Neuinstallation bei einem Backdoor die einzige möglichkeit ist!

Sorry,

Gruß Mellosun

Ich brauche dringend Hilfe!

Log-Analyse und Auswertung: Ich brauche dringend Hilfe!