Hallo,

hier erstml das Log:
Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]


So, ich hab kurz erstmal das Log reingestellt und dann den Rechner gewechselt, weil mein anderer nur noch sporadisch läuft!!!

Ich habe mir den Trojaner wahrscheinlich vorgestern eingefangen. Ich hatte eine Datei runtergeladen, die Norton als ungefährlich getestet hatte. So ungefährlich war sie wohl nicht, denn kurz darauf ging Norton nicht mehr. Habe dann Kaspersky und Antivir raufgetan und auch im abgesicherten Modus gescannt, aber der Trojaner scheint sich fest eingenistet zu haben. Zwischendurch wird immer wieder was von einem Trojaner Horst gefunden, aber es gibt bei Viruslist.com keine Erläuterung dazu.
Mir ist aufgefallen, daß ich 8 Prozesse der svchost in meinem Task Manager zu laufen habe.

Es wäre super, wenn mir jemand weiterhelfen könnte, denn ich habe keine Ideen mehr.

Sollte ich meinen Rechner neu aufsetzen müssen, kann ich dann noch Daten von der Festplatte sichern. Fotos und Dokumeente etc.? Ich habe eine externe Festplatte, aber ich fürcht ich ziehe mir den Kollegen dann wieder auf das neue System.

Danke für Eure Hilfe

PS: Ich habe Win XP SP2 mit allen Updates drauf.

Guten Morgen,

offensichtlich hast du Dir diesen Freund eingefangen.

Lasse bitte mal folgende Datei Online bei Jotti und Virustotal auswerten. Link dazu in meiner SIG. Ebenfalls ist ein Link in meiner SIG, welcher Dir erklärt, wie du alle Dateien sichtbar machst.

C:\WINDOWS\system\smss.exe /w


Poste bitte das gesamte ergebnis, auch wenn nichts gefunden wird. Vorallem ist dann die größe der Datei wichtig!

Gruß Mellosun

Hallo Mellosun,

vielen Dank für Deine Bereitschaft mir zu helfen.

Ich habe zwar keine smss.exe /w gefunden, aber eine smss.exe ohne das /w.

Hier das Ergebnis:

Datei: smss.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
UPX

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
DeepScan:Generic.Horst.1E4E3E27 gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
probably a variant of Win32/Medbot.DC gefunden (mögliche Variante)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* Decompressing UPX.
* File length: 47616 bytes.

[ Process/window information ]
* Modifies other process memory.
* Modifies execution flow of a remote process. gefunden
VirusBuster
Keine Viren gefunden
VBA32
MalwareScope.Trojan-Proxy.Horst.1 gefunden

Immerhin gibt es ja nun eine Menge Auswahl bzgl. des Missetäters. Gibt es eine Chance den Kandidaten ohne Neuausetzen des Rechners von selbigem zu bannen?

Grüße aus Berlin

Hat denn keiner eine Ahnung um welchen Schädling es sich handelt?

Antivir hat gerade wieder Trojan-Proxy.Win32.Horst.tl gefunden.

Bitte helft mir.

Drängeln kommt hier nicht gut an
Du hast Dir einen Wurm eingefangen.
W32/Agobot-EN - Wurm - Sophos Bedrohungsanalyse

Hier ist die Lösung des Problemes:
http://www.trojaner-board.de/12154-a...sicherung.html

Sorry, ich wollte niemanden drängeln. Ich sitze hier nur zu Hause vor dem Rechner und weiß nicht was ich machen soll. Da bin ich wohl ein wenig ungeduldig geworden.

War nicht böse gemeint.

Ich habe noch eine Anfängerfrage:

Wenn ich meinen Rechner Neuaufsetzen muß, kann ich dann vorher gefahrlos Daten sichern? Ich weiß, daß ich keine exe Dateien sichern sollte, aber wie schaut es mit Bildern, Dokumenten und Mails aus? Ich habe eine externe Festplatte auf die ich die Sachen kopieren könnte, will aber vermeiden, daß sich der Wurm auch auf der Platte festsetzt.

Kann mir da jemand bitte weiterhelfen?

So, ich habe da wohl in dem zuerst geposteten Log einen Link übersehen. Deswegen hier nochmals das korrekt editierte Log:

Logfile of HijackThis v1.99.1
Scan saved at 09:39:29, on 20.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
d:\Programme\FRITZ!DSL\IGDCTRL.EXE
d:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
d:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Launch Manager\HotkeyApp.exe
D:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\ScanPanel\ScnPanel.exe
D:\Programme\FRITZ!DSL\FwebProt.exe
D:\Programme\FRITZ!DSL\StCenter.exe
D:\Programme\WorldCommunityGrid\UD.EXE
D:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
O1 - Hosts: AmsServer
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 ***.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [AVP] "d:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WISE-FTP Task Planner] "d:\Programme\AceBIT\WISE-FTP 4\wf_tp.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: FRITZ!DSL Protect.lnk = D:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: World Community Grid Agent.lnk = D:\Programme\WorldCommunityGrid\UD.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - d:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - d:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: MedionShop - {3D58ADF1-2986-4B11-AA79-6D427F004F08} - h**p://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: d:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: d:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: d:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: d:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: d:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {192F9A01-8030-48CE-9BC6-B03DE3E613C6} (PeoplePC Web Installer) - h**ps://www.peoplepc.com/ppcos/ISP60/Download/ppcwebi.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111000070881
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - AppInit_DLLs: "d:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - d:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - d:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Atomuhr Synchronisation (PTBSync) - ElmüSoft - C:\Programme\PTBSync\PTBSync.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - d:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Ich hoffe, ich habe nichts übersehen.

Ich habe den Eindruck, dass Du lese- und beratungsresistent bist. Lese Post Nr. 5.

Ich bin ja begeistert von dem netten Umgangston hier. Als Neuling kann man ja mal einen Fehler machen und für das Drängeln hatte ich mich entschuldigt (siehe Post 6).

Ich habe das Log nur deshalb gepostet, weil mein erster Post heute von GUA geändert wurde. Dort hatte ich das HJT Log gepostet, welches nun weg war, was vielleicht für jemanden, der mir einen Tipp geben will, hinderlich ist. Daeshalb die neue Antwort.

Mich deswegen als beratungsresistent zu bezeichnen finde ich schon komisch. Stattdessen hätte ich mich über eine Antwort bzgl. meiner Backupfrage aus Post Nr.7 gefreut.

Vielleicht kann sich dazu jemand äußern, der nicht der Meinung ist, daß ich beratungsresistent bin.

Danke und Grüße aus Berlin

Ich habe nicht kritisiert, dass Du da irgendwie gedrängelt hast.
Der Rest meines Postings ist das Problem.
Schlicht und ergreifend. Installiere den PC neu
Das war meine Kernaussage

Mal abgesehen davon, daß ich mich inzwischen damit abgefunden habe, den Rechner neu aufzusetzen, weiß ich nicht, ob der angegebene Schädling der Richtige ist, denn wenn ich bei Sophos schaue, welche Veränderungen der Trojaner vornimmt, kann ich die zumindest in der Registry nicht nachvollziehen. Die erwähnten Einträge gibt es dort nicht.

Trotzdem nochmal die Frage nach dem Sichern von Daten. Wie stelle ich sicher, daß sich der Trojaner nicht auf meine externe Festplatte kopiert, während ich Daten sichere. Antivir hatte nämlich auch auf der D Festplatte bereits infizierte Dateien (mit der Endung .exe) gefunden. Ich will mir nicht die ganze Arbeit machen und den Rechner neu aufsetzen und dann auf Grund eines Fehlers beim Sichern, die Arbeit zunichte zu machen.

Mit einer entsprechenden Antwort könnte ich mit dem Neuaufsetzen beginnen.