Hi leute, ich brauche eure Hilfe. Ich habe in diesem Board vorerst nur nach ähnlichen Problemen gesucht und alles so gemacht wie es im jeweiligen Topic stand, jedoch handelt es sich um ein ähnliches bzw. gleiches Problem (in abgeschwächter Form^^), das weiterhin besteht...

Es handelt sich um das in diesem Board mehrmals angeschnittene Anti-Vermins-Problem. Mein GDATA AVK 2007 hat gemeldet, dass eine gwquvw.dll im system32-Ordner infiziert sei (Trojan-Downloader.Win32.Zlob.bfj) und hat diese Datei gelöscht (ob das wohl so gut war?). Im Nachhinein ist die Traynachricht "System Alert" nicht mehr erschienen. Davor hatte ich noch den Backdoor.Win32.Ciadoor.13 und nach dem zlob Trojaner: Backdoor. not-a-virusownloader.Win32.WinFixer.o

WinFixer.o stand in Verbindung mit Bearshare und habe ich entfernt.
Ciadoor.13 habe ich entfernt, war aber nicht im C:/ Verzeichnis, sondern lediglich im Verzeichnis in dem sich meine Spiele und .zip-Dateien befinden.
den Zlob.Trojaner habe ich mit Mühe entfernt, vorerst mit AVK, sodass die Traynachricht wegwar und danach mit SmitFraudFix.exe den Rest erledigt.
Ein Tag lang hatte ich dann endlich mal Ruhe...
Bevor ich den ZLOB Trojaner hatte, wurde ich ständig auf leere Seiten verlinkt mit der Meldung "Nothing to see here" oder gefakte Google Error-Seiten (klar erkennbar, durch schlechte Bilder und Grafik, entspricht nicht dem Original), ab und zu gabs dann noch die Meldung Seite kann nicht angezeigt werden und oftmals wurden Seiten (z.B. youtube) ohne Bilder geladen --> Da wo man normalerweise die ganzen Videos mit dem Bildanhang findet, war ein ganz eindeutig gefaktes Bild mit der Aufschrift "Youtube, Image coming soon". Also bei solchen Meldungen könnt ich mich kneifen, so lächerlich ist das. Mein AVK hat sich dann später gemeldet, dass auf eine infizierte Datei namens A0010946.dll im Verzeichnis C:\System Volume Information\_restore{16CC0FD9-691E-4A6E-8673-865094E1E257}\RP30\... versucht wurde zuzugreifen, ganz offensichtlich ein Versuch den Trojaner durch die Systemwiederherstellung zu retten. Der Dateizugriff wurde gesperrt, ich habe alle Systemwiederherstellungspunkte bis auf den letzten gelöscht und die Systemwiederherstellung abgeschaltet. Dann hatte ich wieder ein Tag Ruhe, doch dann kommen wieder die ersten Anzeichen eines Schädlings... Seiten werden nicht geladen, äußerst komische und komplett andere Fehlermeldungen erscheinen. Ab und zu kommen sie ständig, anderemale aber erscheinen sie so gut wie nie !! (verstehe ich nicht, was das soll!)
Jetzt, da sie nicht mehr erscheinen, kann ich die Fehlermeldungen nicht kopieren, aber sie haben in etwa so ausgesehen:

HTML Error 403. Page couldn't be loaded. Please.. blabla.. Völliger Unsinn und das erste Mal erschienen als ich die Seite von SmitFraudFix besuchen wollte um nochmals das System zu durchsuchen. Nun besteht aber das Problem, das weder mein AVK, Spyware S&D, noch SmitFraudFix.exe was findet...

Sind das die Prozesse, die einer dieser Trojaner hinterlassen hat?
Ich hoffe nicht, denn ich muss auf ein Neuaufsetzen des Systems verzichten.
Es sind sehr wichtige Daten auf diesem PC und zwar auf Pfad C:/ ... Wenn ich diese sichere, möcht ich aber nicht, dass ich eine infizierte Datei oder sonstige böse Sachen unbewusst mitsichere und das wäre sehr viel Arbeit und die Zeit hab ich leider nicht mehr, ich habe schon sehr viel Zeit in das Entfernen der Trojaner investiert. Lieber eine Stunde lang um den PC kümmern und die Trojaner entfernen als einen Tag lang Neuaufsetzen und die ganzen Sachen installieren und zu registrieren dich ich zum Arbeiten brauche... Ich bin echt verzweifelt! Ich wäre Euch für Eure Lösungsvorschläge sehr dankbar, zumal ich doch weiß, dass Ihr das hinkriegen würdet, so wie ich hier die gelösten Fälle beobachtet habe

LG, nighty0.

Hallo nighty0,

so viel Mühe du Dir auch mit Deiner Problembeschreibung gegeben hast, Hilft uns das nur Teilweise weiter.

Allerdings lässt folgendes nichts gutes Vermuten:

Zitat:

Davor hatte ich noch den Backdoor.Win32.Ciadoor.13 und nach dem zlob Trojaner: Backdoor. not-a-virusownloader.Win32.WinFixer.o

Grundsätzlich ist bei einem Backdoor das System nicht mehr sicher und auch wenn man diesen Schädling entfernt, so weiß keiner, was an er mit Deinem System angestellt/Verändert hat!
Man sollte daher den Rechner Neuaufsetzen und nach der Anleitung absichern ( siehe SIG ).

Mache mal bitte folgendes:

Erstelle ein Hijacktis LOG und Poste es -----> Anleitung in meiner SIG
Mache einen eScan -----------> Anleitung gibts hier
Poste den Raport mit Hilfe der find.zip! D.h Anleitung genau Lesen und danach Handeln!


Gruß Mellosun

Ich danke dir schonmal für deine Hilfe!

Hier der HJT Log

Logfile of HijackThis v1.99.1
Scan saved at 15:30:24, on 10.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\Programme\Microsoft LifeCam\MSCamSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Rar$EX15.562\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0ACF1FDC-CA34-4122-B7AA-9C77198FB88F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0ACF1FDC-CA34-4122-B7AA-9C77198FB88F}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - (no file)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Mal ne Frage nebenbei (gehört hier zwar nicht rein, aber vllt. weiß es grad einer): Was soll dieser ATI smart (file missing) im HJT Log, das war mal n (fehlerhafter) Treiber von ner 9200LE..., den ich mittlerweile deinstalliert habe (mit Problemen), wieso ist der noch da und was kann ich machen?

Brauch ich eScan? ich hab doch nen gutes av programm oder liegt das an der "vertrauenswürdigkeit"?? mein avk 2007 is auch komplett geupdatet