hallo ich bin neu hier und habe folgendes problem:
nachdem ich beim surfen auf einmal eine meldung von Anti-Vir erhielt das auf meinem System ein Trojaner sei ging alles ziemlich schnell:

1. der hintergrund änderte sich auf ein Bild mit einer Warnmeldung mein System wäre voller spyware und ich solle ein paar tools downloaden.

2. ein balloontip oder wie diese Sprechblasen über der Startleiste auch heißen hat mir gesagt das windows ein paar tools saugen würde.

3. der Hintergrund ließ sich nicht mehr ändern

4. Taskmanager ging nicht mehr

5. und diverse Abstürze aus dem Leerlauf heraus

So, das war alles was mir spontan einfällt. Mitlerweile habe ich alles gründlich gescannt mit AntiVir und Spybot S&D. AntiVir findet nichts mehr und Spybot S&D findet bei jedem StartUP neue Cookies.

Aktuellestes Problem: Mein rechner ist unendlich langsam trotz Dual Core, es liegt meiner meinung nach 100% daran, das noch trojaner etc. auf meiner Rechner herrschen...

Ich hab mal ein HijackThis logfile gemacht und werde es hier posten:



Logfile of HijackThis v1.99.1
Scan saved at 20:54:09, on 28.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
C:\WINDOWS\eHome\ehSched.exe
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\InkSaver\InkSaver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\a-squared HiJackFree\a2hijackfree.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.avira.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Dokumente und

Einstellungen\***\Desktop\xx2gr.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1

\SDHelper.dll
O2 - BHO: (no name) - {60DF4425-F36F-42D7-AECF-A409EBE4558C} -

C:\Programme\SimonTools\CyberGhost2006\tbcghost.dll
O3 - Toolbar: SimonTools - {CC48EB38-F950-48C0-9F22-D64F829AE3DF} -

C:\Programme\SimonTools\CyberGhost2006\tbcghost.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [DetectorApp] C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [EmailChecker] C:\APPS\EmailChecker\ech.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [InkSaver] C:\Programme\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0

\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Sinus 154 stick.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1

\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32

\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network

Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %

windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6

\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?

1169129053953
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B5A0781-63C6-4DCA-BD28-7115D9E1E5DF}: NameServer =

192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B5A0781-63C6-4DCA-BD28-7115D9E1E5DF}: NameServer =

192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B5A0781-63C6-4DCA-BD28-7115D9E1E5DF}: NameServer =

192.168.2.1
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32

\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH -

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. -

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. -

C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD

LE\USBDeviceService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32

\ZoneLabs\vsmon.exe




Hoffe ihr könnt mir helfen.

Prüfe das System mit F-Secure Blacklight und poste das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

komisch...
ich hab den scann durchgeführt aber es wurde nichts gefunden.
Nur der Anti-Vir hat zwischendurch mal aufgemuckt und hat dies gefunden:

Trojanische Pferde

1x TR/Dldr.Tibs.JJ
5x TR/Dldr.Small.DBZ.1

Heuristische Treffer

1x in C:\System Volume Information\_restore{***lange Zahl***}




ich habe mal einen Scann mit Hijackfree von a-sqaure gemacht und es kam folgendes bei raus:
a-squared HiJackFree Analysis

Hallo.

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


Gruß
Sunny

ok danke super tool ich habe ein paar viren gefunden die andere Programme nicht gefunden haben.
Vorab noch eine frage: wie ich vorhin schon geschrieben habe hab ich mein System mit a-sqare Hijackthisfree gescannt und dabei das hier erreicht: a-squared HiJackFree Analysis
dort finden sich eine Menge gelblicher einträge und wenn man auf details geht dann zeigt er einem gute und böse dateien an die alle denselben Namen haben. Heißt das jetzt das es eine gute oder eine schlechte Datei IST oder das es eine der Dateien sein KANN?
Naja hier ist die Logfile von mvav:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Jan 29 16:08:13 2007 => Deleting Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net
Mon Jan 29 16:06:02 2007 => Virus-Datenbank Datum: 1/29/2007
Mon Jan 29 16:07:07 2007 => Virus-Datenbank Datum: 1/29/2007
Mon Jan 29 16:23:35 2007 => Virus-Datenbank Datum: 1/29/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jan 29 16:08:14 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Einträge entfernt.
Mon Jan 29 16:08:14 2007 => System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Jan 29 16:08:14 2007 => Offending file found: C:\DOKUME~1\***\ANWEND~1\install.dat
Mon Jan 29 16:08:14 2007 => Offending file found: C:\DOKUME~1\***\FAVORI~1\PACKAR~1\support.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Jan 29 16:08:14 2007 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\homepagesicherung\homepagesicherung 01.01.07\home2\sb
Mon Jan 29 16:08:15 2007 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\homepagesicherung\homepagesicherung 01.01.07\home2\sb
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Jan 29 16:08:13 2007 => Offending Key found: HKLM\Software\magnet !!!
Mon Jan 29 16:08:13 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!
Mon Jan 29 16:08:13 2007 => Offending Key found: HKCU\\magnet !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jan 29 16:23:35 2007 => Gefundene Viren: 7
Mon Jan 29 16:23:35 2007 => Anzahl Fehler: 18
Mon Jan 29 16:23:35 2007 => Dauer des Scans bisher: 00:16:20
Mon Jan 29 16:23:35 2007 => Gescannte Dateien: 91101
Mon Jan 29 16:07:15 2007 => Specherüberprüfung: Aktiviert
Mon Jan 29 16:07:15 2007 => Registry Überprüfung: Aktiviert
Mon Jan 29 16:07:15 2007 => System-Ordner Überprüfung: Aktiviert
Mon Jan 29 16:07:15 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Jan 29 16:07:15 2007 => Überprüfung der Dienste: Aktiviert
Mon Jan 29 16:07:15 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Jan 29 16:07:15 2007 => Überprüfung aller Festplatten :Aktiviert

noch eine frage: was ist der Spywarebomber und wie kann ich ihn entfernen?
dieses mvav findet bei jedem scan dieses ding 2x ...