guten tag,

ich habe mir mindestens 2 trojaner eingefangen, die ich mit allen mitteln vergeblich versucht habe zu löschen.

hier der hijackthis-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 02:19:16, on 09.03.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\MsiExec.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Play65\bin\Play65.exe
c:\msetss.exe
c:\mseco.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\w2k1\LOKALE~1\Temp\Rar$EX00.445\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\System32\winamp.exe
O4 - HKLM\..\Run: [Services] C:\WINNT\System32\lishost.exe
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINNT\System32\muvuwrqb.dll",setvm
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173399752139
O17 - HKLM\System\CCS\Services\Tcpip\..\{9936A0B8-CEB4-4C25-B855-F9C06CEFBDA8}: NameServer = 217.237.151.205 217.237.150.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Remote Process Manager - Unknown owner - C:\WINNT\system32\spoolvc.exe



könnt ihr mir helfen? vielen dank im voraus für alle tipps.

bis bald, joshibiza

Schonmal im abgesicherten Modus probiert?

spoolvc.exe - Win32:SdBot-gen42 Ist ein Trojaner der sich durch Netzwerkfreigaben verbreitet. Er ermöglicht Fernsteuerung und stiehlt Daten.

O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\System32\winamp.exe Ist ein Spyware Wurm.

Ich würde sagen das du dein System neuinstalliert da niemand genau sagen kann was noch alles auf deiner Festplatte herumirrt.
Fakt ist das er infiziert ist. Die Dateien zu entfernen muss nicht die Lösung sein.

Hallo,
ja, Neuaufsetzen nach Cidres Anleitung ist angesagt! Denn hier

Zitat:

O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\System32\winamp.exe

steckt dieser Freund. Bei Backdoorbefall gibt es keine andere sichere Möglichkeit!

Höchst verdächtig sind auch die folgenden Einträge:

Zitat:

c:\msetss.exe
c:\mseco.exe
O4 - HKLM\..\Run: [Services] C:\WINNT\System32\lishost.exe
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINNT\System32\muvuwrqb.dll",setvm
O23 - Service: Remote Process Manager - Unknown owner - C:\WINNT\system32\spoolvc.exe

Der Grund für den Schlamassel könnte hier zu suchen sein:

Zitat:

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Es gibt sichere Alternativen zum Internet Explorer! Den IE sollte man nur nutzen, wenn es wie bei Windows-Updates unbedingt nötig ist - und dann bitte die aktuelle Version.