Hallo Leute wie bringe ich den Virus wieder weg! Wenn jemand Bescheid weiß bitte um genaue Beschreibung! Hijack löscht zwar aber beim nächsten Scan isser wieder da!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:21:18, on 26.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Games\Die Sims 2\Daemon\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Delantonio\Desktop\Sicherheit\HiJackThis_v2.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = eBay Deutschland – Der weltweite Online-Marktplatz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Games\Die Sims 2\Daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-209269391-1008133547-1300176519-1010\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Bekky')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - Snapfishigitalfotodruck, Kostenlose Online-Fotoalben & Freigabe von Digitalfotos – Snapfish
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121786974750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1123685268703
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: DirectX Service (DirectGihs) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8417 bytes

Danke

Gruß

hallo,

Zitat:

c:\windows\system32\directx.exe (file missing)

directx.exe wäre ja ein trojaner, aber da steht FILE MISSING (auf deutsch:"datei fehlt"), also ist der schon weg, zumindest die directx.exe
sonst kannst du mal in safe mode versuchen, es zu löschen
.::|||::.

Ja aber Hijack zeigt mir immer ein rotes X an das heißt ja auch nix gutes aber ich versuchs mal im abgesicherten Modus wenn du meinst mal schaun obs klappt!

Danke

Zitat:

sonst kannst du mal in safe mode versuchen, es zu löschen

Und was bitte soll er/sie löschen?
Du hast doch diagnostiziert:

Zitat:

also ist der schon weg,

Zur Sache: directx.exe im System32-Ordner deutet mit einiger Sicherheit auf Backdoor-Befall hin. Abhilfe: Neuaufsetzen und Absichern. Siehe Anleitung in den FAQ.

Hi Franz,

Ok ich bin jetzt nciht unbedingt ein superprofi hier, doch bei dem trojaner muß man nicht gleich neuaufsetzen, kann ich dir bestätigen, denn ich kenne mehrere die diesen tr. hattten und ihn mit versch. tools entfernen konnten

Troj/Delf-FW - Trojaner - Sophos Bedrohungsanalyse

kannst du erfahren wie du ihn wieder los wirst.

Muß nicht unbedingt wieder neuaufsetzen.

Aber klar, ist immer die beste lösung

@Franz
sry, wenn ich mich (zu) undeutlich ausgedrückt habe, mit löschen meinte ich das fixen des eintrags mit hijackthis!

Zitat:

Zitat von .::|||::.

@Franz
sry, wenn ich mich (zu) undeutlich ausgedrückt habe, mit löschen meinte ich das fixen des eintrags mit hijackthis!

Das hilft nichts. Es bewirkt, dass ein nicht mehr unmittelbar wirksamer Eintrag (=Datei nicht mehr vorhanden) nicht mehr im HJT-Log auftaucht. An der wahrscheinlich vorhandenen Infektion ändert es nichts.
@terayaki: Ich zitiere aus der von dir angegebenen Quelle:

Zitat:

Troj/Delf-FW ist ein IRC-basierter Backdoor-Trojaner. Beim Ausführen kopiert sich Troj/Delf-FW in den Windows-Systemordner. (...)
Troj/Delf-FW verbindet sich mit einem remoten IRC-Server, um dem Angreifer zu signalisieren, dass er live ist und auf Anweisungen wartet.

(Quelle: Sophos)

@terayaki

Soll ich das Virusprogramm verwenden? Hab schon einiges probiert! Bei ET Remover zeigt er nichts mehr an! Bei Spybot findet er auch nichts! Nur der Hijack sagt mir dass was ned i.O. ist! Ich weiß nicht mal wie sich der Trojaner auf meinem PC auswirkt läuft eigentlich alles gut! Hatte Anfangs nen pokapoka der glaub ich mittlerweile weg ist! Zumindest wird er nimma angezeigt dann bin ich auf diese Meldung gestoßen!

Danke

Zitat:

Zitat von Franz1968

Das hilft nichts. Es bewirkt, dass ein nicht mehr unmittelbar wirksamer Eintrag (=Datei nicht mehr vorhanden) nicht mehr im HJT-Log auftaucht. An der wahrscheinlich vorhandenen Infektion ändert es nichts.

das raff ich jetzt nicht, wieso soll ein nicht vorhandenes file für einen immer noch aktiven virus stehen? der virus ist, zumindest bei der ersten aktivität, von dem file anhängig, wieso sollte er noch aktiv sein?

edit: Zu deiner Frage, wetty (auch wenn ich nicht terayaki bin):

Zitat:

@terayaki

Soll ich das Virusprogramm verwenden?

Du hast die Möglichkeit, einen eScan zu machen (siehe FAQ, bitte genau nach Anleitung) und die Ergebnisse der find.bat hier zu posten. Dies sollte die Infektion identifizieren helfen. Möglich aber, dass du trotzdem am Ende neu aufsetzen musst, denn mit einem "tool" lässt sich Backdoor-Befall nicht bereinigen.

@ wetty

hm, mache einfach mal folgendes:

Mache einen Cidres-security.de - Mit Sicherheit durchs Netz! - eScan AntiVirus

und das gefundene mit escan löschen. Dann mach einfach mal nen virencheck mit antivir deinem proggi und schau was er gefunden hat. Dannach poste einfach nochmal ein hjt-log.

natürlich ist Neuaufsetzen die beste möglichkeit, doch man verliert alle files, deshalb: ES LEBEN DIE IMAGES!!!

allmählich schweifen wir ein wenig vom eigentlichen thema ab

Ach,

ihr macht das schon Aber das mit dem Neuaufsetzen is immer so ne sache, ich denke erst wenn man alle Möglichkeiten ausgeschöpft hat und wirklich versucht hat das Problem zu beheben kann man darüber nachdenken, es sei denn dem Benutzer fällt das Neuaufsetzen nicht schwer Wenn man denkt die ganzen daten und proggis wieder nach kurzer zeit haben zu können dann kann man das system ruhig wiedder neu aufsetzen. Ist natürlich die schnellste und besste variante

Hilft eigentlich eine Systemwiederherstellung/zurücksetzung was oder nicht?

Gruß