Hallo zusammen,

laut AntiVir habe ich einen Trojaner auf dem PC. Da ich mir nicht anders zu helfen wusste, habe als ersten Schritt die Systemwiederherstellung zu einem früheren Zeitpunkt gewählt.

Das Problem besteht aber weiterhin: Nach kurzer Zeit online, funktioniert mein Internet Explorer nicht mehr. AntiVir musste ich auch erstmal deaktivieren, weil es jede Sekunde eine neue Wahrung wegen des Trojaners ausgespuckt hat.

HijackerThis hat mir heute folgendes gesagt:

Logfile of HijackThis v1.99.1
Scan saved at 19:34:16, on 29.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] D:\Programme\calcheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.studivz.net/photouploader/ImageUploader4.cab
O20 - AppInit_DLLs:
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Ich kenne mich leider nicht mit Trojanern aus, es wäre super, wenn mir jemand sagen könnte, wie ich vorzugehen habe. Hilft vielleicht nur noch formartieren des Rechners?

Vielen Dank im Vorraus,

Gruß
Katharina

Welchen Trojaner meldet AntiVir wo?
An dein Logfile muss jm. der sich mit O10 auskennt.

Gruß,
Apo

Wo findet AntiVir den Trojaner? Poste bitte den genauen Namen das Schädlings und den Pfad!
Dein Hijackthis-Logfile sieht jedenfalls nicht gut aus. 16 laufende Prozesse scheinen mir recht wenig, oder hast du das Log im abgesicherten Modus erstellt?
Noch schlimmer sind allerdings diese zahlreichen Einträge

O10 - Unknown file in Winsock LSP: c:\windows\system32\rmuavea.dll

Werte daher mal bitte die Datei

c:\windows\system32\rmuavea.dll

bei Virustotal oder Jotti aus und poste sämtliche Ergebnisse. Auf eine Neuinstallation des System solltest du dich schon vorbereiten.
BTW: Du hast anscheinend nicht alle Updates für Windows installiert, auf jeden Fall fehlt der IE7!

Zitat:

Zitat von Katharina85

laut AntiVir habe ich einen Trojaner auf dem PC.

Sagt dein AntiVir auch, welche Datei unter Verdacht ist und wo genau sie sich befindet?
Suche die Datei

Zitat:

c:\windows\system32\rmuavea.dll

und überprüfe sie bei www.virustotal.com
Falls die Datei nicht auffindbar seien sollte, benutze den Link in meiner Signatur Versteckte und Systemdateien...
EDIT: cosinus war schneller

Vielen Dank erst mal für die schnellen Antworten. Also die datei war schnell zu finden und der Scan bei Trolli hat folgendes ergeben:


AntiVir Found TR/Vqten.A.3
BitDefender Found Trojan.Vqten.A
Dr.Web Found Trojan.Vqten
F-Secure Anti-Virus Found Trojan.Win32.Agent.afg
Kaspersky Anti-Virus Found Trojan.Win32.Agent.afg
VBA32 Found Trojan.Vqten ´

Kann da jemand was mit anfangen? Den Hijacker habe ich übrigens nicht im abgesicherten Modus durchlaufen lassen.

LG
Katharina

Vielen Dank erst mal für die schnellen Antworten. Also die datei war schnell zu finden und der Scan bei Trolli hat folgendes ergeben:


AntiVir Found TR/Vqten.A.3
BitDefender Found Trojan.Vqten.A
Dr.Web Found Trojan.Vqten
F-Secure Anti-Virus Found Trojan.Win32.Agent.afg
Kaspersky Anti-Virus Found Trojan.Win32.Agent.afg
VBA32 Found Trojan.Vqten ´

Kann da jemand was mit anfangen? Den Hijacker habe ich übrigens nicht im abgesicherten Modus durchlaufen lassen.

LG
Katharina

Trojan.Agent.AFG

Den hast du dir eingefangen

Ok, und was kann ich jetzt gegen den tun? Die betroffenen Dateien löschen? das reicht wohl nicht, oder?

LG

Höchstwahrscheinlich nicht - ein Trojan Downloader lädt weiteren unbekannten Mist nach, dabei ist nicht sicher, ob das weitere ein Virenscanner überhaupt erkennt. Es könnten auch ebensogut schon Komponenten heruntergeladen und ausgeführt worden sein, die Dritten den Vollzugriff auf dein System ermöglichten.
Selbst nach einer umfangreichen und zeitraubenden Bereingung kann sich niemand sicher sein, dass das System tatsächlich sauber ist.

Das beste ist, du setzt das System neu auf.