Hey Leute,
suche dringend Hilfe. Mein AntiVir schlägt die ganze Zeit an: Hat immer wieder ein neues trojhanisches Pferd und kann diese nicht löschen! Kann mir bitte jemand weiterhelfen? Hier ist mein HighJack Log.file:

Logfile of HijackThis v1.99.1
Scan saved at 18:03:20, on 27.7.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Opera\Opera.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\ADRIAN\Desktop\HijackThis.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {066A2CDC-319E-4460-BA45-C24562CD51AA} - C:\WINDOWS\system32\khfecyy.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {86CCDCC8-0005-4836-A433-17D17525B7A2} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\system32\hvyfstha.dll
O2 - BHO: (no name) - {E768B9E8-05C4-4FDE-BDD9-CFE833205F40} - C:\WINDOWS\system32\ljjhf.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [bird hole okay tick] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TRAY BURN BIRD HOLE\copyhole.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu1000137.exe 61A847B5BBF72813329B385771FE01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [MemoryManager] rundll32.exe "C:\WINDOWS\system32\gqdbsfsu.dll",forkonce
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [litebolt] C:\DOKUME~1\ADRIAN\ANWEND~1\SITERE~1\BrowseHeck.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{57AC330C-26FA-4A45-AF16-EFC1126113A1}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB4DDBE3-2C2E-46D3-BDDE-95B1F8CCDDE4}: NameServer = 192.168.178.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: khfecyy - khfecyy.dll (file missing)
O20 - Winlogon Notify: ljjhf - C:\WINDOWS\system32\ljjhf.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe

Hallo,

lass diese Dateien mal bei Virustotal auswerten.
VirusTotal

Zitat:

O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\system32\hvyfstha.dll
O2 - BHO: (no name) - {E768B9E8-05C4-4FDE-BDD9-CFE833205F40} - C:\WINDOWS\system32\ljjhf.dll (Das dürfte dieser sein: Trojan-Downloader.Win32.Small.ccy)

O20 - Winlogon Notify: ljjhf - C:\WINDOWS\system32\ljjhf.dll

Sieht für mich aber schon nach Neuaufsetzen aus.

Gruss

Hallo und im Trojaner Board!


Also wenn ich mir dein Hijacklog ansehe und mich frage das Antivir bei dir anschlägt, ist es für mich eigentlich ein Wunder das dein System überhaupt noch funktioniert!

Das System ist aus meiner Sicht Kompromittiert, d.h. nicht mehr in deiner Hand und demnach auch nicht mehr zu bereinigen.

Um dir dies klar zu machen arbeite das mal ab:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Programme\outlook\outlook.exe
C:\WINDOWS\system32\ljjhf.dll
C:\WINDOWS\retadpu1000137.exe
c:\windows\System32\winlog.exe
C:\WINDOWS\system32\ljjhf.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Such auf jeden Fall schon mal deine Installations-CD von Windows heraus!

Sorry
Sunny

/EDIT

Werde langsam älter...

//EDIT

Ich bedanke mich für die schnellen Antworten. Leider bin ich totaler Laie. Ich habe eure beiden Möglichkeiten versucht, aber VirusTotal bringt keine Ergebnisse. Hab ich vielleicht was falsch gemacht oder geht das nicht? Was gibt es noch für ne Möglichkeit?

Zitat:

Zitat von Hilfe2007

Ich bedanke mich für die schnellen Antworten. Leider bin ich totaler Laie. Ich habe eure beiden Möglichkeiten versucht, aber VirusTotal bringt keine Ergebnisse. Hab ich vielleicht was falsch gemacht oder geht das nicht? Was gibt es noch für ne Möglichkeit?

Was heisst bringt keine Ergebnisse? Wie lange hast du gewartet, 3Sekunden?

Du musst schon etwas länger warten bei der Auswertung, du bist nicht der einzige der diesen Service nutzt.

Der Scan kann mehrere Minuten dauern, abhängig von der Auslastung der Server.

Sunny

Also, ich hab nochmal alles versucht. bei C:\WINDOWS\system32\ljjhf.dll kommt immer Server Error und bei den anderen kommt immer das: 0 bytes size received / Se ha recibido un archivo vacio

Ich muss wohl oder übel die Festplatte formatieren, ist wahrscheinlich am sinnvollsten, oder? Ich schlage mich jetzt schon 2 Tage und 2 Nächte mit dem Scheiss um die Ohren...*ggggrrrrrr*

Zitat:

Zitat von Hilfe2007

Also, ich hab nochmal alles versucht. bei C:\WINDOWS\system32\ljjhf.dll kommt immer Server Error und bei den anderen kommt immer das: 0 bytes size received / Se ha recibido un archivo vacio

Du hast alle Dateien in nicht mal 8 Minuten auswärten lassen? Hast du auch alle gefunden? Das kommt mir alles ziemlich "SPANISCH" vor. Das ging viel zu schnell ...

Außerdem schrieb ich dir du sollst die Dateien auswerten lassen, das Ergebnis abkopieren und hier in den Beitrag einfügen.
Es ist wichtig da auch andere Merkmale, außer die einzelnen Funde, für mich entscheidend sind.


Sunny

Ich danke dir für deine Hilfe, aber ich geb auf. Meine Augen fallen mir bald zu. Ich werde formatieren und Betriebssystem neu. Kannst du mir vielleicht noch ein paar Tips geben, wie ich danach sicher am PC arbeiten kann?

Zitat:

Zitat von Hilfe2007

Ich danke dir für deine Hilfe, aber ich geb auf. Meine Augen fallen mir bald zu. Ich werde formatieren und Betriebssystem neu. Kannst du mir vielleicht noch ein paar Tips geben, wie ich danach sicher am PC arbeiten kann?

Lies dir diesen Link genau durch, da steht alles drin zum Thema Neuinstallation und Absicherung!

http://www.trojaner-board.de/12154-a...sicherung.html

Vielen lieben Dank. Ich wünsche dir noch ein schönes Wochenende...

Zitat:

Zitat von Hilfe2007

Vielen lieben Dank. Ich wünsche dir noch ein schönes Wochenende...

Danke, dir auch.