So ich hab alles gemacht wie mir empfohlen wurde... neu aufgesetzt alle EXP updates und nu gehts wieder von vorne los?

Meine I-Net Verbindung lahmt und lahm schon wieder...

BITTE BITTE HILFE!!!!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:05:56, on 26.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\WINDOWS\vsnpstd2.exe
D:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\DOKUME~1\Robbe\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SNPSTD2] D:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\RunServices: [Application Layer Gateway Service] aIg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198498631422
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198499640969
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5291 bytes

Halli hallo.

Hast du nach Anleitung neuaufgesetzt? Alle Platten komplett formatiert oder auch Daten gesichert?

Suche mal bitte unter Beachtung des Links in meiner Signatur nach einer " aIg.exe " auf deinem Computer und lade sie bei VT hoch. Poste das Ergebnis.

Könnte ein Backdoor sein, muss aber nicht.

Danke erstmal...
Also ich hab auf der Platte 2 Partitionen. Eine habe ich neu installiert und formatiert, die andere hat auch weder netzzugang noch sonstwas und ist WIN 98 Partitioniert. Das mit der aIG.exe hatte mir bereits schon Sorgen gemacht deshalb habe ich die bereits bei msconfig ausgeschaltet? (falsch?).
Die gesicherten Dateien hab ich zurückgeholt per ext. Platte.

Hier der Log:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.26.10 2007.12.26 -
AntiVir 7.6.0.46 2007.12.25 -
Authentium 4.93.8 2007.12.26 -
Avast 4.7.1098.0 2007.12.25 -
AVG 7.5.0.516 2007.12.25 -
BitDefender 7.2 2007.12.26 -
CAT-QuickHeal 9.00 2007.12.25 -
ClamAV 0.91.2 2007.12.26 -
DrWeb 4.44.0.09170 2007.12.26 -
eSafe 7.0.15.0 2007.12.25 -
eTrust-Vet 31.3.5400 2007.12.24 -
Ewido 4.0 2007.12.26 -
FileAdvisor 1 2007.12.26 -
Fortinet 3.14.0.0 2007.12.26 -
F-Prot 4.4.2.54 2007.12.25 -
F-Secure 6.70.13030.0 2007.12.26 -
Ikarus T3.1.1.15 2007.12.26 -
Kaspersky 7.0.0.125 2007.12.26 -
McAfee 5192 2007.12.24 -
Microsoft 1.3109 2007.12.26 -
NOD32v2 2747 2007.12.25 -
Norman 5.80.02 2007.12.26 -
Panda 9.0.0.4 2007.12.25 -
Prevx1 V2 2007.12.26 -
Rising 20.24.21.00 2007.12.26 -
Sophos 4.24.0 2007.12.26 -
Sunbelt 2.2.907.0 2007.12.21 -
Symantec 10 2007.12.26 -
TheHacker 6.2.9.168 2007.12.22 -
VBA32 3.12.2.5 2007.12.24 -
VirusBuster 4.3.26:9 2007.12.26 -
Webwasher-Gateway 6.6.2 2007.12.26 -

und nu die "versteckte" aIg.exe und der Log von VT...

mhhh muß ich den Mist jetzt nochmal neu machen???

Datei aIg.exe empfangen 2007.12.26 12:26:57 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt





Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.26.10 2007.12.26 -
AntiVir 7.6.0.46 2007.12.25 -
Authentium 4.93.8 2007.12.26 -
Avast 4.7.1098.0 2007.12.25 -
AVG 7.5.0.516 2007.12.25 -
BitDefender 7.2 2007.12.26 DeepScan:Generic.HorstBased.F46D0875
CAT-QuickHeal 9.00 2007.12.25 -
ClamAV 0.91.2 2007.12.26 PUA.Packed.TeLock
DrWeb 4.44.0.09170 2007.12.26 -
eSafe 7.0.15.0 2007.12.25 suspicious Trojan/Worm
eTrust-Vet 31.3.5400 2007.12.24 -
Ewido 4.0 2007.12.26 -
FileAdvisor 1 2007.12.26 -
Fortinet 3.14.0.0 2007.12.26 -
F-Prot 4.4.2.54 2007.12.25 -
F-Secure 6.70.13030.0 2007.12.26 -
Ikarus T3.1.1.15 2007.12.26 -
Kaspersky 7.0.0.125 2007.12.26 -
McAfee 5192 2007.12.24 -
Microsoft 1.3109 2007.12.26 -
NOD32v2 2747 2007.12.25 -
Norman 5.80.02 2007.12.26 -
Panda 9.0.0.4 2007.12.25 -
Prevx1 V2 2007.12.26 -
Rising 20.24.21.00 2007.12.26 -
Sophos 4.24.0 2007.12.26 -
Sunbelt 2.2.907.0 2007.12.21 VIPRE.Suspicious
Symantec 10 2007.12.26 W32.Spybot.Worm
TheHacker 6.2.9.168 2007.12.22 W32/Behav-Heuristic-066
VBA32 3.12.2.5 2007.12.24 -
VirusBuster 4.3.26:9 2007.12.26 -
Webwasher-Gateway 6.6.2 2007.12.26 Packer.Telock
weitere Informationen
File size: 1439744 bytes
MD5: e476b1ccc6f0ec96e21dbc17a6fb7711
SHA1: fd78936dfc168d068e8283aea2d0241ea0e79b36
PEiD: tElock 0.98 -> tE!
packers: TeLock
packers: PE_Patch, TeLock
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Von welcher Datei kommt denn das erste VT log? (Das ohne Befunde)

Du hast leider den Jackpot gewonnen. Bei dir sitzt ein Backdoor im System.

Setzte das System neu auf. Anleitung aus meiner Sigantur beachten!!

Du darfst nur Daten sichern die nicht ausführbar sind. Also alle die keine der hier genannten Dateiendungen haben.

.dll Dateien sollten ebenfalls nicht gesichert werden.

Ändere nach dem Neuaufsetzten alles Passwörter.

Och neeee echt? *heeeuuul*

ich müßte ja erstmal wissen wo das Ding sitzt?

Bei mir sind 2 aIg.exe versteckt... Daher der 1. Log

gibt es keine Möglichkeit den zu finden????

Habe mir gerade mal die verbotenen Endungen angesehen... Das ist nahezu UNMÖGLICH ich habe beruflich zig PDF usw....

Eine Bereinigung ist nahezu unmöglich und wird die in keinem Fall ein vertrauenswürdiges System wiederherstellen. Du musst dann ALLE deine Daten und ich meine wirklich ALLE (auch die die du nach der ""Bereinigung"" erstellst) als ausspioniert und kompromitiert ansehen. Das heisst keine Zugangsdaten (e-Bay, Pay-Pal, icq, E-Mail) sind mehr sicher und der Autor des guten kann höchst wahrscheinlich nach Belieben auf deinem Rechner herumspazieren..
Ohne Prüfsumme kann die Hintertür (die er jeder Zeit aktivieren kann) nicht gefunden werden.
Du machst dich im Übrigen strafbar wenn du, auf Grund des Backdoors als Spam-Schleuder. Kinderporno-Verteiler oder Angreifer auf einen MS-Server fungiers. Unwissenheit schützt auch hier vor Strafe NICHT! Du bist für die Sicherheit deines Systems verantwortlich.
In meiner Signatur findet sich Cidre's Systemsicherheit. Arbeite dich doch auch bitte dort gründlich ein damit du verstehst wovon ich rede.


Wenn du das wirklich in Kauf nehmen möchtest dann melde dich nochmal.

Die Pdfs kannst du entweder per Copy and Paste sichern oder vor einem Neuaufspielen bei virustotal auswerten lassen.


PS:

Zitat:

Bei mir sind 2 aIg.exe versteckt...

nette Masche des Autors.. man die werden auch nicht schlechter..

PN Vorgeschichte..


Wenn du alles neu gemacht hast dann ist die aig.exe auch weg. Also was meinst du mit finden?

Was für Dateien hast du denn gesichert?

Gesichert? also Word doc, PDF, outlook dateien, Bilder was man halt so behalten muß...

Zitat:

was man halt so behalten muß...

wenn du hier noch ein Drittes Mal auftauchst dann helfe ich dir nicht mehr

Hast du die Sicherung mit Verstand und meiner Liste an Endungen erstellt? Zweiteres wohl nicht :/
Und hast du wenigstens jede Datei bei Virustotal hochgeladen oder wenigstens mit MWAVE checken lassen?
Auch nicht...?

Na dann, viel Spaß.

Mhhh bei rund 15 Gig PDF und word und exel Files usw wirds wohl schwer die alle einzeln bei VT hochzuladen...

Und verzichten darf ich auch nicht darauf....