Trojaner gefunden! Aber nicht sicher ob alle eleminiert sind!

LostLittleSoul · 03.01.2008, 19:53

Hi Leute,

erstmal danke, dass es sowas hier gibt. Ich habe nämlich heute einige Trojaner von meinem Rechner geschmissen und hab nun nochmal ein HJ-Logfile erstellt. Ich bin mir aber nicht sicher, ob alles weg ist. Vielleicht könnt ihr mir helfen.
Hier die Daten, die mir Antivir rausgeworfen hat (muss einzeln sein, da ich das Log nicht mehr habe:

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Gplaxistick\oufoxefe.exe'
'TR/Dldr.Swizzor.Gen' [trojan].

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Gplaxistick\opalopxr.exe'
'TR/Dldr.Swizzor.DV' [trojan].

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Gplaxistick\Meow third tool jugs.exe'
'TR/Obfuscated.EN.2479' [trojan].

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Gplaxistick\eudckqpb.exe'
'TR/Obfuscated.EN.2655' [trojan].

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Gplaxistick\bysdnzrs.exe'
'TR/Dldr.Swizzor.Gen' [trojan].

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Gplaxistick\Body dale two.exe'
'TR/Obfuscated.EN.2468' [trojan].

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Gplaxistick\barboptionhold.exe'
'TR/Dldr.Swizzor.Gen' [trojan].

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bodydrawsaveskip\SETUP BIB.exe'
'TR/Dldr.Swizzor.Gen' [trojan].

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bodydrawsaveskip\GRIDMEMO.exe'
'TR/Dldr.Swizzor.Gen' [trojan].

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool\Inter bait.exe'
'TR/Dldr.Swizzor.Gen' [trojan].

C:\Addon\BSI\toolbox\Parentsfriend\pfsetup.exe'
'DR/PSW.VB.JI' [dropper].

Alle Dateien sind nicht mehr vorhanden. Ich, bzw. Antivir hat sie gelöscht (die Datei Inter bait.exe musste ich im abgesichten Modus manuell löschen). Ich habe sämtliche Windows Sicherheitsupdates gemacht.

Zu guter Letzt nun noch das HJ-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:17:24, on 03.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://w*w.dewjuqhmwqvkyslccyl.com/3J4sDoyO7RwIeTmDyfWEjoH6t5lGMZVAuxo7jVCCcAVfoeru9IlUSHqC9aILv2zI.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.freewar.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TIME RDR] C:\DOKUME~1\***\ANWEND~1\GPLAXI~1\barboptionhold.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - h**p://w*w.midasplayer.com/midasa.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{98C64093-9D3D-4548-A3E1-D0C7FF8A0971}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Ich hoffe, dass ihr mir helfen könnt. Ist mein Rechner nun wieder „sauber“?

Mit freundlichen Grüßen

LostLittleSoul

LostLittleSoul · 03.01.2008, 20:06

Nachtrag:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Gplaxistick ist wieder da. Allerdings zeigt Windows nix an, also keine Dateien oder so. Aber anscheinend hat der Wurm barb optionhold.exe ein Hintertürchen aufgemacht... kann mir jemand sagen, wie ich den weg kriege?

11Boy11 · 03.01.2008, 22:35

Hi,

bitte einmal - eScan - über dein System laufen lassen, und den Bericht posten!

Trojaner gefunden! Aber nicht sicher ob alle eleminiert sind!

Log-Analyse und Auswertung: Trojaner gefunden! Aber nicht sicher ob alle eleminiert sind!