Beseitigung des Trojaners TR/HTML.Downloader.Agent.NAH - Dringend!

thati

Hallo,


habe zur Zeit leider ein Problem, was mich wirklich um den Verstand bringt. Ich habe auch schon in Suchmaschinen (Google, Yahoo!) den Trojaner, welcher meinen PC befallen hat, als Stichwort eingegeben. Leider ohne Erfolg.

Ich hoffe, ich finde hier einige Fachmänner(Frauen), die mir netterweise helfen könnten .

Mein AntiVir-Programm hat mir heute bei einer vollständigen Systemprüfung eine Trojanermeldung angezeigt. Der Trojaner hört auf den Namen TR/HTML.Downloader.Agent.NAH und befand sich unter dem Pfad
C:\Dokumente und Einstellungen\(...)\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YKPFX7UT\law[1]htm.

Ich habe diesen Ordner vollständig gelöscht, nachdem ich den Trojaner in die Quarantäne verschoben habe. Danach habe ich noch eine Systemprüfung laufen lassen, diesmal ohne Fund (Zwar mit 25 Warnungen, welche aber schon vor dem Trojanerfund existierten). Danach habe ich eine Systemwiederherstellung bis Mitte April 08 durchgeführt.

Ich selbst bin aber der Meinung und habe das Gefühl, dass dieses Biest immernoch auf meine PC zugange ist.

Außerdem habe ich HijackThis mal durchlaufen lassen, mit folgendem Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:02:42, on 18.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http:///Dokumente%20und%20Einstellungen/<username>/Anwendungsdaten/EA%20GAMES/Die%20Sims%202/Musik
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro\CheckNewUser.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - C:\Programme\Xilisoft\YouTube Video Converter\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6236 bytes


Ich hoffe, Sie können damnit was anfangen, da ich HijackThis zuvor noch niemals benutzt habe.


Noch einige wichtige Anmerkungen:

Vor circa einer Woche wollte ich meinen PC (XP) mit de Desktop Design von Windows Vista aufmotzen. Habe ir dieses auch auf einer Internetsite runtergeladen (welche, weiß ich leider nicht mehr, war aber eine der ersten Seitenergebnisse bei der Angabe "Desktop Design" in Google). Mein PC nah diese Änderung auch an und so fuhr ich ihn nach einiger Zeit wieder gewöhnlich runter.
Als ich ihn a nächsten Tag wieder anmachen wollte, fuhr er hoch, dass gewöhnliche Startzeichen von Windows XP it dem Ladebalken erschien in einer enormen schlechten Grafik, danach wurde der Bildschirm schwarz und der PC startete von neuem, wieder erschien das Windowszeichen, er stürzte wieder ab, startete wieder neu....usw. Das ging so lange, bis ich alle Stecker zog und ihm den Strom abzapfte.

Mithilfe meines Vaters startete ich ihn wieder, drückte nun auf seinen Rat immer wieder F8 und schaffte es so eine Systewiederherstellung ( ich glaube es das Datum war irgendwo im Juni) über den abgesicherten Modus zu schaffen. Der PC ging wieder und das Desktop Design war natürlich auch weg.

Wären da nicht die schwarzen, horizontalen Streifen, welche mein Monitor ab und an anzeigte. Auch eine Verlangsamung bei zb. Öffnen von Firefox oder überhaupt beim ganzen Start vom PC. Als diese Streifen bei der Abfrage meines Kennworts für den Administrator erschienen, beka ich ein wenig Angst. Was, wenn jemand genau dieses und sowieso alle Kennwörter/Passwörter nun weiß?

Die Updates und Systemprüfungen brachten in dieser Woche kein Ergebnis, keinen Fund - Bis heute.

Ich hoffe, mir können hier Einige helfen, ich werde das Gefühl nämlich nicht los, dass sich gerade ein Hacker/Cracker (beide unerwünscht ) an meinem PC befindet und in aller Ruhe meine Dateien durchwühlt und womöglich auch über das Internet Seiten aufruft, die mir wirklich Galle heraufbeschwören (also kostenpflichtige, illegale Sites.)

Bitte um schnellstmögliche Antwort und vielen Dank im Vorraus,

thati