Hallo zusammen,
ich habe ein Problem mit einem hartnäckigen Trojanischen Pferd (TR/crypt.XPACK.Gen). Antivir konnte es finden, aber nicht entfernen. Es legt alle Prozesse lahm. Kann mir bitte jemand helfen es zu entfernen? Ich wäre dankbar, wenn der Rechner nicht neu aufgesetzt werden müsste.

Hier das HiJackThis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:08:39, on 12.08.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\ati2evxx.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
D:\Bluetooth Software\bin\btwdins.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\WINNT\system32\PRPCUI.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\braviax.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
D:\Bluetooth Software\BTTray.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
D:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [load32] C:\WINNT\system32\winldra.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [braviax] C:\WINNT\system32\braviax.exe
O4 - HKLM\..\Run: [XP SecurityCenter] "C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [braviax] C:\WINNT\system32\braviax.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: BTTray.lnk = D:\Bluetooth Software\BTTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Senden an &Bluetooth - D:\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {38135E75-34A9-49EC-B83D-9F9A31877CA0} (DLITools.Uploader) - http://it.xpresslab.de/DLIUploaderV2.CAB
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://www.bdsu.de/iNotes6.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {BF5F3A70-4ECD-446A-A4EE-68AE66C1CC79} (MoreUploadX) - http://kalender.pixaco.de/Upload/PixacoActiveX.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINNT\system32\cru629.dat
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINNT\system32\aspimgr.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Bluetooth Software\bin\btwdins.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\iPod\bin\iPodService.exe
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O24 - Desktop Component 0: (no name) - C:\Germana11.jpg

--
End of file - 8084 bytes



Ich hoffe Ihr könnt mir helfen. VIELEN DANK im Vorraus!

Moin

Zitat:

Ich wäre dankbar, wenn der Rechner nicht neu aufgesetzt werden müsste.

das wird wohl nix
Du hast leider mehr an Bord (gehabt) als dir lieb sein dürfte
Troj/Proxy-HS Trojan - Sophos security analysis
und
Troj/Dumaru-AT Trojan (Backdoor.Win32.Dumador.at) - Sophos security analysis
und das kann er

Zitat:

Troj/Dumaru-AT is a Trojan for the Windows platform that provides backdoor access and control over the computer and sends confidential information to a remote location.
...
Troj/Dumaru-AT gathers clipboard data, Window text, cached passwords and confidential information from the system registry, including data stored related to Webmoney, Far Manager, Total Commander ftp and the bat email client.

Es sollten alle Pass- und Kennwörter nach der Neuinstallation oder von einem sauberen Rechner aus geändert werden.
Wenn ihr Daten sichern wollt verzichtet auf
ausführbare Dateien
und Dateien aus unsicheren Quellen.

MFG

Hallo,
vielen Dank für Deine Antwort nochdigger

....dann sieht es wohl schlecht aus.

Können so auch Passwörter z.B. von einem Amazon- oder Ebay-Account, der aber in den letzten Tagen nicht benutzt wurde ausspioniert worden sein?

Kann man sehen woher die Trojaner kamen oder wie lange sie schon da sind?

Beim Sichern von nicht ausführbaren Dateien kann aber nichts passieren, oder?


Viele Grüße,
G13

Hallo

Zitat:

Können so auch Passwörter z.B. von einem Amazon- oder Ebay-Account, der aber in den letzten Tagen nicht benutzt wurde ausspioniert worden sein?

ändere sie lieber, abgesehen haben sie es zwar hauptsächlich auf diese hier

Zitat:

'e-gold.com', 'intgold.com', 'emocorp.com', 'ameritrade.com', 'etrade.co',
'alliance-leicesterbusinessbanking.co', 'lloydstsb.co', '365online.co',
'natwest.co', 'bankofscotland.co', 'barclays.co', 'netmastergold.co', 'rbs.co'
, 'firstdirect.co', 'smile.co', 'hsbc.co', 'virginone.co', 'zurichbank.co',
'abbey.co', 'halifax.co', 'aeacu.com', 'uboc.com', 'enternetbank.com',
'plainscapital.com', 'jacksonstatebank.com' and 'citibank.com'.

aber wenn sie geändert sind, läufst du keine Gefahr.

Zitat:

Kann man sehen woher die Trojaner kamen oder wie lange sie schon da sind?

Wo und wie sie eingefangen wurden eher nicht, wann könnte man evtl. herausbekommen.

Zitat:

Beim Sichern von nicht ausführbaren Dateien kann aber nichts passieren, oder?

doch es kann, prüfe die Sicherung vor dem zurückspielen ins neue System mit einem aktuellem Antivirenprogramm.

MFG