Hallo, ich habe seit heute morgen mehrere Trojaner auf dem PC.
Ich hab zweimal Avira Antivir durchlaufen lassen. Dabei sind folgende sachen entdeckt worden:

-

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudCgp.zip'
wurde ein Virus oder unerwünschtes Programm 'GEN/PwdZIP' [heuristic] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WWWBWH0I\Binaries2[1].cab'
enthielt einen Virus oder unerwünschtes Programm 'TR/FakeAV.bak.2' [trojan].
Durchgeführte Aktion(en):
Eine Sicherungskopie wurde unter dem Namen 49638edc.qua erstellt ( QUARANTÄNE ).
Die Datei wurde gelöscht.

In der Datei 'C:\Programme\XP_AntiSpyware\wscui.cpl'
wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.bak.2' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Binaries2.cab3'
enthielt einen Virus oder unerwünschtes Programm 'TR/FakeAV.bak.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

In der Datei 'C:\WINDOWS\system32\dllcache\figaro.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

-

Nun hab ich HijackThis durchlaufen lassen, da ich nicht wirklich ahnung davon habe, hoffe ich das ihr mir helfen könnt.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 10:34:19, on 15.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\Sonstiges\Antivir\HijackThis.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [LXBSCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBStime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Launch NoNameScript.lnk = C:\Programme\mIRC\mirc.exe
O4 - Startup: steam.bat.lnk = C:\Programme\Valve\Steam\steam.bat
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbscoms.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Ich hab bei "C:\Programme\coyqhyf\chkgenapi.dll" etwas gelöscht mit Hijackthis. Aber es ist immer noch im Ordner. Was soll ich damit tun?

Ich hatte auch eine .exe drauf, diese hat ein FakeAV gestartet, XP_Spyware2009. Das wurde von Avira Antivir nicht erkannt, ich hab sie erst per HijackThis gelöscht, dann war die exe aber noch in "C:\Windows\system32".

Bei Spybot Search&Destroy wurde eine "svchost.exe" gefunden, die Malware enthielt. Ich habe noch 6 weitere "svchost.exe", sind die okay?

Hallo,

bis Hilfe von den Experten des Boards kommt kann ich Dir schonmal folgende Empfehlungen geben:

1.)
Lade folgende Dateien bei Virustotal.com hoch und poste die Ergebnisse der einzelnen Scanner mitsamt den Hash-Angaben der jeweiligen Datei:

Code: Alles auswählenAufklappen

ATTFilter

C:\windows\system\hpsysdrv.exe
C:\Programme\coyqhyf\chkgenapi.dll
Die AntiSpy2009 Exe-Datei, falls noch vorhanden
         

2.)
Du solltest Dich nach der hoffentlich erfolgreichen Säuberung Deines Systems um stets aktuelle Versionen von Windows und Systemprogrammen kümmern, denn dies hier ist schon älter:

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Installiere dann das SP3 und soreg dafür, dass Du beim Internet Explorer die Version 7 installierst. Und zudem solltest Du Dich um stets aktuelle Sicherheitsupdates kümmern, das allein ist schon ein wichtiger Schritt zu mehr Systemsicherheit.

Soweit erstmal, ansonsten warte am besten auf Expertenhilfe.