Hi,
Ich habe mir heute irgendeinen Trojaner eingefangern, der scheinbar alle Internetseiten mit Anti-Virus/Spywaretools blockiert.

hier mein Logfile :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:50, on 30.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\csrss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\STINGE~1\wh_exec.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\System32\TUProgSt.exe
C:\Programme\DSL-Manager\DslMgr.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINXP\System32\alg.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\DSL-Manager\DslMgrSvc.exe
C:\WINXP\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINXP\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [WheelMouse] C:\STINGE~1\wh_exec.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Programme\Agnitum\Outpost Firewall Pro\feedback.exe" /dumps_startup
O4 - HKLM\..\Run: [OODefragTray] C:\WINXP\system32\oodtray.exe
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe
O4 - Startup: SpeedFan (2).lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Startup: Warkeys Update.lnk = F:\Spiele\Warcraft III\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Programme\Spyware Doctor\pctsAuxs.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Programme\Spyware Doctor\pctsSvc.exe (file missing)
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe

--
End of file - 7879 bytes


Ich benutze die Outpost- Firewall und avast home .
Zudem bekam ich heute die Meldung zur Installation von Protection System. Habe die Anwendung über meine Firewall blocken lassen, aber diese wurde trotzdem installiert.
Habe mir Spywaredoctor per usb-stick auf den Rechner gezogen, kann es aber nicht updaten und somit auch nicht nutzen .
Desweiteren ist meine Internetverbindung sehr langsam geworden.

Außerdem bekomme ich beim Windows-Start folgende Nachrichten:
http://img391.imageshack.us/img391/69/windowsproblem11.jpg

--> wenn ich dabei auf schließen gehe kommt dann diese Meldung:
http://img380.imageshack.us/img380/6569/windowsproblem22.jpg

Diese Meldungen( außer die bezüglich der Mom.exe) kehren beim schließen immer wieder.

Hallo und

1.) Ist das ein legales Windows?

2.) Spyhunter, TuneUp, Outpost, dafür gehörst du .

3.) Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

Danke für die Begrüßung


zu Punkt 1 nun ja es dient als übergang zu win 7 . . .

zu 2) Spyhunter hab ich kurz nach meinem problem leider übereifrig installiert und danach hier im Forum eher schlechte Kommentare dazu gelesen. .. Asche über mein Haupt. Tuneup und Outpost wurde mir von Freunden empfohlen.
Aber Anhand deines Smileys hab ich damit ziemlich Tief in die ***** gegriffen.

zu 3.) nun gut ich geb zu, dass ich nicht sehr lange das Forum durchsucht hab - was mitunter daran liegt, dass die Probleme/Symptome meines PC's sich von den anderen Beschriebenen, welche im Zusammenhang mit " Protection System" gepostet wurden unterscheiden.



Edit.: AUßerdem hab ich nicht gerade viel Ahnung von Viren und Spyware, geschweige denn von HiJackThis.
Deshalb hoffe ich, dass ihr das Problem aus dem Logfile herauslesen und mir helfen könnt.

habe auch schon probiert mir die in diesem Thread:
http://www.trojaner-board.de/75898-h...ktivieren.html
empfohlenen Programme downzuloaden, aber die werden über den Browser blockiert, d.h. der download startet nicht.

Tut mir leid, aber wir supporten hier keine illegale Software. Besorge dir eine legale Version oder benutze ein alternatives Betriebssystem wie Linux. Die Ubuntudistribution ist z.Z. am Angesagtesten. Dort gibt es auch keine Probleme mit Schädlingen und es ist kostenlos.

Du bist entlassen und ich bin raus,
andreas

Ich werd mir morgen mal Malwarebytes Anti-Malware über einen bekannten besorgen damit versuchen mein problem zu beseitigen.

PS: Ist es möglich eine externe Festplatte an den PC anzuschließen, ohne das der Trojaner diese infiziert. Habe nämlich noch wichtige Dateien auf meinem Rechner die ich nicht verlieren will.

Zitat:

Zitat von john.doe

Tut mir leid, aber wir supporten hier keine illegale Software. Besorge dir eine legale Version oder benutze ein alternatives Betriebssystem wie Linux. Die Ubuntudistribution ist z.Z. am Angesagtesten. Dort gibt es auch keine Probleme mit Schädlingen und es ist kostenlos.

Du bist entlassen und ich bin raus,
andreas

okay ich verstehe deine Ablehnung , aber kannst du mir wenigstens sagen, ob das mit der externen Festplatte funktioniert? - dann kann ich mein System wenigstens durch eine Neu- Installation des Betriebsystems von der Schadsoftware befreien . .. was ja Ubuntu nicht ausschließt