Hallo !

Ich habe mir höchstwarscheinlich einen Trojaner eingefangen.

Auf einmal geht unten in der Leiste bei XP ein kleiner grau/grün/roter
Button auf "Daten senden an anderen Computer" ein Ton als wenn
Raumschiff Enterprice an einem vorbeifleigt und Ende.

Was ist zu tun ?

Hilfe !

mfg

Werner

Da habe ich noch vergessen !

Norton Antivirus 3.0 ist aktiv und aktuell / hat aber nichts davon bemerkt.

anbei ein aktueller Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:57:35, on 19.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
E:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
E:\Programme\McAfee\SiteAdvisor\McSACore.exe
E:\Programme\Norton 360 Online\Norton 360\Engine\3.5.2.11\ccSvcHst.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
E:\Programme\Launch Manager\LaunchAp.exe
E:\Programme\Launch Manager\HotkeyApp.exe
E:\Programme\Launch Manager\OSD.exe
E:\Programme\Launch Manager\Wbutton.exe
E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programme\Synaptics\SynTP\SynTPEnh.exe
E:\Programme\Norton 360 Online\Norton 360\Engine\3.5.2.11\ccSvcHst.exe
E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
E:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
E:\Programme\Logitech\QuickCam\Quickcam.exe
E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Programme\Java\jre1.6.0_07\bin\jusched.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE
E:\Programme\Windows Live\Messenger\msnmsgr.exe
E:\Programme\Skype\Phone\Skype.exe
E:\Dokumente und Einstellungen\ggh\Anwendungsdaten\UpdateStar\UpdateStar.exe
E:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
E:\Programme\Skype\Plugin Manager\skypePM.exe
E:\Programme\Windows Live\Contacts\wlcomm.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Outlook Express\msimn.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/cpm-redir/IE-8.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/cpm-redir/IE-8.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online.de
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - E:\Programme\Norton 360 Online\Norton 360\Engine\3.5.2.11\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - E:\Programme\Norton 360 Online\Norton 360\Engine\3.5.2.11\IPSBHO.DLL
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - e:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - E:\Programme\Norton 360 Online\Norton 360\Engine\3.5.2.11\coIEPlg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - e:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [LaunchAp] E:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] E:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] E:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] E:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "E:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [ATIPTA] "E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPLpr] E:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] E:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "E:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "E:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GMX_GMX Upload-Manager] "E:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" /hide
O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [UpdateStar] E:\Dokumente und Einstellungen\ggh\Anwendungsdaten\UpdateStar\UpdateStar.exe -A
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = E:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = E:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - e:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - E:\Programme\Norton 360 Online\Norton 360\Engine\3.5.2.11\coIEPlg.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LVCOMSer - Logitech Inc. - E:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - E:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - E:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: Norton 360 (N360) - Symantec Corporation - E:\Programme\Norton 360 Online\Norton 360\Engine\3.5.2.11\ccSvcHst.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - E:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8965 bytes

Hallo kann mir mal bitte Jemand helfen ?

ich habe nun Malwarebytes installiert und der Scan brachte folgendenes Ergebnis.

Was ist als nächstes zu tun ?

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2830
Windows 5.1.2600 Service Pack 3

20.09.2009 16:15:48
mbam-log-2009-09-20 (16-15-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 218829
Laufzeit: 1 hour(s), 30 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

Hallo kann mir mal bitte Jemand helfen ?

Hallo und

Zitat:

Was ist als nächstes zu tun ?

Bitte checke diese Datei auf VIRUS TOTAL.
VirusTotal - Kostenloser online Viren- und Malwarescanner

E:\WINDOWS\SOUNDMAN.EXE

Poste das Ergebnis.

Diesen Eintrag bitte fixen:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
(Erneuter Scan mit Hijackthis- und dann Kästchen hinter dem Eintrag ankreuzen und auf "Fix checked" drücken.

Jetzt bitte diese Liste abarbeiten:

- Installiere dir CCleaner und führen ihn aus nach der Anleitung

Ich brauche mehr Information über dein System
Poste bitte ein CCleaner- textlog über deine installierte Programme:
Öffne CCleaner- gehe auf "Extras" dann "Programme deinstallieren" und fertige ein Log in dem du unten rechts auf: "Als Textdatei spreichern" drückst.
Log posten.

- Bitte lade dir RSIT runter führe es aus und poste die logs.

- Mache einen Scan mit Panda active scan:
FREE ANTIVIRUS - Download ActiveScan 2.0 and clean your PC - PANDA SECURITY

Bitte, bis wir deinen PC gereinigt haben, nicht die Windows Systemwiederherstellung verwenden.

Morgen schauen wir weiter

Hallo Donthackme,


Danke !!! für deine Unterstützung.

Zitat:

Bitte checke diese Datei auf VIRUS TOTAL.
VirusTotal - Kostenloser online Viren- und Malwarescanner

E:\WINDOWS\SOUNDMAN.EXE

Poste das Ergebnis.

Diesen Eintrag bitte fixen:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
(Erneuter Scan mit Hijackthis- und dann Kästchen hinter dem Eintrag ankreuzen und auf "Fix checked" drücken.

So wie es aussieht hat Malwarebytes die Soundman.exe bereits herausgehauen. Ich hatte mich schon gewundert das ich nur Beep^s zu hören bekam anstatt wohlklingender Tonsequenzen.

Hier der Logfile von CCleaner

a-squared Free 4.5
Acronis*True*Image*Home
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.3 - Deutsch
ATI - Software Uninstall Utility
Audiograbber 1.83 SE
CCleaner (remove only)
ElsterFormular 2008/2009
getPlus(R) for Adobe
HijackThis 2.0.2
HotSpot Manager
hp deskjet 990c series (nur entfernen)
Java(TM) 6 Update 15
Java(TM) 6 Update 7
Logitech QuickCam
Logitech QuickCam-Treiberpaket
Logitech Updater
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
MSXML 4.0 SP2 (KB954430)
Norton 360
OpenOffice.org 3.0
Panda ActiveScan 2.0
Realtek High Definition Audio Driver
SAMSUNG Mobile Composite Device Software
SAMSUNG Mobile Modem Driver Set
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Synaptics Pointing Device Driver
Texas Instruments PCIxx21/x515 drivers.
Tweak UI
Windows Driver Package - Intel (NETw5x32) net (07/08/2008 12.0.0.82)
Windows Driver Package - Intel (NETw5x32) net (11/17/2008 12.2.0.11)
Windows Driver Package - Intel (w29n51) net (12/19/2007 9.0.4.39)
Windows Driver Package - Intel net (07/08/2008 12.0.0.82)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
Windows-Treiberpaket - MobileTop (sshpmdm) Modem (02/23/2007 2.5.0.0)
Windows-Treiberpaket - MobileTop (sshpusb) USB (02/23/2007 2.5.0.0)
WinRAR Archivierer
WinZip
WISO Steuer 2009
X10 Hardware(TM)
XP Codec Pack

---EOF---

der log von RESIT kommt gleich separat sonst komme ich über 25000 Zeichen.

PANDA ist gerade noch beschäftigt

Sorry, das ich solange nichts von mir habe hören lassen aber ich hatte die
Hoffnung auf Hilfe schon aufgegeben.

bis dann...

Werner1968

Du hast zuviel Antivirensoftware drauf. Somit verfogen die sich gegenseitig. :-)
Hier muss man auch noch anmerken, daß so gut wie jede Malware als erstes AV Software manipuliert.

Zu deinem Button: Kuck erst mal im Autostart (sowohl Autostart umter Programme als auch Autostart unter msconfig ) ob da nicht einfach nur ein Hoax Eintrag steht.
Ansonsten kenne ich derartige Meldungen vom MSN Virus.

Zitat:

Java(TM) 6 Update 15
Java(TM) 6 Update 7

Mittlerweile haben wir Update 16 von Java.

Deinstalliere die beiden Versionen und lade dir hier Java-Downloads für alle Betriebssysteme - Sun Microsystems das Update 16.

Ich würde Norton & A-Squared Freee deinstallieren und dafür Avira Antivir empfehlen auf dieser Agressiven Einstellung und dazu bei Verdachtsfall http://www.trojaner-board.de/51187-a...i-malware.html

Ich hoff ich konnt dir weiterhelfen,