Bitte dringend um Hilfe. Danke!
 

Habe mir wohl einen virus/trojaner eingefangen. Habe auch schon durch suche hier im Board einige Tipps zum entfernen bestimmter Datein gefunden und ausgeführt. Leider ist mein System aber anscheinend immer noch nicht sauber.

Ferner lässt sich seit dem Befall kein Desktop Hintergrundbild mehr installieren. Wenn ich es über den Arbeitsplatz versuche bleibt dies unausgeführt. Bei Eigenschaften von Anzeige sind nur noch 2 Tabs da und der mit dem Desktophintergrund gehört zu den fehlenden.

Hier meine Hijack Datei:

Logfile of HijackThis v1.99.1
Scan saved at 12:42:58, on 02.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\KEN!\KENCLI.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ORL\VNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\KEN!\kentbcli.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Hap\Eigene Dateien\Privat Hap\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.16.2:3128;http=192.168.16.2:3128;https=192.168.16.2:3128;socks=192.168.16.2:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: IEFriendly Class - {A5483501-070C-41DD-AF44-9BD8864B3015} - C:\Programme\Httper\httper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKLM\..\RunOnce: [Regsister WScript] wscript -regserver
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &RSDN Search - res://C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL/GoVM.dll.htm
O14 - IERESET.INF: START_PAGE_URL=http://192.168.16.2:3128/ken2000.html
O16 - DPF: {11111111-1111-1111-1111-111111111111} - ms-its:mhtml:file://C:\\MAIN.MHT!http://www.db105.com:81//o//u//i//ne2.chm::/loader.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/fu...tup1.0.0.6.cab
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://i.rn11.com/iwasher/pptproacta...twasherpro.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07a9cf3c...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115019806930
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EE4DE0D-5AEE-462A-A7B8-B6C6909F8ACE}: NameServer = 192.168.16.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\ORL\VNC\WinVNC.exe" -service (file missing)

Hi, bevor wir beginnen etwas zu verändern, muß ich über einige Dateien was wissen. Bitte die folgenden bei Jotti online scannen und das Ergebnis posten:

C:\WINDOWS\System32\msole32.exe
C:\Programme\Httper\httper.dll
C:\WINDOWS\System32\msmsgs.exe

Sind die Absicht:
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKLM\..\RunOnce: [Regsister WScript] wscript -regserver

cacatoa

C:\WINDOWS\System32\msole32.exe: Trojaner
C:\Programme\Httper\httper.dll : villeicht infiziert evtl. Backdoor
C:\WINDOWS\System32\msmsgs.exe: Trojaner

Sind die Absicht:
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKLM\..\RunOnce: [Regsister WScript] wscript -regserver

Nee, eigentlich keine Absicht. soll ich die jetzt alle löschen?

Danke für die Hilfe übrigens.

Hi,
bitte das Gesamtergebnis von Jotti posten.
Sonst fehlt mir was... ;)
cacatoa

MSole32.exe

Auslastung:
0% 100%
Datei: msole32.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
FSG

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.Click.378 gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan-Clicker.Win32.Agent.cr gefunden

httpper.dll

Auslastung:
0% 100%
Datei: httper.dll
Status:
VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
security risk or a "backdoor" program gefunden
Fortinet
BHO/Bhos gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
mks_vir
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VBA32
Keine Viren gefunden

MSMSGS.EXE

Auslastung:
0% 100%
Datei: msmsgs.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
FSG

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
BehavesLike:Win32.ExplorerHijack gefunden (mögliche Variante)
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.DownLoader.2205 gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
mks_vir
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VBA32
Keine Viren gefunden

Also, chewbaka,
wenn auf meinem Rechner der Verdacht auf einen Backdoor-Trojaner bestünde (sowohl in HJT erkannt, als auch von F-Prot), dann würde ich das System neu aufsetzen. Denn nur dann hat man vollkommene Sicherheit, die Du mit dem Entfernen der infizierten Dateien nicht erreichst.
cacatoa

die hat man nie. auch wenn man neuinstalliert und wenn mans ganz genau nimmt auch wenn der rechner nicht am i-net ist. (es könnte jemand ins haus einbrechen, einen unbekannten trojaner installieren auf dem system und der restliche weg) aber das weißt du ja sicher bereits ;)

@ chris
Also, Chris, nee, nee.... ;)

OK. Aber noch 3Fragen bitte:
1. Wie kann das mit dem Dsktop Hintergrundbild sein, dass das jetzt nicht mehr funzt, nach dem der eine Wurm so eine getürkte Fehlermeldung als Hintergrund gemacht hatte?
2. Meinst Du ich kann die hhtpper.dll auch löschen ohne Schaden anzurichten?
3. Der Rechner ist nicht direkt am Netz, sondern geht via einem KEN Server ins Netz. Kann dann überhaupt jemand via des Server auf den Rechner zu greifen, wenn der Server eine Firewall hat und KEN Virenschutz?

Und erstmal Super Vielen Dank für Deine Hilfe!!!

Hi,chewbakka,
1. Wir wissen ja nicht, was der Wurm tatsächlich verändert hat.
2. hhtpper.dll kannst du natürlich löschen; aber das heißt nicht, daß das System sauber ist.
3. Ja (eingeschränkt; weil ich die Konfiguration nicht kenne).

Melde Dich wieder, wenn das Sytem suaber ist.
cacatoa

Hi^^

ich hatte dasselbe problem,wie chewbakka, doch ich hab das anscheinend zu spät gemerkt und das ignoriert.
Nun fährt mein PC zwar noch hoch, aber nur bis zum Hintergrundbild (also ohne startleiste, symbole) und bleibt dann stehen, man kann nichts mehr drücken bzw es tut sich ab da nichts mehr. wenn ich im abgesicherten modus boote kommt der auch nur soweit und wenn ich den taskmanager anfordere, steht dann in der systemleistung 100% obowhl ich überhaupt nix laufen hab, un in den aktiven prozessen halt die ganzen seltsamen wie z.b. svchost.exe, smss.exe etc.
wenn ich einen neuen prozess starten will und auf durchsuchen klicke hängt der sich auf....

hat jemand ne ahnung ? :(

@Rappelkiste
Wenn du dasselbes Problem hast, wird dir die gleche Lösung vorgeschlagen. Bitte Thread lesen, Ratschägen folgen.

....

ich sagte:
d.h. ich HATTE dasselbe,
doch nun habe ich wohl ein anderes problem

@Rappelkiste
Wenn du ein anderes Problem hast, benutze bitte die Forum-Suche und Google. Falls du nichts Hilfreiches findest, öffne bitte deinen eigenen Thread im entsprechenden Themenbereich. Bitte FAQ und angepinnte Themen lesen.