Trojaner-Problem?
 

Hi Leute!

Habe seit gestern einige Probleme mit immer wieder auftauchenden Trojaner-Meldungen. Vielleicht könnt Ihr mir da weiter helfen. Ich poste auch gleich mal das hijackthis-log dazu.

Logfile of HijackThis v1.99.1
Scan saved at 21:26:49, on 17.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\MaxMustermann\Desktop\HijackThis1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030} - C:\WINDOWS\system32\iifebxv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105632535844
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - h**p://everquest2.station.sony.com/systemscan/soesysinfo.cab
O20 - Winlogon Notify: iifebxv - C:\WINDOWS\SYSTEM32\iifebxv.dll
O20 - Winlogon Notify: winemx32 - C:\WINDOWS\SYSTEM32\winemx32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe


Hoffe Ihr könnt mir sagen, wo der Hund begraben liegt.

@Getridoffit
Welche(r) Trojaner? Wo?
Schwierig ist , dem zu helfen , der die wichtigen Angaben verschweigt ;).
Wozu? Vllt. sind alle Einträge hier gut :). Was beanstandet dein Antivirus?

erstmal sorry, daß ich ned gleich alle relevanten sachen bekanntgeben habe und zweitens danke, daß um diese uhrzeit noch wer antwortet.

ich benutze antivir und das gibt mir in unregelmäßigen abständen warnungen wie diese hier zb.:

c:\windows\temp\win28.tmp
ist das trojanische pferd TR/PCK.Klone.G.91

oder grad eben:

c:\windows\temp\win29.tmp
ist das trojanische pferd TR/PCK.Klone.G.91

bzw.:

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec\SubEng\{89281B66-42AB-4E7E-8497-FD42293B8CDB}\srvzmd[1].exe
ist das trojanische pferd TR/PCK.Klone.G.91


und so geht das wie gesagt in unregelmäßigen zeitabständen weiter.

@Getridoffit
Und Norton? ;) Scheinbar sind noch einige Überreste von Norton übrig geblieben.
Benutze das ClearProg-Tool (s. Link in meiner Signatur) und leere alle Temp-Ordner (Alles Leeren) und im abgesicherten Modus + Admininstrator-Login (ist on-default nicht PW-geschützt) benenne die Datei in *.txt, z.B. um.
Wenn der PC weiter stabil läuft, kannst du die Datei im Normalmodus löschen.

ich hab jetzt mal alles so gemacht wie du´s geschrieben hast, das clearprog und der abgesicherte modus + adminlogin. nur konnt ich die datei dann nicht mehr finden, da ich ja bei der warnung durch antivir dann immer auf löschen drücke.

das komische ist halt, daß trotz des löschens der virus dann immer wieder autritt, entweder mit den selben namen wie oben schon mal angegeben, oder wie kurz vor dem neustart um deine angaben zu erledigen, mit einem neuen namen:

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec\SubEng\{89281B66-42AB-4E7E-8497-FD42293B8CDB}\srvqo[1].exe

seit der benutzung deines tools bin ich auf firefox umgestiegen und bisher ist es ruhig. hilft das irgendwie bei der problemlösung weiter?

so ich hab grad alles gemacht wie du´s mir aufgeschrieben hast, nur konnte ich die datei im abgesicherten modus nicht mehr finden, da ich sie ja bei auftauchen im antivir gleich löschen lies.

aber trotz des löschens taucht sie dann entweder unter dem selben namen, oder einem ähnlichen wieder auf.

so wie gerade eben in wenigen sekunden abstand:

C:\Dokumente und Einstellungen\MaxMustermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YRD...\srvegm[1].exe
ist das Trojanische Pferd TR/PCK.Klone.G.91

C:\Dokumente und Einstellungen\MaxMustermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HCK...\srvheh[1].exe
ist das Trojanische Pferd TR/PCK.Klone.G.91

C:\Dokumente und Einstellungen\MaxMustermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\27GN...\srvztf[1].exe
ist das Trojanische Pferd TR/PCK.Klone.G.91

C:\Windows\temp\idd12.tmp.exe
ist das Trojanische Pferd TR/Dldr.Agent.25120

ich habe die jetzt mal in die quarantäne verschoben.
wie soll ich nun weiter verfahren?

so, nach einem update von antivir heute morgen, hat er mir eine datei als virus angegeben:

c:\windows\system32\winemx32.dll

und hat sie nach einem systemneustart dann gelöscht. seitdem hab ich seit ein paar stunden keine meldung mehr über viren bekommen.

keine ahnung ob es das nun war, aber gibt es irgend ein programm außer antivir, daß ich zur weiteren überwachung verwenden sollte, oder ist eine neuaufsetzung des systems bei befall durch trojaner sowieso der einzig sinnvolle arbeitsschritt? (den ich mir natürlich gerne ersparen würde, aber wenn es sein muß, dann ist´s halt so)