Trojaner-Board - Noch ein Trojaner Opfer

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Noch ein Trojaner Opfer (https://www.trojaner-board.de/9785-noch-trojaner-opfer.html)

Noch ein Trojaner Opfer

Hallo!
Ich hoffe ihr könnt mir weiterhelfen.
Ich habe den Kaspersky Scanner im abgesicherten Modus den ganzen Rechner durchjagen lassen. Er hat auch einige Trojaner gefunden und sie entfernt.
Aber sobald ich wieder normal starte, habe ich das gleich Problem. Meine Cpu Auslastung ist bei 100% und ich kann nach kurzer Zeit nichts mehr machen.

Hier mein HiJackthisLog während des normalen Betriebes:

Logfile of HijackThis v1.98.2
Scan saved at 21:46:41, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\flcss.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\YA\Desktop\anti_trojaner\HijackThis.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\system32\rundll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter 2.0\\RegistryController.exe"
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\system32\flcss.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0\IEShellExt.dll /500
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...show.php?cc=de
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a2edc6fc4885a4
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095838883125
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3502B3A-F97A-4423-BDA9-5267079EE830}: NameServer = 192.168.0.1

Dies im abgesicherten modus bei deaktivierter Systemwiederherstellung Fixen:
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MT.../show.php?cc=de
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...aa2edc6fc4885a4

Dein Problem ist wahrscheinlich folgendes:
Wenn ichs richtig sehe hast du Panda Antivirus und Kaspersky Anti Virus gleichzeitig laufen, das sollte man auf keinen Fall machen. 2 Virenscanner behindern sich nur und verursachen fehler, wenn sie paralell laufen.

Also entscheide dich für einen der beiden VirenWächter. Für On-Demand scans kannst du den zweiten dann natürlich aktviert lassen.

1. Frage: wie stell ich das ein: abgesicherter Modus bei deaktiviertter Systemwiederherstellung?
also wie ich in den abgesichertten Modus komme weiss ich, aber wie asktiviere ich die "deaktivierung der systemwiederherstellung"?
2.Frage ;) was ist mit F-Prot und esacn?
kann man die zusammen laufen lassen?

Zitat:

Zitat von HelpmeimtheDoG

zu 1 - abgesicherter Modus, deaktivierte Systemwiederherstellung

zu 2 - F-Prot kann ausgestellt werden, im abgesicherten Modus, wie alle anderen Programme auch. eScan hat keinen Hintergrundwächter und wird nur zur Prüfung des Rechners verwendet. Beide Programme laufen also nicht zusammen.

SD

danke für die schnelle Antwort.

Habe alles umgesetzt, es hat sich aber prinzipiel nichts geändert.
Die Cpu Auslastung ist immer noch auf 100%.
Hier die aktuelle Log datei:

Logfile of HijackThis v1.98.2
Scan saved at 22:09:10, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\flcss.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\YA\Desktop\anti_trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter 2.0\\RegistryController.exe"
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\system32\flcss.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0\IEShellExt.dll /500
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095838883125
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3502B3A-F97A-4423-BDA9-5267079EE830}: NameServer = 192.168.0.1

Zitat:

zu 1 - abgesicherter Modus, deaktivierte Systemwiederherstellung

Und wo geht das bei W2k?

Das wird auch in dem von SD geposteten Link erklärt

Überprüfe diese Datei mal
C:\WINDOWS\system32\flcss.exe

hier:
http://virusscan.jotti.org/de

Kein Virus gefunden!

Service load: 0% 100%

File: flcss.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.72 seconds taken)
BitDefender No viruses found (0.95 seconds taken)
ClamAV No viruses found (0.64 seconds taken)
Dr.Web No viruses found (0.46 seconds taken)
F-Prot Antivirus No viruses found (0.05 seconds taken)
Kaspersky Anti-Virus No viruses found (0.55 seconds taken)
mks_vir No viruses found (0.19 seconds taken)
NOD32 No viruses found (0.32 seconds taken)
Norman Virus Control No viruses found (0.57 seconds taken)

ich denke schon dran mein System neu aufzusetzen, aber das wäre eine sau Arbeit, weil allein schon die Einstellungen und die Daten zu sichern ist total aufwendig.
Kann man vielleicht Windows drüberkopieren, sodass alle Benutzer und Programme erhalten bleiben?

Aber ich muss sagen, dass sich das ganze sehr verbessert hat. Also es läuft um einiges viel besser, aber der Cpu ausschlag ist immer noch auf 100%. Und der Prozess svchost.exe beansprucht etwa 38mb

Hallo Yaap,

um sicher zu gehen, ob Du richtig denkst, könntest Du bitte den eScan auf Deinem Rechner ausführen:

lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

@SD
Er hat doch schon mit KAV gescannt

@YAPP
Was hat KAV denn eigentlich gefunden?

@SD
Da hat Lidius recht!

@LD
folgende Einträge hat er als Trojanisches Programm bzw. Virus TrojanDownloader identifiziert und gelöscht:

c:/windows/nsdb/hosts -> Win32.Qhost.y

c:/windows/system32/tksrv98.exe -> Win32.Esepor.q

c:/windows/system32/tmksrvu.exe -> Win32.Esepor.s

c:/windows/system32/xplugin.dll -> Win32.Esepor.q

c:/windows/system32/config/systemprofile/Anwendungsdaten/Opera/Opera75/profile/cache4/opr0001T.js -> JS.FlingStone

Läuft KAV mit den Standart oder den erweiterten Signaturen?

(Um nachzusehen KAV öffnen -> Einstellungen ->Update ->dort muss "aus dem Internet, erweiterte Datenbanken" angewählt sein) Falls nicht bisher mit Standart Signaturen gearbeitet wurde, das in KAV umstellen, updates runterladen, nochmal den PC mit KAV scannen

Habe das ganze umgestellt und er zieht sich gerade die erweiterten Signaturen.
Das Scannen kann wieder eine Zeit lang dauern. Melde mich morgen wieder.

Vielen Dank!