Trojaner-Board - Hilfe hilfe hilfe...bitte bitte bitte !!!

Hallo zusammen,

ich habe ein Problem: Mein Kaspersky Programm hat wohl einen trojaner entdeckt. Diesen konnte er nicht löschen. In den Logs des Kaspersky-Programms ist folgendes dokumentiert:

08.12.2008 22:37:41 Datei C:\WINDOWS.0\system32\c_212452.nls wird beim Neustart des Computers gelöscht werden.

Tatsächlich ist die Datei nicht mehr da. Es gibt aber im gleichen Ordner andere Dateien mit der nls-Endung. Diese sollen anscheinend National Language Standards sein. Ich habe aber auch einige drin, die nach einer Google-Suche kein Ergebnis aufweisen und eine Dateigröße haben von 1KB. Ich habe diese kleine Dateien nun gelöscht. Jetzt meine Bitte: Kann bitte jemand den nachfolgenden HijackLog-File analysieren und mir mitteilen, ob ein Eintrag drin ist, der auf einen Trojaner deuten lässt. Danach findet ihr auch noch die logs des kaspersky-Programmes. Vielen Vielen Dank für die schnelle Antwort:

------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:39:00, on 09.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\ibmpmsvc.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Bluetooth\BTNtService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS.0\system32\RunDll32.exe
C:\WINDOWS.0\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [e©ùýùÇûïÊóÎüøøËøôÇÊýÅñûÊÞó] C:\Programme\XP Antivirus\xpa.exe
O4 - HKCU\..\Run: [VoipBuster] "C:\Programme\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3C0AA3E-632D-4D0D-9818-72DD1999F008}: NameServer = 192.168.59.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\Bluetooth\BTNtService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS.0\system32\ibmpmsvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 8459 bytes
--------------------------------------------------------------------------
Kaspersky:

09.12.2008 19:31:53 Schutz des Computers ist aktiv.

08.12.2008 22:45:44 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren.

08.12.2008 22:40:14 Schutz des Computers ist aktiv.

08.12.2008 22:37:41 Datei C:\WINDOWS.0\system32\c_212452.nls wird beim Neustart des Computers gelöscht werden.

08.12.2008 22:33:45 Datei C:\WINDOWS.0\system32\c_212452.nls, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation).

08.12.2008 22:29:06 Datei C:\WINDOWS.0\system32\c_212452.nls wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben.

08.12.2008 22:29:06 Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen.

08.12.2008 22:29:06 Datei C:\WINDOWS.0\system32\c_212452.nls, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation).

08.12.2008 21:55:19 Datei c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\1140887230720030933.exe wurde gelöscht.

08.12.2008 21:55:15 Datei c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\1140887230720030933.exe, gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 21:55:15 Datei c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\-4182487631455903528.exe wurde gelöscht.

08.12.2008 21:55:13 Datei c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\-4182487631455903528.exe, gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 21:55:13 Datei c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\-324723665933454938.exe wurde gelöscht.

08.12.2008 21:55:10 Datei c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\-324723665933454938.exe, gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 21:55:10 Datei c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\-1943073640-1847635913.exe wurde gelöscht.

08.12.2008 21:55:03 Datei c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\-1943073640-1847635913.exe, gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 21:55:03 Datei c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\-1390702821-1308968778.exe wurde gelöscht.

08.12.2008 21:54:45 Datei c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\-1390702821-1308968778.exe, gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 21:53:20 Der Versuch von Prozess mit PID 1652 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 2144 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.

08.12.2008 21:46:44 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\1140887230720030933.exe wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben.

08.12.2008 21:46:44 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\1140887230720030933.exe, gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 21:46:43 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\-4182487631455903528.exe wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben.

08.12.2008 21:46:43 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\-4182487631455903528.exe, gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 21:46:43 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\-324723665933454938.exe wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben.

08.12.2008 21:46:43 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\-324723665933454938.exe, gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 21:46:42 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\-1943073640-1847635913.exe wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben.

08.12.2008 21:46:42 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\-1943073640-1847635913.exe, gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 21:46:42 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\-1390702821-1308968778.exe wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben.

08.12.2008 21:46:42 Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen.

08.12.2008 21:46:42 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\-1390702821-1308968778.exe, gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 21:42:19 Das Update wurde erfolgreich abgeschlossen

08.12.2008 21:40:21 Schutz des Computers ist aktiv.

08.12.2008 21:40:21 Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen.

08.12.2008 18:54:36 Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\-1713128467-1176777616.exe wurde nicht desinfiziert: Aktion "Überspringen" wurde gewählt.

08.12.2008 18:54:05 Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\-1713128467-1176777616.exe wurde nicht desinfiziert: Aktion "Überspringen" wurde gewählt.

08.12.2008 18:52:32 Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\-1713128467-1176777616.exe, gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 18:52:16 Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen.

08.12.2008 18:52:16 Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\-1713128467-1176777616.exe, gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 18:52:16 !NOLOC! StatusId(0) EventID(7)

08.12.2008 18:52:16 Das Öffnen des schädlichen HTTP-Objekts <http://115.126.5.63/in/20a491d.exe>: gefunden: trojanisches Programm 'Trojan-Downloader.Win32.Agent.atha'.

08.12.2008 17:56:45 Schutz des Computers ist aktiv.

08.12.2008 17:13:03 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren.

08.12.2008 17:12:02 Das Update wurde erfolgreich abgeschlossen
08.12.2008 17:10:14 Schutz des Computers ist aktiv.