Hi!

Ich habe ein Problem mit dem im Betreff genannten Trojaner, den Antivir bei jedem Hochfahren des Rechners meldet. Es handelt sich jedesmal um eine Tmp-Datei, der Name der Datei ist immer anders (z.B. LD3062.tmp, LDFEEF.tmp).

Die Tmp-Datei lässt sich von Antivir löschen, doch taucht sie bei jedem Start erneut auf.

Leider funktioniert der Link in folgendem Thread, Post#6(http://www.trojaner-board.de/showthread.php?t=25380) nicht.

Kann mir jemand helfen, den Trojaner loszuwerden?

Logfile von Hijack This (vielleicht kann mir jemand dazu einen Tipp geben?):

Logfile of HijackThis v1.99.1
Scan saved at 08:03:39, on 19.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\LClock\LClock.exe
D:\Programme\washer\washer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXXXXXX\Desktop\hijackthis\HijackThi s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.ht m
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.ht m
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.webroot.com/php/disp0201.php?pc=4060&rc=1&ps=T&oc=11&mjv=4&mnv=7&b ld=2
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: OpinionBar IE monitor - {6607C683-AE7C-11D4-ACD7-0050DAC291A2} - D:\Programme\OpinionBar\MyIEMonitor.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Tau Monitor] D:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
O4 - HKLM\..\Run: [Outpost Firewall] D:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\RunServicesOnce: [washindex] D:\Programme\washer\washidx.exe "XXXXXXX"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKCU\..\Run: [Washer] D:\Programme\washer\washer.exe /0
O4 - Startup: Chaos Manager loader.lnk = D:\Programme\Chaos Manager 2\cm2.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.cdesign.de
O15 - Trusted Zone: http://opst3.ciao.com
O15 - Trusted Zone: http://*.ciaosurveys.com
O15 - Trusted Zone: http://www.dan-brown.de
O15 - Trusted Zone: http://www.simgolf.ea.com
O15 - Trusted Zone: http://www.onlinetv2.de
O15 - Trusted Zone: http://www.tk-online.de
O15 - Trusted Zone: www.transfermarkt.de
O15 - Trusted Zone: www.wavelearn.de
O16 - DPF: {08EE4BCE-527E-4760-B11A-B829415E9103} (MaxisGolfTeleX Control) - http://www.simgolf.ea.com/teleport/simgolf/stories/MaxisGolfTeleX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119637018674
O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - file://f:\Installations-Dateien\Setup.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C457B0F8-4B86-4A2B-81B9-DC7601378578}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB2E846E-B313-419D-B4EA-AFFC0CD15B85}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - D:\Programme\Apache Group\Apache\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Hallo,
besorge dir mal folgendes Tool, entpacke es, gehe in den abgesicherten modus (F8 beim booten) und führe die runthis.bat aus. Danach postest du den Inhalt der Datei C:\smitfiles.txt.


Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
besorge dir mal folgendes Tool, entpacke es, gehe in den abgesicherten modus (F8 beim booten) und führe die runthis.bat aus. Danach postest du den Inhalt der Datei C:\smitfiles.txt.


Grüße Wildone

Alles ausgeführt, wie von Dir beschrieben. Beim Hochfahren war nun keine Trojaner-Meldung von Antivir mehr.

Der Inhalt der Datei smitfiles.txt:


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

ncompat.tlb
mscornet.exe


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 704 'explorer.exe'
Killing PID 704 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

Hallo,
lösche mal deine Temp Dateien mit Cleanup! und führe danach die datfind.bat wie hier beschrieben aus und poste die vier Logs, nur die Dateien der letzten drei monate abkopieren.


Grüße Wildone

So, hier die gewünschten log-Dateien:

Datenträger in Laufwerk C: ist WIN XP
Volumeseriennummer: CF53-9280

Verzeichnis von C:\WINDOWS\system32

11.01.2006 20:46 7.006 jupdate-1.5.0_06-b05.log
06.01.2006 14:30 324.320 FNTCACHE.DAT
06.01.2006 14:26 13.646 wpa.dbl
29.12.2005 03:54 280.064 gdi32.dll
26.12.2005 14:24 3.364 d3d9caps.dat
08.12.2005 16:25 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
28.11.2005 22:13 3.588 getonlhttp_tmp.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
15.11.2005 08:40 262.144 wrap_oal.dll
15.11.2005 08:40 86.016 OpenAL32.dll
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
06.11.2005 10:31 9.676 QuickTimeFavorites.qtr
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 15:48 380.684 perfh009.dat
30.10.2005 15:48 53.098 perfc009.dat
30.10.2005 15:48 391.574 perfh007.dat
30.10.2005 15:48 63.976 perfc007.dat
30.10.2005 15:48 897.954 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
_______________________________________
Datenträger in Laufwerk C: ist WIN XP
Volumeseriennummer: CF53-9280

Verzeichnis von C:\DOKUME~1\xxxxxxx~1\LOKALE~1\Temp

19.01.2006 12:50 234.900 MSI583b2.LOG
19.01.2006 12:50 244 Setup Log File.log
19.01.2006 12:48 512 ~DF205D.tmp
______________________________________________________
Datenträger in Laufwerk C: ist WIN XP
Volumeseriennummer: CF53-9280

Verzeichnis von C:\WINDOWS

19.01.2006 12:43 618 ODBC.INI
19.01.2006 12:43 49 transp.gif
19.01.2006 12:42 2.048 bootstat.dat
19.01.2006 12:41 120.334 WindowsUpdate.log
19.01.2006 12:08 7.168 Thumbs.db
19.01.2006 12:07 300 setupact.log
19.01.2006 12:02 308.822 ntbtlog.txt
15.01.2006 14:54 54.156 QTFont.qfn
13.01.2006 16:16 5.019 wmsetup.log
07.01.2006 20:25 904 win.ini
07.01.2006 20:21 0 Sti_Trace.log
07.01.2006 20:21 244 wiadebug.log
06.01.2006 14:29 3.941 iis6.log
06.01.2006 14:29 1.368 ocmsn.log
06.01.2006 14:29 9.436 tsoc.log
06.01.2006 14:29 4.970 ntdtcsetup.log
06.01.2006 14:29 19.545 KB912919.log
06.01.2006 14:29 1.236 msgsocm.log
06.01.2006 14:29 24.730 FaxSetup.log
06.01.2006 14:29 4.301 updspapi.log
06.01.2006 14:28 18.511 KB905915.log
06.01.2006 14:28 7.864 KB910437.log
06.01.2006 14:28 11.992 KB896424.log
06.01.2006 14:28 0 setuperr.log
22.12.2005 21:39 3.618 ModemLog_56K MDC Modem.txt
17.12.2005 13:37 3.542 messer.ini
11.12.2005 17:42 227 system.ini
09.12.2005 21:17 16.613 mozver.dat
07.12.2005 11:15 107.132 UninstallFirefox.exe
29.11.2005 21:28 1.409 QTFont.for
28.11.2005 22:13 103 DKAL.INI
14.11.2005 21:33 66 StationRipper.INI
11.10.2005 19:22 72.704 ST5UNST.EXE
__________________________________________________
Datenträger in Laufwerk C: ist WIN XP
Volumeseriennummer: CF53-9280

Verzeichnis von C:\

19.01.2006 12:54 0 sys.txt
19.01.2006 12:53 7.140 system.txt
19.01.2006 12:51 394 systemtemp.txt
19.01.2006 12:48 103.217 system32.txt
19.01.2006 12:42 805.306.368 pagefile.sys
19.01.2006 12:05 1.406 smitfiles.txt
14.12.2005 13:56 62 db_editor_log.txt
11.12.2005 17:42 211 boot.ini

Hallo,
sieht soweit alles sauber aus, mach noch mal zur Kontrolle einen Onlinescan bei Panda und poste den Report.


Grüße Wildone