Hartnäckige Trojaner

InvisibleKid · 17.07.2006, 22:05

Hallo ersma,

also ich hab den ganzen tag hier im Forum umhergesucht und schon so einiges probiert, aber es sieht noch nich wirklich besser aus. aber mal ganz von vorn...

Ich hatte in letzter zeit immer öfter plötzliche pop-up windows die mich auf seiten wie www.aenima.com zum Winantivirus2006 pro oder diese seite verlinken (http://de.winantivirus.com/download/...jan&ax=2&ex=1). Vorjer sind da immer noch IE-Meldungen, dass Sicherheitsfehler im system sind und dass ich die verlinkte software einfach laden soll (hab ich natürlich nich gemacht), irgendwelche Sicherheitsdienste von .Serwab. Öffnet sich auf der Seite sogar ab und zu direkt ein downloadfenster.
Ab und zu hat mein rechner auch einfach neugestartet, ohne Voranbkündigung, ohne alles.
Dann hab AntiVir geupdatet und mal nen systemcheck gemacht und dabei ne ganze menge Trojaner und ähnliches gefunden und wohl auch lgrößtenteils losgeworden.
Die Neustarts treten (bis jetzt) nicht mehr auf, aber die Pop-Ups sind noch da. Habe dann, nach umhersuchen hier im Forum, mit eScan mehrmals durchsucht, registry und den ganzen Rechner. Letzten Endes hat er beim ganzen rechner nix mehr gefunden und in der registry Spy-/Adware.
Dann hat vor einer Stunde oder so, ein anderer benutzer meines rechners irgendne verseuchte Mail aufgemacht und eScan hat sich sofort gemeldet, AntiVir allerdings nicht. Macht das überhaupt Sinn beides gleichzeitig laufen zu lassen? Aber das nur nebenbei...
Jetzt ist mein rechner arg langsam geworden. Der Leerlaufprozess nimmt laut Task-Manager die ganze CPU-Auslaustung in Anspruch, weiß nich, ob da irgendwo ein zusammenhang besteht...

Ich benutze Windows XP professional Edition...

Hier mal mein HijackThis log

Logfile of HijackThis v1.99.1
Scan saved at 22:40:19, on 17.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\windows\Explorer.EXE
C:\windows\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
J:\eScan\MAILDISP.EXE
J:\eScan\TRAYICOS.EXE
J:\ESCAN\SPOOLER.EXE
J:\eScan\AVPMWrap.EXE
J:\eScan\MAILSCAN.EXE
C:\Programme\Gemeinsame Dateien\{3C4517EE-02C2-1031-0821-000314010031}\Update.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
J:\eScan\TRAYSSER.EXE
J:\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
J:\eScan\kavss.exe
C:\windows\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\windows\System32\svchost.exe
J:\eScan\AvpM.exe
C:\windows\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
J:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "J:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MailScan Dispatcher] "J:\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] J:\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] J:\eScan\AVPMWrap.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global User Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - h**p://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - h**p://static.zangocash.com/cab/Zango/ie/bridge-c10.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h**p://asp04.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - J:\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - J:\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Und noch mein eScan log von der registry überprüfung von vor der vereuchten mail...

Mon Jul 17 17:29:44 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon Jul 17 17:29:45 2006 => Loading Spyware Signatures from new External Database (Size: 161833).
Mon Jul 17 17:29:45 2006 => Indexed Spyware Databases Successfully Created...

Mon Jul 17 17:29:45 2006 => System found infected with gain.gator Spyware/Adware ({21ffb6c0-0da1-11d5-a9d5-00500413153c})! Action taken: No Action Taken.
Mon Jul 17 17:29:46 2006 => System found infected with myway Spyware/Adware ({0494d0d4-f8e0-41ad-92a3-14154ece70ac})! Action taken: No Action Taken.
Mon Jul 17 17:29:48 2006 => Offending Key found: HKLM\Software\gator.com !!!
Mon Jul 17 17:29:48 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:48 2006 => Offending Key found: HKLM\Software\kazaa !!!
Mon Jul 17 17:29:48 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:48 2006 => Offending Key found: HKLM\Software\media gateway !!!
Mon Jul 17 17:29:48 2006 => Object "media access Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:48 2006 => Offending Key found: HKLM\Software\myway !!!
Mon Jul 17 17:29:48 2006 => Object "my way speedbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:48 2006 => Offending Key found: HKCU\Software\everad !!!
Mon Jul 17 17:29:48 2006 => Object "everad Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:48 2006 => Offending Key found: HKCU\Software\kazaa !!!
Mon Jul 17 17:29:48 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:48 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\gain !!!
Mon Jul 17 17:29:48 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:48 2006 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\kazaa !!!
Mon Jul 17 17:29:48 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:48 2006 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\sp !!!
Mon Jul 17 17:29:48 2006 => Object "clariaspecial Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:48 2006 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\trickler !!!
Mon Jul 17 17:29:48 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:48 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\gain !!!
Mon Jul 17 17:29:48 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:51 2006 => Offending file found: C:\windows\System32\ide21201.vxd
Mon Jul 17 17:29:51 2006 => System found infected with windupdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.

Mon Jul 17 17:29:51 2006 => Offending Folder found: C:\windows\System32\1024
Mon Jul 17 17:29:51 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:51 2006 => Offending Folder found: C:\Programme\myway
Mon Jul 17 17:29:51 2006 => Object "my way speedbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:51 2006 => Offending Folder found: C:\DOKUME~1\Johannes\LOKALE~1\Temp\fsg_tmp
Mon Jul 17 17:29:51 2006 => Object "gator-gain-claria Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:29:57 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\everad
Mon Jul 17 17:29:57 2006 => Object "everad Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:30:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Johannes\Recent\games.lnk
Mon Jul 17 17:30:03 2006 => System found infected with hotbar Spyware/Adware (games.lnk)! Action taken: No Action Taken.

Mon Jul 17 17:30:07 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\temp\fsg_tmp
Mon Jul 17 17:30:07 2006 => Object "gator-gain-claria Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 17 17:30:15 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kazaa
Mon Jul 17 17:30:15 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Ihr habt solche Probleme bestimmt schon öfters behandelt, aber ich konnte einfach keinen thread finden, der mir ähnlich war und der mir weitergeholfen hätte. Also schonmal danke im Voraus und entschuldigung, falls ich die Lösung des problems im Forum einfach nicht gefunden habe...

Hartnäckige Trojaner

Log-Analyse und Auswertung: Hartnäckige Trojaner

Hartnäckige Trojaner

Ähnliche Themen: Hartnäckige Trojaner