Hallo,
bin neu hier und muß zugeben Neueinsteiger und absoluter Laie zu sein. Habe seit kurzem den hartnäckigen Trojaner TR.Agent/RI auf meinem Rechner. AntiVir erkennt ihn zwar, aber nach jedem löschvorgang taucht er sofort wieder auf; gefolgt von dem Hinweis iexplore.exe hat ein Problem festgestellt und muß beendet werden. Scheint auch irgentwie meinen Rechner zu verlangsamen und Defrag./ Datenträgerbereinigiung funktioniert nicht. Wie werd ich das Mistding los??? Hab bei HijackThis Scannen lassen und logfile erstellen lassen, sieht für mich aber wie´ne IKEA-Aufbauanleitung aus.Wäre schön, wenn Ihr mich schritt für schritt da durchschleusen könntet.
Danke im vorraus, und hier das logfile:Logfile of HijackThis v1.99.1
Scan saved at 10:21:39, on 24.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\Cherry\CDI\CDI.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\WINDOWS\System32\dwwin.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dwwin.exe
C:\Dokumente und Einstellungen\Uschke\Eigene Dateien\My Completed Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h
h**p://www.freenet.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [xfugv.exe] C:\WINDOWS\System32\xfugv.exe
O4 - HKCU\..\Run: [Opera Internet Browser] C:\Programme\Opera\Opera.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\Uschke\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O8 - Extra context menu item: Zoom &In* - C:\Dokumente und Einstellungen\Uschke\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuzoomin.htm
O8 - Extra context menu item: Übersetzen mit &dict.leo.org - C:\Dokumente und Einstellungen\Uschke\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h
h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (NOXLATE) - file://C:\Programme\Autodesk Architectural Desktop 3 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\Autodesk Architectural Desktop 3 Deu\AcDcToday.ocx
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - h**p://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\Autodesk Architectural Desktop 3 Deu\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{367D2483-BCA4-4324-A477-A1EAB9B84B37}: NameServer = 85.255.116.153,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EA0A731-3759-4724-9990-27CC7E52EE00}: NameServer = 85.255.116.153,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DB85931-9CA6-4771-B0A6-64D412F5F1ED}: NameServer = 85.255.116.153,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBC05C5A-DDA2-4231-B1F1-084688FBB9E0}: NameServer = 85.255.116.153,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{D37E76C0-F23B-4E03-8008-80B2BD17F17E}: NameServer = 85.255.116.153,85.255.112.12
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.153 85.255.112.12
O17 - HKLM\System\CS1\Services\Tcpip\..\{367D2483-BCA4-4324-A477-A1EAB9B84B37}: NameServer = 85.255.116.153,85.255.112.12
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.153 85.255.112.12
O17 - HKLM\System\CS2\Services\Tcpip\..\{367D2483-BCA4-4324-A477-A1EAB9B84B37}: NameServer = 85.255.116.153,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.153 85.255.112.12
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, ww.cherry.de - C:\Programme\Cherry\CDI\CDI.exe
O23 - Service: COM Host (comHost) - Unknown owner - C:\Programme\Norton Internet Security\comHost.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


Schuldigung, aber ich bin zu doof zum editieren.
ich nicht, Shadow

Guten Morgen,

also. Zuerstmal solltest du Dich fragen, warum du solche Problem hast.

Kleiner Tip:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)


Völlig veraltet und ungewartet das System. Da steht dem Ungeziefer Tür und Tor offen. SP2 gibts seit fast zwei Jahren und die weiteren über 70 Updates sind an Dir ungesehen vorbei gezogen?


Abgesehen davon, das du eine Umleitung über die Ukraine hast, sind da noch einige andere Prozesse, die mir nicht bekannt sind.

Lasse mal folgende Datei bei Jotti und Virustotal auswerten. Link in meiner SIG. Poste das komplette Ergebnis.

C:\WINDOWS\System32\xfugv.exe


Hattest du mal Norton auf dem Rechner?
Hast du Opera Installiert?


Mache bitte dann einen eScan. Alles wichtige dazu findest du hier mit Anleitung .
Poste danach das Ergebnis!


Gruß Mellosun

Hallo, und danke das du dich meiner annimmst.
Lade mir gerade eScan AntiVirus runter. Werde vermutlich heute nicht mehr weit kommen, da Spätschicht; will aber unbedingt am Ball bleiben.
Ich weiß das mein XP und mein IE veraltet ist, habe mein Computer aber über E-Bay gekauft und erst spät festgestellt das XP nicht lizensiert ist. Kann so natürlich nicht updaten. Da meine Frau aber Software für mehrere 1000,-€ drauf hat (Architectural Auto Cad von ihrem ehemaligen Arbeitgeber), kann ich die Festplatte nicht neu formatieren.
Vielleicht kennst du ja noch mehr tricks!?

Also SP2 gibts ja umsonst. Kannst Dir bei Microsoft laden.
Und die ganzen weiteren Updates........gibts auch umsonst. Schau mal bei winfuture, da gibts Updatepacks. Dieses Pack beinhaltet alle Updates, die seit SP2 draussen sind!

Warum hast du den Rechner dann gekauft, wenn keine Lizenzierte XP Version drauf ist? Wurde das nicht erwähnt?
Und nen XP Version kostet auch net mehr die Welt!


Gruß Mellosun

Bekomme gerade beim installieren des Downloads mehrmals den Hinweis von AntiVir auf HEUR/Backdoor.Generic

Du kannst dir ein Notebook kaufen und dein Frau kann sich Software für über € 1000,- kaufen (oder ist dies auch eine illegale Raubkopie?), da wirst du dir doch ein legales Windows-XP kaufen können.
Übrigens wenn es im Kaufvertrag mit drinnen stand, hast du ein Anrecht darauf. Auch "ebay" hat sich an Gesetze zu halten. Wenn auf dem Notebook (Unterseite) der (originale!) Windows-Key drauf ist, dann hast du (quasi) die Lizenz.
Mache dein(er Frau) Windows (und eventuell weitere Software) legal!
Und hier werden keine Tricks für kriminelles Vorgehen genannt und auch nicht danach gefragt!

Um mal ein paar Unstimmigkeiten aus der Welt zu schaffen.
Meine Frau ist als Innenarchitektin beschäftigt, aber momentan in Elternzeit und hat von Ihrer Firma die Firmensoftware auf ihren privaten Computer aufgespielt gegriegt, damit sie von zu Hause aus arbeiten kann. Diese Software ist ganz legal, nur das die Lizens halt beim Arbeitgeber liegt. Das xp nicht lizensiert ist, habe ich erst vor kurzem gemerkt. Lief ja zeitlangs ohne Probleme. Die Frage nach den Tricks bezieht sich mehr darauf, wie ich AutoCad auf der Festplatte behalten kann, wenn ich sie neu formatieren muß.Nach meiner Kenntniss müßte die Festplatte dann komplett leer sein und somit auch AutoCad futsch. Hätte wegen dem Virus die Festplatte schon längst neu formatiert, wenn ich wüßte wie ich AutoCad retten könnte.Hätte in dem Zuge auch gleich ne lizensierte XP-Version installiert.

Warum lässt du nicht die Software nach einer Neuinstallation durch die Firma Deiner Frau wieder aufspielen?
Das sollte ja nicht das Problem sein!

Die Frage die sich aber noch immer stellt.

War es bekannt, das das XP keine Lizens hat oder hat der Verkäufer Dir das verheimlicht?

Abgesehen davon. Ich kann eigentlich nur zu einer Neuinstallation raten.
Wie schon erwähnt, du hast eine Umleitung über die Ükraine auf Deinem Rechner. Relevant sind hier die 017 Einträge im Hijacktis Log.
Das deutet zu 90 % darauf hin, das an Deinen System ein Backdoor aktiv war/ist. Es ist keine Sicherheit mehr gegeben und nur eine Neuinstallation gibt Dir wieder ein sicheren Rechner!
Befolge dazu die Hinweise in meiner SIG zum Neuaufsetzen.




Gruß Mellosun

Mellosun beschreibt dies durchaus richtig.

Ich will dir ja nicht unterstellen, dass AutoCAD auf deinem PC illegal ist, wenn legal, dann sollte es KEIN Problem sein es wieder aufzuspielen. Irritieren tun mich allerdings deine widersprüchlichen Angaben:
"Architectural Auto Cad von ihrem ehemaligen Arbeitgeber" und "Innenarchitektin beschäftigt, aber momentan in Elternzeit". Wusste nicht, dass man in "Elternzeit" ausgestellt wird. Aber auch als Freiberufler darf einem ein Unternehmen Lizenzen zur Verfügung stellen.
Und nein es gibt KEINEN Trick (unter Windows, Mac OS wäre was anderes) ein installiertes Programm auf einen anderen PC zu transferieren - ausser du willst Bit für Bit die Software neu schreiben, bist du fertig bist, schiebt dich euer Kind im Rollstuhl durch die Gegend und du kannst mit deinen Enkeln spielen )

Ich bin kein Freund von schnellem Neuaufsetzen, aber ein Backdoorbefall mit Verbindung in die Ukraine ist nicht sehr harmlos.
=>
1.) Windows kaufen (falls kein Wapperl auf Notebook*), Antivirensoftware kaufen, Anleitung -> Neuaufsetzen des Systems und anschliessende Absicherung! zum Arbeitgeber und AutoCAD neu aufspielen lassen.
2.) Linux nehmen und nach einer AutoCAD-Alternative suchen.

* Falls Wapperl (= Windows-Key) auf dem Notebook aber keine CD vorhanden, Microsoft kontaktieren.