Hallo zusammen,

hab seit einiger Zeit Probs mit dem Trojaner Backdoor.Theef.111
Antivir findet diesen erst gar nicht. Spybot auch nicht. AVG Anti-Spy(Ewido) findet ihn zwar, löscht ihn aber nicht - geht nur Quarantäne. Jedoch hängt er so wohl immer noch im System?! Wie kann ich bei diesem Trojaner vorgehen?
Mit Escan im abgesicherten Modus hab ich es auch schon probiert. Der sieht den zwar auch, aber führt keine Aktion durch, da er ihn irgendwie nicht als Virus erkennt. Logs kann ich leider nicht posten, da ich von nem Fremdrechner hier bin, I-net geht zZ leider nicht mehr.

Danke schon mal.
Grüße, die Shay

Hier doch die Logs. Inet geht wieder.

Logfile of HijackThis v1.99.1
Scan saved at 13:23:13, on 20.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQLite\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mia\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=54729
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Verknüpfung mit PURGE.cmd.lnk = C:\Dokumente und Einstellungen\Mia\Eigene Dateien\PURGE.cmd
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098586424015
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Wo wird der angebliche Schädling gefunden? Bitte den kompletten Pfad nennen. Aus dem Logfile ist nichts ersichtlich.

Zitat:

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Bei dir sind zwei Virenscanner aktiv, entscheide dich für einen!

Hopla. Von dem wußte ich nun mal gar nichts.
C:\System Volume Information\_restore{DBE2E5F2-299C-4E8D-AB21-C1ACF7CF84A1}\RP447\A0077312.exe

Das ist der Pfad, den AVg immer gefunden hat.
Hab nun Pestpatrol mal laufen lassen, weiß aber nicht, ob der Backdoor.Theef noch da ist.

*kurz OT*

Zitat:

Zitat von cosinus

Wo wird der angebliche Schädling gefunden? Bitte den kompletten Pfad nennen.

Ach Cosinus...

Na wo wird der Schädling nur zu finden sein? Na hier natürlich...

Zitat:

MSIE: Internet Explorer v7.00 (7.00.5450.0004)

*weiter machen*

Zitat:

Zitat von Shay

Hopla. Von dem wußte ich nun mal gar nichts.
C:\System Volume Information\_restore{DBE2E5F2-299C-4E8D-AB21-C1ACF7CF84A1}\RP447\A0077312.exe

Das ist der Pfad, den AVg immer gefunden hat.
Hab nun Pestpatrol mal laufen lassen, weiß aber nicht, ob der Backdoor.Theef noch da ist.

Gehe hierbei wiefolgt vor:

Systemwiederherstellung deaktivieren, Rechner neu starten, Systemwiederherstellung (wenn gewünscht!) wieder aktivieren.

Danach sollten keine Meldungen mehr erscheinen..

Gruß
Sunny

Das reicht schon????
Hätte ich mir die ganze Mühe ja sparen können *sfz*

Kleine Frage am Rande:

Kann der Backdoor Trojaner auch mit meinem Prob zusammenhängen, dass Benutzerkonten, Windowssuche, msconfig etc. nicht mehr angezeigt werden? Denn das Problem besteht noch.

P.s. Der IE wird nicht benutzt, von daher ...

Hallo,

Zitat:

P.s. Der IE wird nicht benutzt, von daher

Aber Hauptsache ich hab ihn mal,den IE 7,oder was ?
Mit was für Argumente manche um die Ecke kommen....
Irrlicht

Zitat:

Zitat von [Gc]Sunny

*kurz OT*
Ach Cosinus...
Na wo wird der Schädling nur zu finden sein? Na hier natürlich...

*weiter machen*

Ach, man bin ich blin heute, also bei diesem äußerst üblen Schädling hilft nur noch tabula rasa..

Zitat:

Zitat von irrlicht

Hallo,



Aber Hauptsache ich hab ihn mal,den IE 7,oder was ?
Mit was für Argumente manche um die Ecke kommen....
Irrlicht

Quark, benutze seit längerem den Mozilla. Hatte den IE auch deinstalliert. Irgendwann kam dann ne Aufforderung bei Windows, dass ich den IE downloaden muß um irgendwas anzusehen. Dat wars schon. Wäre schön gewesen, wenn mal sachliche Antworten kommen, denn auch wenn der IE deinstalliert wäre, bleiben die Fehler.
Dachte, man bekommt hier Hilfe als Unerfahrener, aber scheinbar dient das hier nur zur Belustigung. Schade, dachte das Forum wäre Hilfe für Probleme. Cya

@Shay

Zitat:

Hatte den IE auch deinstalliert.

Wolltest du nicht verraten - wie ?
Und was bitte soll das sein?

Zitat:

MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Zitat:

dachte das Forum wäre Hilfe für Probleme

PEBKAC-Problem kann in keinem Forum behoben werden.

Zitat:

Zitat von Rene-gad

@Shay

Wolltest du nicht verraten - wie ?
Und was bitte soll das sein?

- Betonung liegt auf "Hatte" - wer lesen kann ist klar im Vorteil.

Zitat:

Zitat von Rene-gad

PEBKAC-Problem kann in keinem Forum behoben werden.

das sicher nicht, aber auf Hilfe kann man in einem Forum wohl noch hoffen. Aber wie schon oben genannt...

@Shay,

1.) Um den IE7 zu installieren, dazu wird man nirgendswo aufgefordert, vor allem nich von Microsoft! (war bestimmt ein Pop-Up von irgendeiner Website )

2.) Du hast selber gesagt:

Zitat:

Hatte den IE auch deinstalliert.

Wo denn? Ich und die anderen sehen ihn immer noch:

Zitat:

MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Soviel zum Thema, wer lesen kann ist klar ... usw..

3.) Du hast doch von mir einen Tip bekommen, wie du den Schädling aus dem System Volume Ordner bekommst, oder sehe ich das falsch?!
Wo liegt jetzt also dein Problem? War die Antwort von mir nicht sachlich genug? Hast du immer noch Probleme mit dem System?

@Shay

Zitat:

Betonung liegt auf "Hatte" - wer lesen kann ist klar im Vorteil.

Hattest oder hast oder hättest ist eingentlich Wurscht, Fakt ist: IE läßt sich nicht deinstallieren, da ein Teil vom Betriebssystem ist.

Wie auch immer, hatte den IE dennoch deinstalliert. Warum und weshalb da eine Aufforderung kam, dass ich den brauche um etwas anzusehen - frag mich nicht. Seit dem ist er natürlich wieder drauf, und auch die neuste Version. Hoffe das war nun verständlich genug.
Ja, deinen Tip, Sunny, habe ich gelesen und auch darauf geantwortet.