Hilfe! Wie lösche ich Trojaner??

Eve26 · 07.01.2008, 17:09

Hallo!
Ich bin gerade neu hier, da ich ein Problem mit meinem Laptop habe. Hatte bis vor etwa 2 Monaten noch keine Flatrate und war daher auch kaum mit dem PC im Netz.
Seid dem ich diese Flatrate jedoch habe, habe ich das Gefühl, dass ich mir eventuell Trojaner, Viren oder so aufgesackt habe.
Kenne mich mit dem ganzen Kram überhaupt nicht aus und habe mich daher heute duch unterschiedliche Foren durchgelesen.
Habe auch dieses hijackthis.log gemacht, doch muss sagen, dass ich nun nicht wirklich weiter weiss. Sollte bestimmte Datein fixen (gehen mal davon aus, dass damit löschen gemeint ist), doch einige lassen sich nicht löschen. Sind das Trojaner?
Seidem ich nämlich regelmäßig im Netz bin, öffnen sich ständig irgendwelche asiatischen Seiten

Außerdem arbeitet der PC langsamer und auch das Herunterfahren ist nicht mehr so einfach wie vorher...
Kann mir daher jemand sagen/schreiben, was ich nun tun muss? Muss ich das ganze Teil platt machen?
Ich habe echt überhaupt keine Ahnung von solchem Kram, hab totalen Schiss, dass in Kürze das ganze Gerät nicht mehr funktioniert und meine Daten weg sind.
Ich bedanke mich schon mal jetzt vor einige Vorschläge.
Ach ja, irgend so ein McAfee hab ich mir auch nun runtergeladen. Dieses arbeitet im Moment noch.

blow-in · 07.01.2008, 17:21

Hallo Eve
Als erstes solltest du mal das HJT-Log hier einstellen, dann können wir dir mehr sagen.

Eve26 · 07.01.2008, 17:55

Ok, also ich habe Folgendes erhalten:

Logfile of HijackThis v1.99.1
Scan saved at 17:52:33, on 06.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ticw.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\QQRun.exe
C:\WINDOWS\system32\usbplay.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\54CB9\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\54CB9\ctfmon.exe
C:\WINDOWS\system32\54CB9\ctfmon.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\3db81.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Genie6\LOKALE~1\Temp\Rar$EX00.343\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: Shell=Explorer.exe usbhelp.exe
O1 - Hosts: 58.215.65.193 kzxf.net
O1 - Hosts: 58.215.65.193 www.kzxf.net
O2 - BHO: sosHlpr Class - {00C104F7-0F5C-470C-ABCF-A5B2E70752F1} - C:\WINDOWS\system32\qhst.dll
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Programme\Gemeinsame Dateien\CPUSH\cpush.dll
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Dokumente und Einstellungen\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: Invoke Class - {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} - C:\WINDOWS\system32\43d1.dll
O2 - BHO: (no name) - {8F776B2A-72DF-40C1-BD69-EDB642A706D7} - C:\WINDOWS\system32\bho.dll
O2 - BHO: ff Class - {B9751A53-4494-4d7c-9732-AE3058D8145F} - C:\WINDOWS\system32\43d1.dll
O2 - BHO: BHO Class - {BCBD80C9-6AD7-48ed-8DF1-6963414B3649} - C:\WINDOWS\system32\flym.dll
O2 - BHO: Adobe Common Objects - {C86488AF-13D5-4FEF-9DDF-9FB88698CFC1} - C:\Dokumente und Einstellungen\All Users\Application Data\Microsoft\OFFICE\USERDATA\ye6DIAKqSo.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [GenProtect] C:\WINDOWS\oaicay.exe
O4 - HKLM\..\Run: [Kvsc3] C:\WINDOWS\Kvsc3.exE
O4 - HKLM\..\Run: [upxdnd] C:\WINDOWS\upxdnd.exe
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [DbgHlp32] C:\WINDOWS\DbgHlp32.exe
O4 - HKLM\..\Run: [WinSysM] C:\WINDOWS\215366M.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - HKLM\..\Run: [LotusHlp] C:\WINDOWS\LotusHlp.exe
O4 - HKLM\..\Run: [NVDispDrv] C:\WINDOWS\NVDispDRV.EXE
O4 - HKLM\..\Run: [MsPrint32D] C:\WINDOWS\MsPrint32D.exe
O4 - HKLM\..\Run: [msccrt] C:\WINDOWS\msccrt.exe
O4 - HKLM\..\Run: [AVPSrv] C:\WINDOWS\AVPSrv.exE
O4 - HKLM\..\Run: [MsIMMs32] C:\WINDOWS\MsIMMs32.exE
O4 - HKLM\..\Run: [WinSysW] C:\WINDOWS\215366L.exe
O4 - HKLM\..\Run: [PTSShell] C:\WINDOWS\PTSShell.exe
O4 - HKLM\..\Run: [Vmlist] regsvr32 /s apphelps.dll
O4 - HKLM\..\Run: [Sysmppcvppp] "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\SysTdSvr.dll",Start
O4 - HKLM\..\Run: [SSLDyn] C:\WINDOWS\SSLDyn.exe
O4 - HKLM\..\Run: [NAVMon32] C:\WINDOWS\NAVMon32.exE
O4 - HKLM\..\Run: [symticr] C:\windows\system32\goo.exe
O4 - HKLM\..\Run: [RegSrv64D] C:\WINDOWS\yqbloq.exe
O4 - HKLM\..\Run: [WSockDrv32] C:\WINDOWS\WSockDrv32.exe
O4 - HKLM\..\Run: [WINSvr32] C:\WINDOWS\WINSvr32.exE
O4 - HKLM\..\Run: [SHAProc] C:\WINDOWS\SHAProc.exe
O4 - HKLM\..\Run: [WinForm] C:\WINDOWS\WinForm.exE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ò×È¤¹ºÎï - C:\Programme\AD4All\link1\eachlink.htm
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Ò×È¤¹ºÎï - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O9 - Extra 'Tools' menuitem: Ò×È¤¹ºÎï - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125647422856
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab
O23 - Service: 6FDA3D19 - Unknown owner - C:\WINDOWS\system32\2A1A09C2.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Fix-It Task Manager - Unknown owner - C:\PROGRA~1\Ontrack\Fix-It\mxtask.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Application Layer Gatewa (Kaspersky 7.0) - Unknown owner - C:\WINDOWS\system32\Kas.exe
O23 - Service: QQRun - Unknown owner - C:\WINDOWS\QQRun.exe
O23 - Service: ServicevcHelp (Serviceusbhelp) - Unknown owner - C:\WINDOWS\system32\usbplay.exe
O23 - Service: Yahoo Service (YahooSvr) - Unknown owner - C:\WINDOWS\system32\54CB9\svchost.exe

Muss sagen: ich verstehe nur Bahnhof :-)

BataAlexander · 07.01.2008, 18:03

http://www.trojaner-board.de/12154-a...sicherung.html
Du hast mehr Viren am laufen, als Programme!
U.A. eine Variante dieses "Freunds" und einige Password Stealer.
Daher: Alle Passwörter, Zugangsdaten ändern! Nach dem Neuaufsetzen!

Eve26 · 07.01.2008, 18:11

Ach du Kack***

das hört sich ja nicht toll an...

blow-in · 07.01.2008, 18:15

Also wenn dein Rechner ein Pferd währe, würde ich sagen erschieße es. Es ist total verseucht. Schon wegen diesem Prozess: C:\WINDOWS\system32\54CB9\svchost.exe
Die Svchost.exe sollte im System32 Verzeichnis sich befinden. Ansonsten ist es ein fieser Trojaner.
Die o2 Einträge deuten auf einen chinesischen Downloader hin.

Eve26 · 07.01.2008, 18:20

Wie und ich muss jetzt alles plattmachen und dann Windows neu raufladen?!

Zum Glück ist mein PC kein Pferd ;-)

BataAlexander · 07.01.2008, 18:22

Links anklicken, scheint doch sonst auch gut zu klappen.

blow-in · 07.01.2008, 18:24

Zitat:

Zitat von Eve26

Wie und ich muss jetzt alles plattmachen

Auf jeden Fall ja und so wie es Alex verlinkt hat.
In Zukunft mal dein Serv-verhalten überprüfen.

07.01.2008, 18:03	#4
BataAlexander > MalwareDB	Hilfe! Wie lösche ich Trojaner?? http://www.trojaner-board.de/12154-a...sicherung.html Du hast mehr Viren am laufen, als Programme! U.A. eine Variante dieses "Freunds" und einige Password Stealer. Daher: Alle Passwörter, Zugangsdaten ändern! Nach dem Neuaufsetzen! Geändert von BataAlexander (07.01.2008 um 18:17 Uhr)

07.01.2008, 18:22	#8
BataAlexander > MalwareDB	Hilfe! Wie lösche ich Trojaner?? Links anklicken, scheint doch sonst auch gut zu klappen.

Hilfe! Wie lösche ich Trojaner??

Plagegeister aller Art und deren Bekämpfung: Hilfe! Wie lösche ich Trojaner??