Guten Tag zusammen

Ich bin neu hier, aber ich versuch alles richtig zu machen, damit man mir auch helfen kann

Ich habe seit einiger Zeit, genauer gesagt schon seit Monaten einen Trojaner auf dem PC.
Mein Symantec zeigt mir täglich infizierte tmp dateien an, die er entweder in Quarantäne steckt oder löscht.

In letzter Zeit ist der Trojaner auch aktiver geworden sprich:
Er müllt meine Festplatte mit enormen Mengen an Temp dateien zu. Letztens habe ich 18 Gig löschen müssen. Ab und zu komm ich mit dem Löschen der Dateien garnicht mehr nach, weil er ständig neue produziert.
Vor ein paar Tagen wurde mein Desktop nicht mehr richtig angezeigt, bis ich dann das Recovery System von Samsung benutzt habe und auf ein funktionierendes System vor ein paar Tagen zurückgegriffen habe.
Ich habe - außer Symantec - schon viele andere Viren Scans durchlaufen lassen. Die haben jedoch nur - wenn überhaupt - die infizierten Dateien gefunden und konnten sie mit Glück auch löschen. Aber den Ursprungstrojaner haben sie nicht gefunden.
Meine letzte Hoffnung liegt hier in diesem Forum. Ich habe schon eine Anleitung hier gelesen, wie man den Trojaner beseitigen kann. Doch funktionierte das auf meinem Vista irgendwie nicht. Also die Datei, die ich im abgesichterten Modus starten sollte.

Deshalb hoffe ich einfach, dass ich mit ein paar Protokollen - wie es in der Anleitung heißt, hier Lösungen finden kann

fang ich mit den Daten von meinem Laptop an.

Betriebssystemname Microsoft® Windows Vista™ Home Premium
Version 6.0.6001 Service Pack 1 Build 6001
Zusätzliche Betriebssystembeschreibung Nicht verfügbar
Betriebssystemhersteller Microsoft Corporation
Systemname ***-PC
Systemhersteller SAMSUNG ELECTRONICS CO., LTD.
Systemmodell R510/P510
Systemtyp X86-basierter PC
Prozessor Intel(R) Core(TM)2 Duo CPU T5750 @ 2.00GHz, 2000 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)
BIOS-Version/-Datum Phoenix Technologies Ltd. 04LI.MP00.20080820.SCY, 20.08.2008
SMBIOS-Version 2.5
Windows-Verzeichnis C:\Windows
Systemverzeichnis C:\Windows\system32
Startgerät \Device\HarddiskVolume2
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "6.0.6001.22150"
Benutzername ***-PC\***
Zeitzone Mitteleuropäische Zeit
Installierter physikalischer Speicher (RAM) 4,00 GB
Gesamter realer Speicher 2,99 GB
Verfügbarer realer Speicher 1,94 GB
Gesamter virtueller Speicher 6,18 GB
Verfügbarer virtueller Speicher 5,20 GB
Größe der Auslagerungsdatei 3,29 GB
Auslagerungsdatei C:\pagefile.sys


Der Scanner Malware hat nichts gefunden:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1894
Windows 6.0.6001 Service Pack 1

26.03.2009 01:27:22
mbam-log-2009-03-26 (01-27-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 285919
Laufzeit: 8 hour(s), 49 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sind 8 Stunden normal?oO
Vielleicht liegt es daran, dass mein Laptop ohne langsamer geworden ist.

Hijackthis log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:41:14, on 26.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\MirandaFusion\miranda32.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\SavUI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Miranda Fusion] C:\Program Files\MirandaFusion\mfstart.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{905CFCED-0FCA-48F6-B728-2A61EACAECCC}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
O23 - Service: plasservice (ZeppelinService) - ParetoLogic Inc. - C:\Program Files\Common Files\ParetoLogic\PLAS\plasservice.exe

--
End of file - 7301 bytes

So ich hoffe das waren alle Dinge, die ihr braucht, um mir zu helfen.
Noch ein kleines Detail.
Vor 2 Tagen war ich bei einem Freund und da haben wir via CD Linux geladen um von dort aus, einen Virenscan durchzuführen, da er ja schließlich - davon gehe ich zumindest aus - mit windows geladen wird.
Doch leider ergab der Scan auch nichts.

Vielen Dank schon einmal im Voraus und entschuldigt mich, falls ich irgendetwas vergessen haben sollte.

Hm, kann mir denn niemand helfen?

Zitat:

c:\windows\system32\inethttpfilter.dll

DRINGEND ÜBERPRÜFEN!!!!!!!!! Ich empfehle den check mit Spybot search and destroy
Dazu Datei auf Virustotal.com/de Hochladen und ergebnis hier posten
Sobald du den Virus gefunden hast, bitte NICHT Löschen, sondern auch auf virustotal hochladen! Danach kann Datei in Quarantäne verscoben werden: NICHT LÖSCHEN!!! Spätere Untersuchungen eventuell nötig

Zitat:

Windows Vista SP 1

Warum SP1? Hole dir das SP 2!!!
1 Ist noch ziemlich anfällig und alt

Danke für die Antwort

Ich hab Spybot installiert und durchlaufen lassen.
er hat auch was gefunden,das sieht mir aber nicht wie ein Trojaner aus.

http://www.pic-upload.de/view-175950...isset.jpg.html

Und ich habe auch die Datei, die du mir empfohlen hast zu überprüfen, überprüft. Leider ohne Erfolg.

Lade die Dateien auch bei virustotal hoch

Ich habe gerade ein Problem: Ich muss wissen, wie die Datei bei Avira heißt

Ich hab die oberste Datei schon hochgeladen. nichts gefunden.
und die anderen sind doch nur..cookies, da wird nix dabei sein oder?

moment das kann ich dir sagen:
TR/Agent.1293397

HEY, du hast symantec? Dann wird es leicht sein, den virus zu entfernen! Tu genau das, was ich schreibe!!!

1. Deaktiviere die systemwiederherstellung!
2. Mache ein Liveupdate

Oh, wie geht das in Vista? :/

ok habs

PS: Eig. ist dieser tr gar nicht für Vista programmiert

Mache nun ein Liveupdate: Lasse die sys. wiederh. deaktiviert

Okay bin soweit

Edit:
Symantec ist bei mir immer gestartet oO oder meinst du den Scan?

Weiter geht die fröhliche desinfizierung!
3. starte norton Antivirus
4. Stelle bei Optionen die Einstellung um auf alle Dateien Prüfen

hab "all types" eingestellt sorry ist englisch, aber das müssten dann "alle dateien" sein. unter file system

So, wir sind fast fertig!
Der nächste schritt ist der längste!
5.) Mache eine Vollständige systemprüfung
-Ist der Virus gefunden, klicke auf Löschen

Okay... hab ich.

aber das hab ich ja schonmal versucht, und da konnte er den trojaner nicht löschen oder gar erst ausfindig machen - glaub ich zumindest.
naja lassich mal durchlaufen


Edit:
Wofür eig. die Systemwiederherstellung deaktiviert?

komme in ca. 5min auf die Seite antivirhelp

Hey, vergiss den teil

Ich muss jetzt essen... :-(
Bin in ca. 20 min wider da! Wenn der Scan nix findet, im Abgesicherten Modus starten und nochmal scannen