Trojaner-Board - Hilfe !!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe !! (https://www.trojaner-board.de/15874-hilfe.html)

Zu aller Erst werde ich mal die Hijackthis Log posten;

Logfile of HijackThis v1.97.7
Scan saved at 18:52:05, on 25.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Creative\ShareDLL\MEDIADET.EXE
C:\WINDOWS\System32\wsys.exe
C:\Programme\DSB\dsb.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Creative\SBExtigy\RemoteCenter\Rc\RcMan.EXE
C:\programme\trafficdetector\Trafficdetector.exe
C:\Programme\Creative\SBExtigy\RemoteCenter\Rc\EAX.exe
C:\Programme\Creative\SBExtigy\RemoteCenter\Rc\VRC.exe
C:\Programme\Creative\SBExtigy\RemoteCenter\Center\RCenter.exe
C:\Programme\Creative\SBExtigy\RemoteCenter\Rc\OSDMenu.EXE
C:\WINDOWS\System32\Services\{7F0809C2-69EE-41D1-9E45-AB2E52F4AF17}\SVCHOST.EXE
D:\Programme\Steam\Steam.exe
C:\Programme\Cheating-Death\cdeath.exe
D:\icq\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Adrian Bauer\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/index.php?id=585&said=nicket_a
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudCtrl] RunDll32 AudCtrl.dll,RCMonitor
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Indexindicator] C:\WINDOWS\System32\Indexindicator.exe /check
O4 - HKLM\..\Run: [MEMreaload] C:\Programme\ServicePackFiles\MEMreaload.exe /checkmouse /updateratio
O4 - HKLM\..\Run: [Reload] C:\Programme\ServicePackFiles\reload.exe /reloadenterpice
O4 - HKLM\..\Run: [Diesel] C:\WINDOWS\System32\Recalculate.exe /reloadenterpice
O4 - HKLM\..\Run: [windll] "C:\WINDOWS\System32\wsys.exe"
O4 - HKLM\..\Run: [LSAS] C:\WINDOWS\System32\LSAS.exe /check
O4 - HKLM\..\Run: [DSB] C:\Programme\DSB\dsb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{7F0809C2-69EE-41D1-9E45-AB2E52F4AF17}\SVCHOST.EXE
O4 - HKLM\..\Run: [avast!] D:\hans\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\SBExtigy\RemoteCenter\Rc\RcMan.EXE
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\ADRIAN~1\LOKALE~1\Temp\delus.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\icq\ICQLite.exe -trayboot
O4 - Startup: winupdate30325010[1].exe
O4 - Startup: winupdate94347216[1].exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\oFFice\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Microsoft AntiSpyware helper (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper (HKCU)
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444500000000} - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Bitte helft mir
Mein kompletter PC ist seit heute Morgen deutlich langsamer geworden. Dazu kommt, dass sich dauernd ein Ative Desktop Element auf meinen Rechner setzt das blinkt.

Bitte aktuelle Version (1.99.1) von HiJackThis benutzen.
cacatoa

Logfile of HijackThis v1.99.1
Scan saved at 19:00:13, on 25.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Creative\ShareDLL\MEDIADET.EXE
C:\WINDOWS\System32\wsys.exe
C:\Programme\DSB\dsb.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Creative\SBExtigy\RemoteCenter\Rc\RcMan.EXE
C:\programme\trafficdetector\Trafficdetector.exe
C:\Programme\Creative\SBExtigy\RemoteCenter\Rc\EAX.exe
C:\Programme\Creative\SBExtigy\RemoteCenter\Rc\VRC.exe
C:\Programme\Creative\SBExtigy\RemoteCenter\Center\RCenter.exe
C:\Programme\Creative\SBExtigy\RemoteCenter\Rc\OSDMenu.EXE
C:\WINDOWS\System32\Services\{7F0809C2-69EE-41D1-9E45-AB2E52F4AF17}\SVCHOST.EXE
D:\Programme\Steam\Steam.exe
C:\Programme\Cheating-Death\cdeath.exe
D:\icq\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\io\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
C:\DOKUME~1\ADRIAN~1\LOKALE~1\Temp\Rar$EX00.402\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/index.php?id=585&said=nicket_a
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudCtrl] RunDll32 AudCtrl.dll,RCMonitor
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Indexindicator] C:\WINDOWS\System32\Indexindicator.exe /check
O4 - HKLM\..\Run: [MEMreaload] C:\Programme\ServicePackFiles\MEMreaload.exe /checkmouse /updateratio
O4 - HKLM\..\Run: [Reload] C:\Programme\ServicePackFiles\reload.exe /reloadenterpice
O4 - HKLM\..\Run: [Diesel] C:\WINDOWS\System32\Recalculate.exe /reloadenterpice
O4 - HKLM\..\Run: [windll] "C:\WINDOWS\System32\wsys.exe"
O4 - HKLM\..\Run: [LSAS] C:\WINDOWS\System32\LSAS.exe /check
O4 - HKLM\..\Run: [DSB] C:\Programme\DSB\dsb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{7F0809C2-69EE-41D1-9E45-AB2E52F4AF17}\SVCHOST.EXE
O4 - HKLM\..\Run: [avast!] D:\hans\ashDisp.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\ADRIAN~1\LOKALE~1\Temp\delus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\SBExtigy\RemoteCenter\Rc\RcMan.EXE
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\icq\ICQLite.exe -trayboot
O4 - Startup: winupdate30325010[1].exe
O4 - Startup: winupdate94347216[1].exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\oFFice\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\oFFice\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\icq\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\icq\ICQLite.exe
O9 - Extra button: Microsoft AntiSpyware helper - {A27CAC93-BEB8-4A4F-B306-EB58FE316C3B} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {A27CAC93-BEB8-4A4F-B306-EB58FE316C3B} - (no file) (HKCU)
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\hans\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\hans\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\hans\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\hans\ashWebSv.exe" /service (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{7F0809C2-69EE-41D1-9E45-AB2E52F4AF17}\SVCHOST.EXE Böse
Böse Added as a result of the CONE.F VIRUS! Note - this is not the valid svchost.exe as described here
Trefferquote: 26 % (Resultate) Unbedingt fixen!

O4 - HKLM\..\Run: [LSAS] C:\WINDOWS\System32\LSAS.exe /check Böse
Böse Added as a result of the SPYBOT.CJ worm
Trefferquote: 44 % (Resultate) Unbedingt fixen!

C:\Programme\DSB\dsb.exe Böse
Böse Laufender Prozess. (dsb.exe)
Adware EnergyPlugin Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen!

In wie weit ist dem zuzustimmen ?

Junge, Junge,
da gibt´s nur eine Lösung, und die heißt:
System neu aufsetzen!!. Halte dich genau an die Tipps in dem Link.
Begründung:
Du hast mindestens einen aktiven Backdoor-Trojaner auf dem System, der alles, was Du auf dem Rechner tust, sofort weiterleitet (Tastenfolgen, Key-Wörter, besuchte Seiten; einfach alles). Das ist der hier.
Desweiteren ist dieser Agobot aktiv.
Dann auch der hier.
Jetzt hab ich aufgehört weiter zu suchen....
Überdenke auch ganz dringend Dein Surfverhalten, halte Dein System ordentlich up to date (Du hast nur SP1 drauf), und ebenso den Virenscanner.
Mehr kann ich dazu nicht sagen.
Sorry
cacatoa

Ich würde dem gerne ohne Formatierung entgegentreten, da ich leider zuviele wichtige Daten bis dato unsaved auf dm PC liegen habe. Gibt es gar keine andere Möglichkeit ?

Also sorry, aber bei dem, was bei Dir los ist, gibt´s nur eins:
Rechner sofort vom Netz und format C:
Du bist auch für andere eine Gefahr!
Zur Datensicherung gibt´s Tipps von Lutz.
Alles andere ist Blödsinn.
cacatoa

Zitat:

ohne Formatierung entgegentreten, da ich leider zuviele wichtige Daten bis dato unsaved auf dm PC liegen habe

Warum ist das so?!
Schon mal an einen Festplatten Defekt, System Crash usw. gedacht?

Zitat:

Gibt es gar keine andere Möglichkeit ?

Nein, es gibt keine sichere Lösung als Neuaufsetzen.

Ich sags mal so
Dran gedacht sicherlich, aber bis dato einfach zu faul :>
Ehrlich gesagt muss ich mich da echt überwinden, da ich momentan absolut keine Zeit für ein komplettes Neuaufsetzen aufbringen kann (rein beruflich nicht)

Also, dann in die Hände gespuckt, und noch heute abend ist alles wieder in Butter.
http://www.smiley-channel.de/grafike...technik014.gif
cacatoa

hm, da werd ich mir die Liste mal ausdrucken und jeden Punkt systematisch abarbeiten. Zuerst sollte ich allerdings mal die XP CD suchen :sleepy: