Hilfe Trojaner
 

Ich glaube ich habe wieder einen Trojaner.
Mein Antivir hat angegeben, dass er in einem Zip- Archiv war. Ich habe das Archiv und das Programm gelöscht, trotzdem scheint mein PC jetzt nicht frei davon zu sein.
Bitte mal angucken.

Logfile of HijackThis v1.99.1
Scan saved at 18:26:10, on 29.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Bo-Shot\Bo-Shot.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://###channels.aimtoday.com/search/aimtoolbar.jsp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://####www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bo-Shot.lnk = C:\Programme\Bo-Shot\Bo-Shot.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &AIM Search - res://C:\Programme\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programme\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hi,

deinstalliere unter systemsteuerung/Software das Programm AIM Toolbar
es ist nicht so viel schlechtes zu erkennen, diese Einträge im abgesicherten Modus Fixen und danach die Dateien / Ordner löschen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://###channels.aimtoday.com/search/aimtoolbar.jsp
O8 - Extra context menu item: &AIM Search - res://C:\Programme\AIM Toolbar\AIMBar.dll/aimsearch.htm


aber du kannst mal eScan laufen lassen um Gewissheit zu bekommen
Anleitung und Download

Wie war denn die genaue Meldung von Antivir?

Gruß :daumenhoc
Yopie

Eine oder mehrere Dateien wären befallen von
DR/PSW.Lineage.LB


@Gigamail

Ich hab unter Software keinen extra Eintrag der AIM Toolbar heißt.
Da steht nur der AOL Messenger selber drin.
Welche Dateien muss ich fixen?
Ich hab das noch nie gemacht, ich hab Angst dass ich da was falsches mache.
Bitte genauer erklären.
Ich will nicht schon wieder formatieren!!!!!!

Das ist nicht die genaue Meldung! Sorry, so kann man dir schlecht helfen.

Gruß :daumenhoc
Yopie

Ich hab mir die Meldung nicht gemerkt.
Der Virus oder was auch immer das ist konnte von Antivir nicht gelöscht werden. Also hab ich die Datei wo der war von Hand gelöscht. Wenn ich jetzt Antivir laufen lasse kommt zwar keine Fehlermeldung mehr aber im Kurzreport steht, dass Viren oder unerwünschte Dateien gefunden worden sind.
Das krieg ich halt nicht weg!

Hallo Lady Babe,

Dann poste uns mal diesen Auszug vom Report in der die Malware bzw. die Dateien aufgelistet werden.

Ich poste hier mal den Teil des Reports auf den es denke ich mal ankommt.
Da Im Kurzreport nur steht was ich bisher schon gesagt hab.


Start des Suchlaufs: Samstag, 2. Juli 2005 11:58

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
MiniBug.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6NWCPZA5
programs_1169[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CNDR2UJH
msgrchkr.cab31267[1].cab
ArchiveType: CAB (Microsoft)
--> msgrchkr.dll
HINWEIS! Der Archivheader ist defekt
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EIQ6OS9P
programs_1168[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Samstag, 2. Juli 2005 12:37
Benötigte Zeit: 38:10 min


2216 Verzeichnisse wurden durchsucht
48672 Dateien wurden geprüft
6 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

Ehrlich gesagt, kann man aus dem Report nicht viel rauslesen.

Zur Sicherheit kannst du mit eScan AntiVirus im abgesicherten Modus scannen und uns anschließend die Virus Log Information posten.

Ich hab nen e-scan gemacht. Nur erstellt sich nachdem ich auf find.bat geklickt hab kein neues log!

Eventuell hast du die Beschreibung nicht richtig abgearbeitet... :confused:

Tja, dann solltest du jetzt den manuellen Alternativweg einschlagen und uns die Infos zukommen lassen.

Ich hab aber genau die Anletung befolgt!!!
Welche Infos müssen das denn genau sein????