Kein Taskmanager, Trojaner o.ä.?
 

Hallo @ all,
mein Taskmanager geht nicht mehr, habe mich durchgegoogelt, und die Möglichkeit in betracht gezogen einen Trojaner auf der Platte zu haben.
AntiVir hat nichts weiter gefunden, hier mein hijackthis-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:06:02, on 27.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AvirMail\AvirMail.exe
C:\Programme\MsUpdate\MsUpdate.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\LimeWire\LimeWire.exe
C:\Dokumente und Einstellungen\Notebook\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AvirMail] C:\Programme\AvirMail\AvirMail.exe
O4 - HKLM\..\Run: [MsUpdate] C:\Programme\MsUpdate\MsUpdate.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SIPPS] C:/Programme/T-Online/T-Online Internet-Telefon/SIPPS.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120140748609
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

Bitte auch sagen wie ich das Teil loswerde wenn ich was hab, bin nich so der Profi was PC angeht, mehr der Anwender...

THX schon mal...
hansi

Servus, hansi_23!
Tja, Du hast Recht!

ist möglicherweise der hier http://www.sophos.com/virusinfo/analyses/w32rbotmz.html
Ein Trojaner mit Backdoor-Funktion. Dann könnte man Dir nur Folgendes empfehlen: http://www.trojaner-board.de/showthread.php?t=12154
Im günstigeren Fall ist es nur eine Variante von CoolWebSearch (siehe dazu http://www.spywareinfo.com/~merijn/cwschronicles.html -v.a Variant 19)
Lass´ die Datei C:\Programme\MsUpdate\MsUpdate.exe mal bei Jotti www.virusscan.jotti.de online prüfen und poste das Ergebnis.
Alternativ aber länger: Lass´ mal im abgeischerten Modus escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 laufen und poste das Ergebnis von Haui45´s find.bat (ist in dieser Anleitung ebenfall verlinkt und beschrieben). Achte auf die genauer Einhaltung der Anweisungen, der Scan dauert ca. 1 Stunde oder länger!
Bis dann, stupormundi

Hallo,
erstelle mal einen neuen Ordner z.B. C:\quarantäne,
gehe dann in den abgesicherten Modus (F8 beim booten) und verschiebe diese Datei:
C:\Programme\MsUpdate\MsUpdate.exe
in den Ordner.
Dann gehst du wieder in den normalen Modus und überprüfst die Msupdate in dem Quaranänordner hier und postes dann das Ergebnis.


Grüße Wildone

@Wildone,
danke für den Tipp, hat aber nicht geklappt, da ich die Datei nicht finden kann.
Versuche jetzt mal step by step den anweisungen von stupormundi zu folgen. Ergebnis folgt....

@hansi-23:
Wegen Hast Du das schon probiert:cu, stupormundi

Habe die Datei doch gefunden, und bei Jotti folgendes Ergebnis bekommen:

Datei: Movie.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Trojan.Vb.Mn.S23 gefunden
Avast
Keine Viren gefunden
AVG Antivirus
IRC/BackDoor.SdBot.LFI gefunden
BitDefender
Backdoor.Sdbot.AXB gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.MulDrop.2716 gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
W32/SDBot.AU-wm gefunden
Kaspersky Anti-Virus
P2P-Worm.Win32.Wupeer.a gefunden
NOD32
Win32/TrojanDropper.VB.NAI gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Trojan.MulDrop.2716 gefunden

Und wie ghts weiter...?

Servus, hansi_23!

Bei diesem Ergebnis leider Variante 1 meiner ersten Antwort: Ein Trojaner mit Backdoor-Funktion. Dann kann ich Dir nur Folgendes empfehlen: http://www.trojaner-board.de/showthread.php?t=12154 In dieser Anleitung zum neu Aufsetzen ist auch beschrieben/verlinkt, warum das die einzig sichere Möglichkeit ist!
Alles Gute, stupormundi

Ja gut, alles klar, vielen Dank für deine Hilfe stupormundi.
Hoffe das sich alles wieder einspielt hier...
Auf in den Kampf :sword2: