Trojaner-Board - Kann mir jemand Helfen Wurm oder Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Kann mir jemand Helfen Wurm oder Virus (https://www.trojaner-board.de/23624-mir-jemand-helfen-wurm-virus.html)

Kann mir jemand Helfen Wurm oder Virus

Hallo

Habe mir vermutlich einen Virus oder einen Wurm eingefangen.
Windows bringt die ganze Zeit zu wenig Speicherplatz zur Verfuegung. Nachdem ich einige Programme geloescht habe wird freier Speicherplatz angezeigt. Dieser geht aber nach einer relativ kurzen Zeit ca 10 min bei 500 Mb vorher frei auf 20 kB runter. Ausserdem laufen 40 Prozesse im Hintergrund. Vermute daher, dass ich einen Virus oder Trojaner habe. Antivir die neuste Version findet nichts und Spybot findet nur cookies. Adaware habe ich auch schon drueber laufen lassen. Benoetige den Rechner zum arbeiten. Formatieren und Neuinstallation ist fuer mich keine Moeglichkeit, da ich gerade im Ausland bin und erst an Weihnachten wieder heimkomme.

Im voraus danke
Gruss
Michael

Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
stupormundi

Hi hier ist das geforderte Hijak

Hoffe du kannst damit was anfangen. Wie kann ich den IE loeschen, da ich Mozilla benutze.

Logfile of HijackThis v1.99.1
Scan saved at 13:12:40, on 14.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)-- verwende Mittlerweile Mozilla

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\basfipm.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\DSentry.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [bascstray] BascsTray.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Broadcom ASF IP monitoring service v3.0.1 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe

Den IE löschen ?
1.Schaffst du das nicht,weil der megatief im System steckt
2.Brauchst du ihn für die Update`s
Ich werde wohl nie verstehen wie man einen Rechner den man geschäftlich nutzt, so verkommen lassen kann um dann rumzupiensen,das man auf keinen Fall formatieren könne weil viel zu wichtige Daten drauf sind.
Platform: Windows XP SP1 (WinNT 5.01.2600) < Mozilla entbindet nicht von Service Pack 2 !!!!!!!!
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)-- verwende Mittlerweile Mozilla =gut und schön,aber es gilt gleiches wie oben,SP 2 !!
Dein Speicherproblem hat wahrscheinlich andere Ursachen.
Meines Erachtens ist nichts Böses drauf.Aber mache noch einen E Scan nach Cidre`s Anleitung,die du in den FAQ`s,Anleitungen findest,poste den Scan hier.
Beachte die Anleitung genau,das hier ist auch schon schief gegangen :
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe
So wäre es richtig gewesen :C/Programme/ <eigener Ordner für HIjackThis !
irrlicht

Kann den escan leider erst heute abend durchfuehren, da ich gearde mit dem Computer arbeite. Was fuer Gruende koennen denn noch fuer das Speicherproblem verantwortlich sein und wie kann ich diese beheben.
Weiss,dass das mit dem SP1 ziemlich leichtsinnig ist, aber nachher ist man immer schlauer, werde sobald als moeglich dieses nachholen.
Gruss

Versuch mal ob du so was rausfinden kannst:
Start>Programme>Zubehör>Systemprogramme>Systeminformation
Irrlicht

Woran kann ich den hier erkennen, dass ihrgend etwas nicht stimmt.

Will dir auch nicht in den Rueckenfallen. Abe rich meine der Running Prozess lsass.exe ist ein Backdoor Trojaner. Hat das was damit zu tun.

Vielen dank fuer deine bisherige Hilfe.

Gruss

Das hat mit in den Rücken fallen nix zu tun.Durchaus möglich das Einer etwas entdeckt was ein Anderer übersehen hat.Auch ich lerne jeden Tag Neues.
Du kannst aber hier selbst überprüfen :http://virusscan.jotti.org/de/
Lade die Datei dort hoch.
Irrlicht

Habe die Dateien Ueberprueft sind alle ok. Daher wahrescheinlich kein Virus oder Trojaner. Daher ist meine Frage obwohl ich Daten auf der Festplatte loesche wird
der freie Speicherplatz erst angezeitgt, wie oben beschrieben 500Mb und geht dann nach 10 min auf 4Mb runter. Woran kann das liegen?

Dazu kann ich dir so gut wie nix sagen.Für die "Innereien ist Dr.Shadow" der kompetentere Ansprechpartner.
Unten in "alles rund um Windows"
Irrlicht

Danke fuer die Hilfe