Trojaner-Board - Hilfe! Wie lösche ich Trojaner??

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe! Wie lösche ich Trojaner?? (https://www.trojaner-board.de/47885-hilfe-loesche-trojaner.html)

Hilfe! Wie lösche ich Trojaner??

Hallo!
Ich bin gerade neu hier, da ich ein Problem mit meinem Laptop habe. Hatte bis vor etwa 2 Monaten noch keine Flatrate und war daher auch kaum mit dem PC im Netz.
Seid dem ich diese Flatrate jedoch habe, habe ich das Gefühl, dass ich mir eventuell Trojaner, Viren oder so aufgesackt habe.
Kenne mich mit dem ganzen Kram überhaupt nicht aus und habe mich daher heute duch unterschiedliche Foren durchgelesen.
Habe auch dieses hijackthis.log gemacht, doch muss sagen, dass ich nun nicht wirklich weiter weiss. Sollte bestimmte Datein fixen (gehen mal davon aus, dass damit löschen gemeint ist), doch einige lassen sich nicht löschen. Sind das Trojaner?
Seidem ich nämlich regelmäßig im Netz bin, öffnen sich ständig irgendwelche asiatischen Seiten :eek:
Außerdem arbeitet der PC langsamer und auch das Herunterfahren ist nicht mehr so einfach wie vorher...
Kann mir daher jemand sagen/schreiben, was ich nun tun muss? Muss ich das ganze Teil platt machen?
Ich habe echt überhaupt keine Ahnung von solchem Kram, hab totalen Schiss, dass in Kürze das ganze Gerät nicht mehr funktioniert und meine Daten weg sind.
Ich bedanke mich schon mal jetzt vor einige Vorschläge.
Ach ja, irgend so ein McAfee hab ich mir auch nun runtergeladen. Dieses arbeitet im Moment noch.

Hallo Eve
Als erstes solltest du mal das HJT-Log hier einstellen, dann können wir dir mehr sagen.

Ok, also ich habe Folgendes erhalten:

Logfile of HijackThis v1.99.1
Scan saved at 17:52:33, on 06.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ticw.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\QQRun.exe
C:\WINDOWS\system32\usbplay.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\54CB9\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\54CB9\ctfmon.exe
C:\WINDOWS\system32\54CB9\ctfmon.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\3db81.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Genie6\LOKALE~1\Temp\Rar$EX00.343\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: Shell=Explorer.exe usbhelp.exe
O1 - Hosts: 58.215.65.193 kzxf.net
O1 - Hosts: 58.215.65.193 www.kzxf.net
O2 - BHO: sosHlpr Class - {00C104F7-0F5C-470C-ABCF-A5B2E70752F1} - C:\WINDOWS\system32\qhst.dll
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Programme\Gemeinsame Dateien\CPUSH\cpush.dll
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Dokumente und Einstellungen\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: Invoke Class - {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} - C:\WINDOWS\system32\43d1.dll
O2 - BHO: (no name) - {8F776B2A-72DF-40C1-BD69-EDB642A706D7} - C:\WINDOWS\system32\bho.dll
O2 - BHO: ff Class - {B9751A53-4494-4d7c-9732-AE3058D8145F} - C:\WINDOWS\system32\43d1.dll
O2 - BHO: BHO Class - {BCBD80C9-6AD7-48ed-8DF1-6963414B3649} - C:\WINDOWS\system32\flym.dll
O2 - BHO: Adobe Common Objects - {C86488AF-13D5-4FEF-9DDF-9FB88698CFC1} - C:\Dokumente und Einstellungen\All Users\Application Data\Microsoft\OFFICE\USERDATA\ye6DIAKqSo.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [GenProtect] C:\WINDOWS\oaicay.exe
O4 - HKLM\..\Run: [Kvsc3] C:\WINDOWS\Kvsc3.exE
O4 - HKLM\..\Run: [upxdnd] C:\WINDOWS\upxdnd.exe
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [DbgHlp32] C:\WINDOWS\DbgHlp32.exe
O4 - HKLM\..\Run: [WinSysM] C:\WINDOWS\215366M.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - HKLM\..\Run: [LotusHlp] C:\WINDOWS\LotusHlp.exe
O4 - HKLM\..\Run: [NVDispDrv] C:\WINDOWS\NVDispDRV.EXE
O4 - HKLM\..\Run: [MsPrint32D] C:\WINDOWS\MsPrint32D.exe
O4 - HKLM\..\Run: [msccrt] C:\WINDOWS\msccrt.exe
O4 - HKLM\..\Run: [AVPSrv] C:\WINDOWS\AVPSrv.exE
O4 - HKLM\..\Run: [MsIMMs32] C:\WINDOWS\MsIMMs32.exE
O4 - HKLM\..\Run: [WinSysW] C:\WINDOWS\215366L.exe
O4 - HKLM\..\Run: [PTSShell] C:\WINDOWS\PTSShell.exe
O4 - HKLM\..\Run: [Vmlist] regsvr32 /s apphelps.dll
O4 - HKLM\..\Run: [Sysmppcvppp] "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\SysTdSvr.dll",Start
O4 - HKLM\..\Run: [SSLDyn] C:\WINDOWS\SSLDyn.exe
O4 - HKLM\..\Run: [NAVMon32] C:\WINDOWS\NAVMon32.exE
O4 - HKLM\..\Run: [symticr] C:\windows\system32\goo.exe
O4 - HKLM\..\Run: [RegSrv64D] C:\WINDOWS\yqbloq.exe
O4 - HKLM\..\Run: [WSockDrv32] C:\WINDOWS\WSockDrv32.exe
O4 - HKLM\..\Run: [WINSvr32] C:\WINDOWS\WINSvr32.exE
O4 - HKLM\..\Run: [SHAProc] C:\WINDOWS\SHAProc.exe
O4 - HKLM\..\Run: [WinForm] C:\WINDOWS\WinForm.exE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ò×È¤¹ºÎï - C:\Programme\AD4All\link1\eachlink.htm
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Ò×È¤¹ºÎï - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O9 - Extra 'Tools' menuitem: Ò×È¤¹ºÎï - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125647422856
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab
O23 - Service: 6FDA3D19 - Unknown owner - C:\WINDOWS\system32\2A1A09C2.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Fix-It Task Manager - Unknown owner - C:\PROGRA~1\Ontrack\Fix-It\mxtask.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Application Layer Gatewa (Kaspersky 7.0) - Unknown owner - C:\WINDOWS\system32\Kas.exe
O23 - Service: QQRun - Unknown owner - C:\WINDOWS\QQRun.exe
O23 - Service: ServicevcHelp (Serviceusbhelp) - Unknown owner - C:\WINDOWS\system32\usbplay.exe
O23 - Service: Yahoo Service (YahooSvr) - Unknown owner - C:\WINDOWS\system32\54CB9\svchost.exe

Muss sagen: ich verstehe nur Bahnhof :-)

http://www.trojaner-board.de/12154-a...sicherung.html
Du hast mehr Viren am laufen, als Programme!
U.A. eine Variante dieses "Freunds" und einige Password Stealer.
Daher: Alle Passwörter, Zugangsdaten ändern! Nach dem Neuaufsetzen!

Ach du Kack***

das hört sich ja nicht toll an...

Also wenn dein Rechner ein Pferd währe, würde ich sagen erschieße es. Es ist total verseucht. Schon wegen diesem Prozess: C:\WINDOWS\system32\54CB9\svchost.exe
Die Svchost.exe sollte im System32 Verzeichnis sich befinden. Ansonsten ist es ein fieser Trojaner.
Die o2 Einträge deuten auf einen chinesischen Downloader hin.

Wie und ich muss jetzt alles plattmachen und dann Windows neu raufladen?!

Zum Glück ist mein PC kein Pferd ;-)

Links anklicken, scheint doch sonst auch gut zu klappen. ;)

Zitat:

Zitat von Eve26 (Beitrag 314505)

Wie und ich muss jetzt alles plattmachen

Auf jeden Fall ja und so wie es Alex verlinkt hat.
In Zukunft mal dein Serv-verhalten überprüfen.

Was bedeutet denn chinisischer Downloader? Mein PC wählt sich aber nicht immer irgendwo ein, oder?

Wie Links anklicken?
Weiß nicht, was dieses hijackthis angezeigt hat, hoffe aber nicht, dass "jemand" auf irgendwelchen merkwürdigen Seiten war. Dann wird dieser "jemand" nachher nämlich nen Arschtritt bekommen und nie wieder meinen Laptop in die Hände bekommen... Oder verurteile ich ihn gerade zu unrecht und du meinst was anderes???

So, noch ein dumme Frage (ihr merkt, ich kenne mich wirklich nicht mit dem Zeugs aus): was muss ich außer meiner privaten Daten (also Fotos, Musik, word-excel-Dokumente) sichern. Habe einen winzigen Speicher (18,6 GB) und daher auch nicht wirklich viele Programme drauf.

Bzw. wäre es sehr schlimm, wenn ich noch etwas 1-2 Wochen mit diesem verseuchten Gerät weiterarbeite oder wäre das mein Untergang?

Ahhhhh... ich has*** PCs!! :koch:

Zitat:

Bzw. wäre es sehr schlimm, wenn ich noch etwas 1-2 Wochen mit diesem verseuchten Gerät weiterarbeite oder wäre das mein Untergang?

Du stehst auf: no risk, no fun?

Mußt Du dann áuch, denn das Problem der Datensicherung könnte sich so ganz schnell erledigen, weil es nämlich nichts mehr zu sichern gibt (alles remote gelöscht). Könnte bei Dir ganz schnell passieren.

have fun,
Heike :teufel3:

Übrigens, mein AntiVir hat wohl die ganze Zeit nicht funktioniert. Habe mirs neu runtergeladen und alles überprüfen lassen... habe an die 700 Trojaner, Viren etc. -Meldungen erhalten, so dass mein hijack this logfile nun so aussieht:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

weißt Du, es ist vollkommen egal, wieviele Viren und Trojaner Du hast, einer ist schon einer zuviel.

Entweder ein PC ist infiziert oder nicht, ein bisschen infiziert gibt es genauso wenig wie "ein bisschen schwanger".

Und selbst wenn AntiVir gar nichts mehr findet, heißt das noch lange nicht, dass Dein PC sauber ist, es heißt nur: AntiVir findet nichts.

geh mal an die Arbeit, format C:\ ist doch nicht so schlimm, oder?

Hallo Eve
wie lange willst du noch warten, bis du den PC Neu aufsetzt?
Du wirst über China umgeleitet.
O1 - Hosts: 58.215.65.193 kzxf.net
gehe mit dem verseuchten Rechner nicht mehr ins Internet, bis du ihn Neu gemacht hast.