Trojaner-Board - Trojaner oder Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner oder Virus - PC spinnt. Format C ? (https://www.trojaner-board.de/59920-trojaner-virus-pc-spinnt-format-c.html)

Trojaner oder Virus - PC spinnt. Format C ?

Hallo.

Ich wollte meinen PC kurieren, da er beim Hochfahren immer so lange brauchte.
Ich besitze einen Pentium D Core Duo 2,8 GH 1GB Ram.
Mein Betriebssystem ist Windows XP Media Center Ed.2002 SP 2
Was noch zu sagen wäre, ich habe nicht viel Ahnung von Computern.

Jedenfalls begann ich mir den Autostart anzuschauen, welche Programme sich immer mit hochfahren, dafür habe ich mir noch den StartupManager runtergeladen und bei Unklarheit gegoogelt.
Um das ganze noch zu Perfektionieren und meinen PC richtig durchzuchecken lud ich mir Ad Aware und Spybot S&D.
Ich fuhr in den abgesicherten Modus, deaktivierte vorher die Systemwiederherstellung und fing an mit den o.g. Programmen und Avira AntiVir Personal zu scannen.

Es gab mehrere Funde von Cookies, Warnungen und eben leider auch einen Trojaner (von Antivir gefunden) : Bezeichnung : TR/Dldr.small.acza

Habe diesen sofort gelöscht.

Dann dachte ich, jetzt wird mein PC super schnell sein. Fehlanzeige!

Nach dieser ganzen Aktion kann ich von Glück reden, wenn sich mein PC beim zweiten Versuch hochfährt, was dann mind. 5 min. dauert.

Jetzt treten folgende unglaublich merkwürdige Erscheinungen/Fehler auf:

1. Kann erst beim zweiten Versuch den PC hochfahren (s.o.)- dann dauert
es aber sehr lange

2. Nach dem Start installiert sich immer eine Internetverknüpfung mit einem
Icon mit dem Titel "Casino" auf meinem Desktop. Diese lösche ich
jedesmal, aber nach jedem Neustart ist sie wieder da.

3. Wenn ich Google verwende, findet es zwar Suchergebnisse, aber wenn ich
diese anklicke, öffnen sich ein neuer Tab mit Werbeseiten von
Casinos,Handywerbeanbietern.. (immer unterschiedlich) statt des
gewünschten Suchergebnisses

4. Grundsätzlich kann ich mit beiden Browsern, sowohl IE und mit Firefox
KEINE Seiten von ANTIVIRENSOFTWARE mehr ÖFFNEN. Da kommt bei
Firefox,Seite kann nicht angezeigt werden und bei IE - diese Seite ist im
moment nicht verfügbar. Also weder Symantec, noch Panda, Kaspersky...
Dies fiel mir auf als ich einen OnlineScan noch zusätzlich durchführen
wollte.

Führe jetzt gerade den One Safety Scanner von Windows live aus, das einzige was funktionierte.

5. Seitenaufbau im Internet, dauert trotz DSL 6000 auf einmal total lange.
Habe das Gefühl jemand surft über meine Leitung mit und überwacht
sogar meinen PC und weiß das ich jetzt hier schreibe... unheimlich
irgendwie. Deshalb kann ich vielleicht auch nicht mehr auf Antivirenseiten
weil der nicht will das ich ihn entdecke (den Trojaner mit dem mich
vielleicht jmd. ausspioniert.)

Bitte helft mir, ich weiß nicht mehr was ich machen soll, mein PC war mal so gut und jetzt ist er ein Wrack : (

Das ist alles seit ich kein Norton mehr habe, weil mein Abo ausgelaufen war. Dann stieg ich auf Avira um und Schwupps - nur Probleme.

Das Virenprogramm findet jetzt keine Fehler mehr, aber irgendwas ist auf meinem PC oder wurde vom Trojaner zerstört.

Ich bin nun am Überlegen ob ich meine ganze Festplatte formatieren soll, aber bei meinem PC war Windows zwar drauf installiert, aber die CD war nicht mit dabei. Das heißt ich müsste mir extra ein Betriebssystem kaufen.

Ich würde mich über Antworten, Tips und so weiter freuen.
Vielen Dank im Voraus.

poste ein Hijackthis Log und führe ein scan mit Malwarebytes durch.

Dieses Hijack This lässt sich auch nicht öffnen (trendsecure.com) !! Wie soll ich das jetzt machen?

Mir sind auch noch 2 Probleme eingefallen. Beim IE sind die Symbole irgendwie verschoben und Grafiken werden nicht richtig angezeigt.

Und wenn ich Zip Dateien runterlade, und diese auf dem Desktop speichere , werden die auf dem Desktop auch nicht angezeigt. Hab ich da was falsch eingestellt?

Versuch es mit RSIT und poste log.txt und info.txt

es geht einfach nicht, ich kann die Seiten nicht öffnen, ich kann jegliche Anti-Viren Seiten nicht öffnen. auch nicht diesen RSIT. Da kommt immer Seite kann nicht angezeigt werden. Was soll ich nur machen? könntet ihr mir die exe per Mail schicken? Bitte !!!!

Code:

   Logfile of HijackThis v1.99.1

Scan saved at 21:48:40, on 15.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Windows Live\Messenger\MsnMsgr.Exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Hijackthis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=8&key=IESTART

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [EULA] C:\APPS\PB_TB\EULALauncher.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=8&key=IESTART

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

stell erstmal den teatimer und sdhelper im spybot ab.

ganz blöde Frage: wie mach ich das? Bin jetzt im Programm drin, weiß aber nich wie ich das ausschalte. Da gibts nichts mit Häkchen rausnehmen oder so.. oder soll ich das mit hijackthis rausnehmen, also Häkchen rein und fixen ??
------------------
ok, ich war nicht im erweiterten MOdus
hab jetzt die Häkchen rausgemacht

nein in spybot deaktivieren.

links unter werkzeuge den Tab Resident

hast du schon malwarebytes upgedated und gescannt?

noch nicht.

mach ich jetzt. Ist denn in dem LogFile schon irgendwas auffällig?

Hier nochmal Dateien die unter Wiederherstellen bei Spybot stehen.. Registry Einträge. Nicht das ich was wichtiges gelöscht habe:

Microsoft Windows Sec. Center
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WSCSVC\Start

Bearshare
class ID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{.....}

interface
HKEY_CLASSES_ROOT\interface\{....}

type library
HKEY_CLASSES_ROOT\Typelib\{...}

die kannst erstmal dort lassen. schau mal deine nachrichten an

scan ist fertig, muss gerad schlucken

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1157
Windows 5.1.2600 Service Pack 2

15.09.2008 23:23:28
mbam-log-2008-09-15 (23-23-24).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 145468
Laufzeit: 26 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: c:\windows\system32\ -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: system32\ -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.

und jetzt? Das ich überhaupt noch ins Internet gehe ist leichtsinnig oder?
Soll ich alles löschen oder mach ich dann den PC kaputt?
Mir fällt gerad ein das ich das jetzt gar nicht im abgesicherten Modus gemacht habe. Alles wiederholen und im abgesicherten MOdus dann löschen?