Trojaner Problem

[below]

Hallo,

ich hoffe mir kann hier jemand helfen. Habe mir heute durch einen Screensaver ein paar Trojaner eingefangen. Doch trotz Spybot, AdAware etc bekomm ich sie einfach nicht weg.
Sie werden von Antivir gefunden, ich lösche Sie und nach ein paar Minuten sind sie wieder da! Als Anhang dann 2 von vielen Virenmeldungen.

Und hier nochmal mein HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:09:44, on 13.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Alias\Maya6.5\docs\wrapper.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\wltrysvc.exe
C:\WINDOWS\system32\bcmwltry.exe
c:\programme\sdb\programs\pgm\serv.exe
D:\Programme\Alias\Maya6.5\docs\jre\bin\java.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\znydehs.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\PowerKey.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\OSDCtrl.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\~e5d141.tmp
C:\DOKUME~1\Michael\LOKALE~1\Temp\~e5d141.tmp
C:\Dokumente und Einstellungen\Michael\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = leviathan.fh-friedberg.de:8080
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [knyisos] c:\windows\system32\znydehs.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE462C25-92AD-46E8-8A21-6FBCBD9D8206}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5435CBC-43E0-4902-AD14-D7C987A8E645}: NameServer = 192.168.2.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Maya 6.5 Documentation Server (maya65docserver) - Unknown owner - D:\Programme\Alias\Maya6.5\docs\wrapper.exe
O23 - Service: SAPDB:  .M750024 (SAP DBTech-.M750024) - MySQL MaxDB - c:\programme\sdb\7500\pgm\kernel.exe
O23 - Service: SAPDB:  .M750024 (quick) (SAP DBTech-.M750024 (quick)) - MySQL MaxDB - c:\programme\sdb\7500\pgm\quickknl.exe
O23 - Service: SAPDB:  .M750024 (slow) (SAP DBTech-.M750024 (slow)) - MySQL MaxDB - c:\programme\sdb\7500\pgm\slowknl.exe
O23 - Service: SAPDB:  .M750024 (omststknl.exe) (SAP DBTech-.M750024 (test)) - Unknown owner - c:\programme\sdb\7500\pgm\omststknl.exe (file missing)
O23 - Service: SAPDB:  ORATEST (SAP DBTech-ORATEST) - MySQL MaxDB - c:\programme\sdb\7500\pgm\kernel.exe
O23 - Service: SAPDB:  ORATEST (quick) (SAP DBTech-ORATEST (quick)) - MySQL MaxDB - c:\programme\sdb\7500\pgm\quickknl.exe
O23 - Service: SAPDB:  ORATEST (slow) (SAP DBTech-ORATEST (slow)) - MySQL MaxDB - c:\programme\sdb\7500\pgm\slowknl.exe
O23 - Service: SAPDB:  ORATEST (omststknl.exe) (SAP DBTech-ORATEST (test)) - Unknown owner - c:\programme\sdb\7500\pgm\omststknl.exe (file missing)
O23 - Service: SAP DB WWW (SAPDBWWW) - Unknown owner - c:\programme\sdb\programs\web\pgm\wahttp.exe
O23 - Service: SAPDBXIE - Unknown owner - c:\programme\sdb\programs\web\pgm\sapdbxie.exe
O23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\system32\wltrysvc.exe
O23 - Service: XServer - MySQL MaxDB - c:\programme\sdb\programs\pgm\serv.exe

Ich hoffe mir kann da jemand helfen denn ich will mein System nur sehr ungerne neu aufsetzen!

 

[general-of-omega]

deinstallier antivir, installier nen anderen scanner, z.B. Avast oder AVG die enfernen viren besser als antivir

 

[stabeule]

Bist du schon mal im abgesicherten Modus gegangen und hast dort versucht sie zu entfernen? Hast mal Spybot 1.4 probiert?

 

[below]

spybot und alles versucht...antivir löscht ihn ja, er kommt nur leider wieder. Ich hab in einigen anderen Foren schon gelesen das viele Virenscanner da Probleme machen. Im abgesicherten Modus hab ich es auch schon probiert.

Werde mal eben die anderen Scanner ausprobieren. Falls es damit nicht gehen sollte, hat da noch jemand einen Rat?

 

[MetalKing]

Schau mal bei Symantec nach, vielleicht haben die ein Removal-Tool für dein problem.

Met@l

 

[bommel]

Gib die gefundenen Dateinamen mal bei Google ein. So solltest Du eigentlich Anleitungen finden wie man sich der lästigen Teile "manuell" entledigt.

 

[below]

Ich hab jetzt mal Avast installiert und er hat nach einem Neustart einen Virenscan gemacht. Dort wurden wieder 2 Trojaner gefunden und gelöscht. Bis jetzt kamen im Betrieb auch keine Meldungen mehr. Mal abwarten...

 

[chickenjorge]

Mal Tipp von mir :
Panda runterladen - Testversion updaten - laufen lassen - wundern was Panda noch alles entdeckt - system clean! Klappt sicher und zuverlässig!!
Gruss Chickenjorge

 

[below]

also avast hat zwar die viren gefunden und gelöscht aber sie kommen genauso wie bei antivir ständig wieder. dann halt jetzt mal panda

 

[byte_head]

Ich hab im MOment die Kaspersky Profesionell Trial, ich kann es jedem nur empfehlen, is echt gut!

 

[chickenjorge]

schmeiss aber erst die übrigen antivirprogramme runter!! und poste mal wies gepfunzt hat!!

 

[rND]

Habe genau das gleiche Problem mit den Trojanern.
Gibt es ein kostenloses Tool speziell gegen Trojanern?

 

[chickenjorge]

RND - Lesen - Panda

 

[rND]

RND - Lesen - Panda

ja aber panda ist leider nicht kostenlos

 

[below]

ist auch alles zwecklos, der trojaner geht mit den normalen antivir progs net weg.

Anleitung

Entweder oben den langen Weg gehen oder den Tip von Emilio befolgen und den ABIremover benutzen! Bei mir hat es funktioniert!

 

[manu`]

kaspersky in der auf der hersteller homepage aktuell verfügbaren trial version knackt dieses kleine hölzerne pferdchen auch (natürlich erst nach database update). ich habe eigentlich noch nichts gehabt, dass der gute alte russe nicht entfernt hat. klasse programm.

 

[PuppetMaster]

1. Systemwiederherstellung aus
2. im abgesicherten Modus fixen

Anders wird wohl auch der beste Scanner nicht helfen.

 

[chickenjorge]

Zu Rnd :

Stimmt, Panda ist nicht kostenlos, hat aber eine Testversion, die man einmal updaten kann und somit hat man alle Tagesaktuellen Signaturen. Auch wenn andere Antivirprogramme diesen Trojaner nicht finden, kann ich below nur Raten diesen Weg zu gehen. Ich habe den Tipp schon diversen Leuten gegeben die extrem verzweifelt waren und es hat jedes mal gepfunzt. Nur wenn er sich die wenige Zeit nicht nehmen will - viel spass weiterhin mit dem Trojaner.