Virenprobleme

[Kazan]

Hallo,
hatte Probleme mit Trojanern etc. Bekomme trotz Neuaufspielung und Virenprogramme immer wieder Meldung über Trojaner im System. Kann mir jemand anhand meines Logfiles sagen, ob hier noch was zu retten ist, oder ob ich Neuaufspielen, neu partionieren etc. machen muss.

Logfile of HijackThis v1.99.1
Scan saved at 20:30:49, on 16.08.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Windows NT\horyhys2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0292EA38-D63A-452E-9283-927FF5289E16} - C:\WINDOWS\System32\ddabb.dll (file missing)
O2 - BHO: (no name) - {2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F} - C:\Programme\Outerinfo\Outerinfo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [bantool] C:\WINDOWS\system32\sdadlrow-t2.exe
O4 - HKLM\..\Run: [{70-00-0C-CA-ZN}] C:\windows\system32\lpdsregj.exe SKY008
O4 - HKLM\..\Run: [horyhys] C:\Programme\Windows NT\horyhys2.exe
O4 - HKLM\..\Run: [Windows System Update Tools] upds.exe
O4 - HKLM\..\Run: [bqbdrod] c:\windows\system32\bqbdrod.exe bqbdrod
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\RunServices: [Windows System Update Tools] upds.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: TA_Start.lnk = C:\WINDOWS\system32\dwdsregt.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 7040580089
O17 - HKLM\System\CCS\Services\Tcpip\..\{04C76838-5EF6-46F9-A48E-52B2ADC5BBFE}: NameServer = 81.173.194.68 194.8.194.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{04C76838-5EF6-46F9-A48E-52B2ADC5BBFE}: NameServer = 81.173.194.68 194.8.194.60
O20 - Winlogon Notify: winlxu32 - winlxu32.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: BitDefender Desktop Shield - Unknown owner - C:\WINDOWS\vsserv.exe (file missing)
O23 - Service: ddd5fsk5vheca - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

Vielen Dank für Feedback,
Gruß Kazan

[Zyrus]

Hallo,

ich bin kein freund von AntiVir, von daher empfehle ich dir mal avast.at zu besuchen und dir diesen Freeware-Scanner zu besorgen und nach erfolreicher Installation dein System im abgesicherten Modus zu starten. Dort solltest du den Virenscanner nochmal laufen lassen, wenn du dieses getan hast, lass Spybot nochmal durchlaufen, starte dann dein System neu und schau wie es läuft.. hast du dann immernoch Probleme, melde dich nochmal.

Greetz

Zyrus

[Kazan]

Erstmal Danke für die Info. Werde das mal so probieren. AntiVir erkennt übrigens die Trojaner immer. Das Problem ist nur, dass Sie nach jedem Neustart immer wieder da sind, also anscheinend von Antivir nicht richtig gelöscht werden.
Gruß Kazan

[BlueScreen-Bertrand]

Hallo,

arbeite das hier ab:

Lade die aktuellste Version von HijackThis hier herunter, und ersetze die alte Version.

1.: Lade die folgenden Dateien auf der Website http://www.virustotal.com/de/ hoch, um sie zu überprüfen:

Code: Alles auswählen

C:\Programme\Windows NT\horyhys2.exe

C:\WINDOWS\system32\sdadlrow-t2.exe

C:\windows\system32\lpdsregj.exe SKY008

C:\WINDOWS\system32\upds.exe

c:\windows\system32\bqbdrod.exe

2.: Starte Windows im abgesicherten Modus und lösche die folgenden Dateien und Ordner:

Code: Alles auswählen

C:\Programme\Outerinfo\Outerinfo.dll

C:\WINDOWS\System32\csrs.exe

C:\WINDOWS\system32\dwdsregt.exe

Lösche die in 1. genannten Dateien, falls sie bösartig sind. Poste den Bericht von Virustotal.

3.: Starte HijackThis erneut und wähle die folgenden Einträge durch Anhaken aus:

Code: Alles auswählen

O2 - BHO: (no name) - {0292EA38-D63A-452E-9283-927FF5289E16} - C:\WINDOWS\System32\ddabb.dll (file missing)

O2 - BHO: (no name) - {2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F} - C:\Programme\Outerinfo\Outerinfo.dll

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe

O4 - Startup: TA_Start.lnk = C:\WINDOWS\system32\dwdsregt.exe

O23 - Service: ddd5fsk5vheca - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)

Klicke dann auf Fix checked, um diese zu entfernen. Starte Windows neu.

4.: Deine Installation von Windows ist technisch nicht länger aktuell. Besuche die Website update.microsoft.com, um Windows zu aktualisieren und Sicherheitslücken zu schließen.
Service Pack 2 ist nocht nicht installiert!

5.: Erstelle mit HijackThis ein neues Logfile und poste es in CODE-Tags in diesen Thread.

[Kazan]

Super, Vielen Dank. Werde das morgen mal durchspielen und die Ergebnisse dann bekanntgeben. Das ich nicht die aktuelle Version von Windows habe war mir bewusst. Aber ich hatte es gerade erst drauf gespielt, und habe mir anscheinend direkt diesen ganzen Kram eingefangen.

Gruß Kazan

[pcgreenhorn]

Nur ein kleiner Tipp, falls sich eine Datei nicht hochladen lassen "will". Nimm den Unlocker, kopiere damit die gesperrte Datei zB auf den desktop und lade die Kopie hoch. Ich hatte erst neulich so ein Problem, der Unlocker hat Abhilfe schaffen können.

[Kazan]

Hallo,
eine Frage noch. Ich kann C:\Programme\Outerinfo\Outerinfo.dll nicht finden. Outerinfo gibt es, genau das gesuchte nicht. Was tun?
Gruß, Kazan

[BlueScreen-Bertrand]

Du musst versteckte Dateien sichtbar machen: http://www.madeonapc.de/kb/093/default.php
Du musst die Dateien weder auf das Desktop noch sonstwohin kopieren, verwende ausschließlich die Durchsuchen-Funktion von Virustotal.