Hallo Leute, ich verzweifle bald. Dachte eigentlich immer, dass ich wenigstens ein bisschen Ahnung von PC´s habe, aber das hier bringt mich zur Verzweiflung.

Seit ca. 2 Tagen bekomme ich wahrscheinlich einen Trojaner einfach nicht vom System (sogar 2 Systeme).

Jedesmal beim Systemstart, baut die explorer.exe im %Windir% Verzeichnis eine Verbindung zum Internet auf und verursacht permantenten Download-Traffic auf meiner Internet-Leitung. Erst wenn ich die Internet-Verbindung trenne und wiederherstelle ist damit Schluss.

So sieht das aus:

http://img112.imageshack.us/img112/9310/trojaner5as.jpg
zu dieser adresse will der Explorer hin

http://img112.imageshack.us/img112/27/trojaner21qp.jpg
wieder ne .it adresse ... toll

Ich habe so mittlerweile alle möglichen Trojaner-Scanner / Antiviren-Programme probiert, die es gibt und vor allem als gut eingestuft sind. Kein Einziges hat was gefunden! Was soll das? Hjackthis sagt auch es wäre alles ok.

Wenn ich der explorer.exe den Zugriff verwehre ist das ganze System instabil, wie sau. Ist ja eigentlich logisch. Der Explorer braucht ja auch Zugriff zum Netzwerk um richtig zu laufen. Es gäbe da jetzt noch ne möglichkeit mit ner anderen Firewall (mit mehr Funktionen) diese Adresse auf der Explorer.exe zu sperren aber das ist für mich auch nicht die Lösung.

Wie bekomme ich den Mist wieder weg? Bitte helft mir .... :redface:

Alle Updates fürs BS drauf?
Poste mal dein Hijackthislog!

mfg

Alle Updates fürs BS drauf?
Poste mal dein Hijackthislog!

mfg

Alle Updates drauf.

-->

Logfile of HijackThis v1.99.1
Scan saved at 15:19:18, on 07.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
P:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
P:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
P:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\CTHELPER.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\YzShadow\YzShadow.exe
P:\Programme\FRITZ!DSL\FwebProt.exe
P:\Programme\FRITZ!DSL\StCenter.EXE
P:\Programme\WinRAR\WinRAR.exe
P:\Programme\Opera\Opera.exe
z:\Temp\Rar$EX18.890\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - P:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [DAEMON Tools] "P:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - Startup: FRITZ!DSL Protect.lnk = P:\Programme\FRITZ!DSL\FwebProt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - P:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - P:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: p:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: p:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: p:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: p:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: p:\programme\fritz!dsl\sarah.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131733499296
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139745968562
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O20 - Winlogon Notify: csrcs - C:\WINDOWS\SYSTEM32\csrcs.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - P:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - P:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O20 - Winlogon Notify: csrcs - C:\WINDOWS\SYSTEM32\csrcs.dll
das ist äußerst suspekt.
Ich schlage vor, du deaktivierst diesen Eintrag und Scannst dein System mal mit SpyBot und Adaware und scannst nach Viren.

Ich bin aber auch ein Depp! Hab doch glatt diese dumme Winlogon Notify: csrcs - C:\WINDOWS\SYSTEM32\csrcs.dll Datei übersehen! Die gehört da natürlich nicht hin! Das war nämlich der Übeltäter!

Da frage ich mich aber natürlich warum zum Teufel kein Trojaner-Scanner diese Datei als schädlich deklariert! ..... :|

Danke trotzdem!

Edit: Ups Posts überschnitten .... ;) Wenn ich nicht selber drauf gekommen wäre. dann wärst du meine Rettung gewesen, Sephiroth :D

Da frage ich mich aber natürlich warum zum Teufel kein Trojaner-Scanner diese Datei als schädlich deklariert! ..... :|

Antwort: Weil kein AV-Tool dieser Welt eine 100%-ige Erkennung hat und dir kein AV-Tool eine 100%-ige Sicherheit garantieren kann.
Selbst wenn du 1000 verschiedene Tools nutzt und alle sagen, dein System sei clean, kann es trotzdem infiziert sein.

Antwort: Weil kein AV-Tool dieser Welt eine 100%-ige Erkennung hat und dir kein AV-Tool eine 100%-ige Sicherheit garantieren kann.
Selbst wenn du 1000 verschiedene Tools nutzt und alle sagen, dein System sei clean, kann es trotzdem infiziert sein.

Jo das habe ich nun auch gemerkt. Zu dieser DLL Datei gibts selbst bei google nichts. Komisch. Naja was solls, hauptsache der Mist ist weg ;)

Jo das habe ich nun auch gemerkt. Zu dieser DLL Datei gibts selbst bei google nichts. Komisch. Naja was solls, hauptsache der Mist ist weg ;)

Ich wäre mir nicht so sicher, ob "alles" weg ist. Je nachdem, was es für ein Virus war, hat er eventuell schon weitere Hintertürchen auf deinem PC geöffnet. Dann kannst du zwar den Virus selber löschen, aber seine Auswirkungen bleiben weiterhin aktiv.
Ich will auf keinen Fall Paranoia schieben, aber das sicherste wäre es, das System neu aufzusetzen und dannach alle Passwörter im Internet abändern.

Jaja, Windows.

Windows und Trojaner X
Windows und Trojaner Y
Windows und Trojaner Z
Windows und....

Brüllend komisch wenns net so traurig wäre.

Jaja, Windows.

Windows und Trojaner X
Windows und Trojaner Y
Windows und Trojaner Z
Windows und....

Brüllend komisch wenns net so traurig wäre.

Und was wolltest du uns jetzt damit sagen?

Daß ich die Leidensfähigkeit und den Willen zur bedingunslosen Unterwerfung unter dieses Müll-OS irgendwie bewundere ;D

Daß ich die Leidensfähigkeit und den Willen zur bedingunslosen Unterwerfung unter dieses Müll-OS irgendwie bewundere ;D

Kannst du mal bitte aufhören diesen (meinen) Thread zuzumüllen? Danke!

Ich wäre mir nicht so sicher, ob "alles" weg ist.

Naja er baut ja jetzt keine aktive Verbindung mehr auf. Es ist also alles still nach dem Anmelden (außer die gewollten Sachen - FritzDSL z.b.).

Ich habe mir jetzt mal TCP-View auf den Computer geknallt. Werde da jetzt öfter mal ein Auge drauf werfen, ob da in nächster Zeit was Ungewolltes kommt.

Hast Du die Datei noch? Ich könnte sie untersuchen wenn Du willst.

Hast Du die Datei noch? Ich könnte sie untersuchen wenn Du willst.

Ne du habsch nicht mehr. Sorry. Aber wer weiß, vielleicht kommts nochmal ;D