Trojaner !! Brauche Hilfe !!!

Wie man aus dem Titel unschwer erkennen kann habe ich einen Trojaner auf meinen Pc und bekomme dieses unschöne etwas von da nicht herunter, da er sich in System32 eingenistet hat. Ich weiß also welche Datei die betroffene ist (geBuSKBt.dll) kann sie aber nicht löschen werde stattdessen alle 5min mit Meldungen(von Antivir) genervt,dass ich einen Trojaner hab.

Ich weiß die Erklärung war etwas kurz,fragt einfach nochmal nach.

 

Komme aber nicht in denn abgesicherten Modus und ich drücke bei booten die ganze Zeit F8

 

Erstmal bedanke ich mich für
eure Antworten

Ich gebe euch jetzt ein paar Zusatzinformation, die ich hätte besser von Anfang an hier reinstellen sollen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:47:46, on 22.04.2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\AntiVir PersonalEdition Premium\avguard.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\AntiVir PersonalEdition Premium\sched.exe
I:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
I:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
I:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
I:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
I:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\Programme\CyberLink\Shared Files\RichVideo.exe
I:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
I:\Programme\Java\jre1.6.0_05\bin\jusched.exe
I:\WINDOWS\RTHDCPL.EXE
I:\Programme\RivaTuner v2.08\RivaTuner.exe
I:\Programme\CyberLink\PowerDVD\PDVDServ.exe
I:\WINDOWS\system32\RUNDLL32.EXE
I:\WINDOWS\CNYHKey.exe
I:\Programme\iTunes\iTunesHelper.exe
I:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
I:\WINDOWS\TBPanel.exe
I:\WINDOWS\mHotkey.exe
I:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
I:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\U-ABIT\uGuru\uGuru.exe
I:\WINDOWS\system32\wbem\wmiapsrv.exe
I:\WINDOWS\ALCFDRTM.EXE
I:\Programme\iPod\bin\iPodService.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - I:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} - I:\WINDOWS\system32\geBuSKBt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {D2EF1978-192F-4151-9881-D67D5CD59394} - I:\WINDOWS\system32\efcBtqPj.dll (file missing)
O4 - HKLM\..\Run: [TkBellExe] "I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RivaTuner] "I:\Programme\RivaTuner v2.08\RivaTuner.exe" /T
O4 - HKLM\..\Run: [RemoteControl] I:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] I:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [LanguageShortcut] I:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] I:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [iTunesHelper] "I:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] I:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Gainward] I:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [avgnt] "I:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "I:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [36X Raid Configurer] I:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKCU\..\Run: [NVIDIA nTune] "I:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [LightScribe Control Panel] I:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [DAEMON Tools Lite] "I:\Programme\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ABIT uGuruIII] I:\Programme\U-ABIT\uGuru\uGuru.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - I:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - I:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O20 - Winlogon Notify: geBuSKBt - I:\WINDOWS\SYSTEM32\geBuSKBt.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - I:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - I:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - I:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - I:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - I:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - I:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - I:\WINDOWS\system32\sfrem01.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - Unknown owner - I:\WINDOWS\System32\TuneUpDefragService.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - I:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe (file missing)

--
End of file - 8452 bytes


Ich habe selbst schon überlegt welche prozesse die dll verwenden und die Wahrheit sieht zumindest für mich eher dunkel aus. Und zwar:


explorer.exe
winlogon.exe

ich glaube deshalb auch nicht das der abgesicherte Modus dabei Abhilfe verschafft, aber da ich gar nicht erst dahin komme...


aber das mit dem knoppix müsst ihr mir nochmal erklären.

 

Hab ich auch schon probiert aber die drei die sich nicht deaktivieren lassen (remut... usw.) von denen wird die dll verwendet

 

hab ich doch schon gesagt winlogon.exe und explorere.exe sowieso