Hallo, ich "Absoluter LAIE", gerade PC tauglich... hab Euch gefunden! ;-)
Ich brauche Eure Hilfe, hab mir ja schon einiges durchgelesen aber dennoch immer wieder auf Bahnhof gestoßen!
Vorab muß ich sagen bitte alle Hilfeangebote (Ich dank Euch jetzt schon) mit Anleitung für eine Laiin... Tut mir ja auch leid! Noch kurz, ich brauche unbedingt die Dateien auf meinem Rechner! Also Hiiilfe!

Gruß Laikabu

Hallo.

Diese Fälle der ausgespähten Kontendaten häufen sich in letzter Zeit!
Poste bitte zur ersten Grobanalyse des System ein Hijackthis-Logfile.

Hallo, also ich hoffe ich habe es richtig gemacht!
Bitte helft schnell weiter...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:39, on 30.10.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\drivers\dcfssvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
C:\WINNT\system32\lsess.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\CyberLink\PowerDVD\PowerDVD.exe
C:\WINNT\Dit.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\TomTom HOME\TomTomHOME.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINNT\system32\internat.exe
C:\Programme\ASCOMP Software\BackUp Maker\bkmaker.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\WINNT\system32\HPZipm12.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rft-reitsport.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [PowerDVD] C:\Programme\CyberLink\PowerDVD\PowerDVD.exe /autostart
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BackUp Maker.lnk = C:\Programme\ASCOMP Software\BackUp Maker\bkmaker.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164889343109
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8CE710D-42AE-4EC9-A55D-C5BA19297247}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINNT\system32\drivers\dcfssvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: ptssvc - KODAK - C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
O23 - Service: Remote Access Connection Managers (rassman) - Unknown owner - C:\WINNT\system32\lsess.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9197 bytes

Hallo nochmal.

Code: Alles auswählenAufklappen

ATTFilter

C:\WINNT\system32\lsess.exe
         

Dieser Prozess bereitet mir Sorgen. Versuch diese Datei mal bei Virustotal auswerten zu lassen und poste sämtliche Ergebnisse.
Lass dir vorher alle Dateien anzeigen.

hallo,
probiers mal damit:

Derzeit bleibt (neben einer Neuinstallation):
a)
Windows CD einlegen und Recovery Console (Repair) booten, dort in das system32-Verzeichnis wechseln ("cd \windows\system32"), "attrib -ahr ntos.exe" eingeben und danach die ntos.exe mittels "del ntos.exe" löschen. "exit" zum Beenden der Console.
b)
Mittels des Tools Rootkit Unhooker (rku.nm.ru) kann via Register "File" nach ausgelendeten Dateien gesucht werden - falls eine ntos.exe gefunden wird, kann via rechtsklick im Kontextmenue "wipe file" ausgewählt werden. Dies überschreibt die ntos.exe. Nach einem Systemneustart ist das trojanische Pferd nicht mehr aktiv. Nun kann die Datei im normalen Explorer gelöscht werden.
Allerdings muss darauf hingewiesen werden, dass das Rootkit Unhooker von einer Gruppierung stammt, die in der Vergangenheit selbst Viren programmiert hat (z.B. stammt der erste metamorphe Virus von dieser a29 Gruppierung) ... andere Anti-Rootkit-Tools wie IceSword, Revealer, GMER ... können zwar den Rootkit erkennen nicht jedoch bereinigen.
Bei beiden Varianten bleiben die Registry-Eintragungen erhalten.
wsnpoem wird über HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\ntos.exe,"
beim Systemstart (im Kontext winlogon.exe) ausgeführt.
Die Zeile sollte wieder auf Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
geändert werden.



UPDATE:

Es gibt nun ferner ein kostenloses Tool namens McAfee Rootkit Detective 1.0
(http://vil.nai.com/vil/averttools.aspx) welches diese wsnpoem-Variante erkennt und die ntos.exe (sowie den wsnpoem-Ordner) im laufenden System "umbenennen" kann.
Nach einem Systemneustart ist die ntos.exe danach nicht mehr aktiv und kann durch Virenscanner gelöscht werden.


Viel Erfolg !

Hallo, das ist die Datei lsess.dll, da war noch ne andere! Reicht diese??


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.1.0 2007.10.31 Win-Trojan/QQPass.135168
AntiVir 7.6.0.30 2007.10.31 TR/Delphi.Downloader.Gen
Authentium 4.93.8 2007.10.31 W32/Backdoor.BMGT
Avast 4.7.1074.0 2007.10.31 Win32:QQRob-BK
AVG 7.5.0.503 2007.10.31 PSW.Delf.ACQ
BitDefender 7.2 2007.10.31 Backdoor.Delf.ASH
CAT-QuickHeal 9.00 2007.10.31 TrojanPSW.QQRob.lg
ClamAV 0.91.2 2007.10.31 -
DrWeb 4.44.0.09170 2007.10.31 BackDoor.Klj
eSafe 7.0.15.0 2007.10.28 Win32.Trojan
eTrust-Vet 31.2.5256 2007.10.31 Win32/Puppetcorpse
Ewido 4.0 2007.10.31 Trojan.QQRob.lg
FileAdvisor 1 2007.10.31 High threat detected
Fortinet 3.11.0.0 2007.10.19 W32/QQRob.ABW!tr.pws
F-Prot 4.3.2.48 2007.10.31 W32/Backdoor.BMGT
F-Secure 6.70.13030.0 2007.10.31 Backdoor.Win32.Delf.ash
Ikarus T3.1.1.12 2007.10.31 Backdoor.Win32.Hupigon.bde
Kaspersky 7.0.0.125 2007.10.31 Backdoor.Win32.Delf.ash
McAfee 5152 2007.10.30 BackDoor-CXI
Microsoft 1.2908 2007.10.31 -
NOD32v2 2630 2007.10.31 a variant of Win32/PSW.QQRob.NAQ
Norman 5.80.02 2007.10.31 W32/QQRob.BKK
Panda 9.0.0.4 2007.10.31 Trj/QQRob.MA
Rising 19.47.21.00 2007.10.31 Backdoor.Jusi.aa
Sophos 4.23.0 2007.10.31 Mal/Generic-A
Sunbelt 2.2.907.0 2007.10.31 -
Symantec 10 2007.10.31 Backdoor.Trojan
TheHacker 6.2.9.110 2007.10.27 Backdoor/Delf.ash
VBA32 3.12.2.4 2007.10.31 BackDoor.Klj
VirusBuster 4.3.26:9 2007.10.31 -
weitere Informationen
File size: 135168 bytes
MD5: 58a1b347eb4cb768d11de4311acc5e22
SHA1: ab350547655a8d69282b2f68a1322d4457ab2e08
Bit9 info: Bit9 FileAdvisor - Search Results

Ok... das ist die andere (lsess.exe):

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.1.0 2007.10.31 -
AntiVir 7.6.0.30 2007.10.31 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.10.31 -
Avast 4.7.1074.0 2007.10.31 Win32:Virtualizer
AVG 7.5.0.503 2007.10.31 SHeur.LQW
BitDefender 7.2 2007.10.31 -
CAT-QuickHeal 9.00 2007.10.31 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.10.31 Trojan.Crypted-3
DrWeb 4.44.0.09170 2007.10.31 BackDoor.Rpcs
eSafe 7.0.15.0 2007.10.28 Suspicious File
eTrust-Vet 31.2.5256 2007.10.31 -
Ewido 4.0 2007.10.31 -
FileAdvisor 1 2007.10.31 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.31 -
F-Secure 6.70.13030.0 2007.10.31 -
Ikarus T3.1.1.12 2007.10.31 Backdoor.Win32.Hupigon.dkl
Kaspersky 7.0.0.125 2007.10.31 -
McAfee 5152 2007.10.30 New Malware.fi
Microsoft 1.2908 2007.10.31 -
NOD32v2 2630 2007.10.31 -
Norman 5.80.02 2007.10.31 -
Panda 9.0.0.4 2007.10.31 Suspicious file
Prevx1 V2 2007.10.31 -
Rising 19.47.21.00 2007.10.31 -
Sophos 4.23.0 2007.10.31 Mal/Packer
Sunbelt 2.2.907.0 2007.10.31 VIPRE.Suspicious
Symantec 10 2007.10.31 Backdoor.Graybird
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.31 BackDoor.Klj
VirusBuster 4.3.26:9 2007.10.31 -
Webwasher-Gateway 6.6.1 2007.10.31 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 123392 bytes
MD5: 9e107e573476671cf10a5781a426ee43
SHA1: c2d0a63faeb8fa6551fe46f365c613225c8ac93c
packers: Klone.AF
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Sry, ich habs befürchtet.

Zitat:

...
F-Prot 4.3.2.48 2007.10.31 W32/Backdoor.BMGT
F-Secure 6.70.13030.0 2007.10.31 Backdoor.Win32.Delf.ash
Ikarus T3.1.1.12 2007.10.31 Backdoor.Win32.Hupigon.bde
Kaspersky 7.0.0.125 2007.10.31 Backdoor.Win32.Delf.ash
McAfee 5152 2007.10.30 BackDoor-CXI
...

Bei der ausgewerteten Datei handelt es sich um einen Schädling mit Backdoorfunktionen. Einzig sinnvolle Methode das zu bereinigen ist das Neuaufsetzen. Folge dem gleichnamigen Link in meiner Signatur.

Als Windows-2000-Benutzer musst du aber einiges beachten, bevor du mit dem frischen W2k wieder ins Internet gehst:

1.)
Man geht nie ohne sicherheitsrelevante Patches ins Internet. Besorg dir daher auf jeden Fall vorher das SP4 für W2k, das Update Rollup 1 für SP4 und nachfolgende Patches alles von sauberen Rechnern (wenn nicht schon irgendwie vorhanden) - in von mir genannter Reihenfolge auch bitte installieren.
Wenn du einen Router hast, kannst du diese Updates aber auch vom völlig nackten noch ungepatchtem System herunterladen und nacheinander installieren. Das ist dann aber das allererste was du überhaupt machst. Besser wäre es, erst ins Netz zu gehen, wenn die Kiste möglichst auf einem hohen Patchlevel ist.

2.)
Windows 2000 bietet keine hostbasierte "Firewall" (Paketfilter, Windows-Firewall) an, daher solltest du unbedingt bei W2K unnötige Dienste beenden (siehe www.ntsvcfg.de).
Allerdings nur, wenn du keinen Router verwendest - mit Router sind deine Windowsdienste von außen nicht erreichbar (sofern du nicht explizit was umkonfiguriert hast im Router).

3.)
Standardmäßig ist bei W2k nat. nur der Internet Explorer 5 drin. Achte darauf, dass die Version 6 eingespielt wird (IE7 läuft nicht unter W2K!), entweder per manuellem Windowsupdate über die Windowsupdate-Seite oder per automatische Updates.
Als Standardbrowser aber besser doch einen aktuellen Alternativbrowser wie Firefox oder Opera verwenden.

Was meinst Du mit Patches? Bei dem Link versteh ich nur Bahnhof? Was muß ich mir da besorgen?

Mit den Patches mein ich die Hotfixes, die Microsoft herausgebracht hat. SP4 und das UR1 sollten ja klar sein oder? Was ich verlinkt habe, ist eine ganze Sammlung aller Patches, damit du nicht jeden einzeln herunterladen musst.