Ja, so schaut ein HJT, nach einer Infizierung aus!

Logfile of HijackThis v1.99.0
Scan saved at 23:54:00, on 01.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\cisvc.exe
D:\Programme\ewido\security suite\ewidoctrl.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\System32\cidaemon.exe
D:\Programme\internet explorer\iexplore.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\charlie\LOKALE~1\Temp\Rar$EX01.552\HijackThis.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\charlie\LOKALE~1\Temp\Rar$EX00.761\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\System32\scvhost.exe
F3 - REG:win.ini: load=D:\WINDOWS\System32\scvhost.exe
F3 - REG:win.ini: run=D:\WINDOWS\System32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Generic Host Process] D:\WINDOWS\System32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] D:\WINDOWS\System32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096188294358
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Also, nicht ganz sauber und in ca einer Stunde, weiß ich wie man das Ding killt!
LG, Charlie

Interessant find ich das hier:

F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\System32\scvhost.exe
F3 - REG:win.ini: load=D:\WINDOWS\System32\scvhost.exe
F3 - REG:win.ini: run=D:\WINDOWS\System32\scvhost.exe

Könnte mir bitte jemand den Server mal zukommen lassen?

Frohes Neues übrigens an alle!

Was ist daran interessant? Das ist das typische Muster von Agobot. Oder Gaobot. Oder....

Es mag ja von akademischen Interesse sein, nachzuweisen, daß Ciadoor eine Variante von Agobot ist oder auch nicht.

Aber um Himmels Willen, man sollte doch aufgrund dieses akademischen Interesses nicht die gegenwärtige Situation vergessen. Der Rechner gehört neu aufgesetzt, und zwar jetzt, und nicht in zwei Wochen.

Cobra

Das Schlimmste an der Sache ist, dass das erste Logfile bis auf die Startseite sauber war.

Aber das erste Log-File wurde ja auch zuvor erstellt und danach kam erst die Zweitinfektion durch CyberStriker sprich Ciadoor wurde erst später aktiv.

Genau das meine ich. Ohne "Cyberstriker" wäre das Problem wahrscheinlich mit wenige Handgriffen gelöst gewesen. Man kann sagen, dass er die gesamte Installation versaut hat!

Zitat:

Zitat von Cobra

Was ist daran interessant? Das ist das typische Muster von Agobot. Oder Gaobot. Oder....

Ein Bekannter von mir,der hier gerade zu Besuch ist,hat Informatik studiert!Die Möglichkeit besteht zwar,aber es muss sich nicht unbedingt um eine Agobot Gaobot oder Forbot Familie handeln,er hätte den Server eben mal gerne unter die Luppe genommen,mein Interesse ist da allerdings nicht so gross...
Er hatte heute Nachmittag nur den Thread verfolgt,und eben um die Frage gebeten!Mehr nicht!

Zitat:

Zitat von Cobra

Aber um Himmels Willen, man sollte doch aufgrund dieses akademischen Interesses nicht die gegenwärtige Situation vergessen. Der Rechner gehört neu aufgesetzt, und zwar jetzt, und nicht in zwei Wochen.
Cobra

Was anderes habe ich auch nicht behauptet;klar muss er neu aufsetzen!

So ist es Haui , aber wenn man wie schuh an das gute im Menschen glaubt und an die falschen Personen gerät...

Es wäre ja auch mal interessant, ob Cyberstriker in folgendem Thread jmh was untergejubelt hat:

http://www.trojaner-board.de/showthread.php?t=11343

Eigentlich müsste man ihn ganz einfach ausfindig machen können, wenn das seine "Homepage" ist. Ich kann mir auch nicht vorstellen, dass Arcor es gerne sieht, wenn die Kunden auf ihren Seiten Malware zum Download anbieten...

@ Haui45

Steh grad am Schlauch: Welche Homepage?

btw:
Anhand der abgespeicherten IP´s bei seinen Posts ist er ebenso leicht ausfindig zu machen.

Arcor-Kunden haben je nach Tarif auch Free-Webspace. Die Adresse lautet dann eigentlich immer home.arcor.de/NAME.
Bei dem besagten Link war es eben auch so: home.arcor.de/Name/fix.exe => er ist wahrscheinlich Arcor-Kunde. Homepage extra in Anführungszeichen, weil unter dem Verzeichnis home.arcor.de/Name nicht wirklich viel zu finden ist. Den echten Link hab ich übrigens noch, falls er dich interessiert.
mfg Haui

PS: das mit den IP's scheint mir aber ein kleines bisschen aufwändiger zu sein.

Ah, jetzt hab ich es verstanden.
Lass gut sein mit dem Link.

Natürlich ist es mit den gespeicherten IP´s aufwendiger, aber sollte es einen legalen Weg gehen sprich rechtliche Schritte nach sich ziehen, dann ist dies zwingend notwendig. Aber da kann Paranoia bestimmt mehr dazu schreiben.

Also bei arcor kann jeder Free Webspace haben,nicht arcor Kunden haben 25 MB pro Account/email Addy,und Arcor Kunden haben 50 MB,war nämlich da mal Kunde :-)

Sollte ja auch nur ein kleiner Denkanstoß sein
Da ich kein Jurist bin, hab ich bzgl. der rechtlichen Situation auch keine Anhnung...

edit: dass jeder Webspace bekommt, wusste ich nicht. Ich weiß nur, dass ich als Kunde 50mb hab