Was ist hoster.exe? zone alarm fragt mich ob ich dieser datei zugang gewähren will. meiner meinung nach gehört es nicht zu windows!

mein log:
Logfile of HijackThis v1.99.0
Scan saved at 12:47:43, on 06.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\WISPTIS.EXE
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Versatel\Versatel.exe
C:\WINNT\system32\hoster.exe
C:\Programme\firefox\firefox.exe
D:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - C:\Programme\UCmore\UCMIE.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: UCmore Toolbar - {53CBEE82-D747-11d3-9ED0-005004189684} - C:\Programme\UCmore\UCMIE.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Update Host] hoster.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Windows Update Host] hoster.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows Update Host] hoster.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{25167552-8694-4846-9201-2F7560D1E3E8}: NameServer = 212.7.148.65 212.7.148.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{25167552-8694-4846-9201-2F7560D1E3E8}: NameServer = 212.7.148.65 212.7.148.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{25167552-8694-4846-9201-2F7560D1E3E8}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Leadtek Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

grüsse

Hallo,

beende den aktiven Prozess (C:\WINNT\system32\hoster.exe) im TaskManager und überprüfe diese Datei bei http://virusscan.jotti.org/de. Poste anschliessend das Ergebnis.

So. Das kam dabei raus:

Service load:
0% 100%
File: hoster.exe
Status:
INFECTED/MALWARE
Packers detected:
PE_PATCH.DZA, MORPHINE, UPX

AntiVir
No viruses found (0.23 seconds taken)
Avast
No viruses found (1.51 seconds taken)
AVG Antivirus
No viruses found (0.83 seconds taken)
BitDefender
Backdoor.RBot.C94DCC1B (0.41 seconds taken)
ClamAV
Trojan.Mybot-949 (0.40 seconds taken)
Dr.Web
Win32.HLLW.MyBot.based (0.66 seconds taken)
F-Prot Antivirus
No viruses found (0.14 seconds taken)
Fortinet
No viruses found (0.42 seconds taken)
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen (2.14 seconds taken)
mks_vir
Trojan.Rbot.J31.A2 (0.71 seconds taken)
NOD32
Win32/Rbot.CLO (1.46 seconds taken)
Norman Virus Control
Sandbox: W32/Backdoor; [ General information ]

* **Locates window "NULL [class mIRC]" on desktop.
* File length: 90624 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\hoster.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "Windows Update Host"="hoster.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Windows Update Host"="hoster.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "Windows Update Host"="hoster.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.
* Connects to "napster.flashirc.org" on port 6667 (TCP).
* Connects to IRC server.
* IRC: Uses password r00l.
* IRC: Uses nickname NOR, 803400.
* IRC: Uses username ezkieyac.
* IRC: Joins channel #sux# with password inferno.
* IRC: Sets the usermode for user NOR, 803400 to +n+x+B+i.

[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

[ Process/window information ]
* Creates a mutex BoT.
* Will automatically restart after boot (I'll be back...). (4.35 seconds taken)

Statistics
Last piece of malware found was Trojan.Hacktool.John in john.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.22 seconds
Avast X 1.51 seconds
AVG Antivirus X 0.84 seconds
BitDefender Application.JohnTheRipper.A 0.37 seconds
ClamAV X 0.46 seconds
Dr.Web X 0.61 seconds
F-Prot Antivirus X 0.09 seconds
Fortinet X 0.43 seconds
Kaspersky Anti-Virus HackTool.Win32.John 0.63 seconds
mks_vir Trojan.Hacktool.John 0.22 seconds
NOD32 X 0.45 seconds
Norman Virus Control X 0.46 seconds


Service statistics:

4943 files (3727 of those unique) have been uploaded & scanned since 01/02/2005, the day of the last database purge.
977 of those 3727 files contained a virus or any other form of malware.
This page has been visited 10980 times in this time period.
This service managed to spot 72 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 617 suspicious files without any help from scanner results.
However, 0 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 100.00% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.

No I am not sitting still! A new, better version of this service is being developed.
If you have suggestions and/or comments, please send me them!
Most popular malware:

Rank Malware name Uploaded Last known filename
1 backdoor.win32.agobot.gen 37 times wootz0red.exe
2 trojan.spy.agent.y 34 times Private_XJump_v0.4.A_SE_GZP.exe
3 behaveslike:win32.irc-backdoor 19 times Morphed.exe
4 win32:rbot-ks 19 times winis.exe
5 behaveslike:win32.explorerhijack 19 times sgama32.exe
6 tr/lefeat.1 18 times d3ja.exe
7 backdoor.rbot.276506e5 17 times dilpopedcry3.exe
8 tr/agent.bd 16 times Mikes_Aimbot.zip
9 trojan.unremote.a 16 times RuNz_1_.HpRot.zip
10 worm/peybot.a 16 times xhenh.exe
11 behaveslike:trojan.downloader 15 times rundll.exe
12 win32:trojan-gen. {other} 15 times VBKeyHook.dll
13 bds/nuclear.14 12 times server.exe
14 worm/zusha.a 11 times ssdrbot.exe
15 dr/bridge.a.2 10 times bridge.dl_

Zitat:

Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen (2.14 seconds taken)

Aufgrund dessen, dass ein Backdoor Rbot.gen auf deinem System aktiv ist, solltest du zur deiner eigenen Sicherheit neu aufsetzen, siehe dazu den Link in meiner Signatur.

Gibts keine alternative?
Hab in letzter zeit einfach zu oft einen neuauflegung vollzogen. kann hoster nicht entfernt werden. gibt keine bessere firewall?

Zitat:

Zitat von clouseau

Gibts keine alternative?
Hab in letzter zeit einfach zu oft einen neuauflegung vollzogen. kann hoster nicht entfernt werden. gibt keine bessere firewall?

Nein, keine Alternative. Das Problem liegt nicht an einer Firewall, sondern an unzureichenden Sicherheitseinstellungen Deines Systems. Ist es vollständig gepatcht?

Vorgehensweise wie bei Cidre in der Sig beschrieben!

Besorg Dir vorher von einem sauberen Rechner alle Updates, die Dir noch fehlen. winboard.org ist dafür eine gute Anlaufstelle.

Gruß
Yopie

Zitat:

Gibts keine alternative?

Nein, es gibt keiner sichere Alternative für dich.

Zitat:

Hab in letzter zeit einfach zu oft einen neuauflegung vollzogen.

Halte dich an den Link und wenn du dann noch dein Surf- und Download Verhalten in den Griff kriegst, dann sollte es für eine lange Zeit das letzte Mal gewesen sein.

Zitat:

gibt keine bessere firewall?

Auch das wird dir im Link beantwortet (Link-Block).

Edit:
Yopie war schneller.