Logfile of HijackThis v1.99.0
Scan saved at 23:52:03, on 15.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\cisvc.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\ewido\security suite\ewidoctrl.exe
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Skype\Phone\Skype.exe
D:\WINDOWS\System32\cidaemon.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\charlie\LOKALE~1\Temp\Rar$EX00.972\HijackThis.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\WINDOWS\system32\NOTEPAD.EXE
D:\DOKUME~1\charlie\LOKALE~1\Temp\Rar$EX11.149\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096188294358
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

@charlie1
hast du wieder etwas versteckt was HJT nicht aufdeckt?

chaosman

@chaosman, nein hier ist etwas fürchterlich nach hinten los gegangen!!!
Habe mit Flux rumgespielt, verschiedene Packer benutzt, versucht zu hexen, persistant benutzt und nun finde ich das Teil selbst nicht wieder!!!
Nicht mal ein neues Image funtzt!!!
Habe die Möhre sofort aus den Netz genommen, da das Ding reverse ist und ich nicht weiß, ob meine Schotten halten.
Wird Zeit das ich VM Ware zum laufen bringe.
Werde am WE richtig Forensik machen müssen und das kann dauern, ich will ja wissen wo das Ding hin ist und danach wird formatiert, die Nummer ist mir einfach zu heiß!
So das zu meinem GAU.
Liebe Grüße, Charlie

Juchhu, habe das Teil gefunden, dass sich aber das Ding so einfach verstecken lässt, dass man es selbst erst mal nicht findet, habe ich nicht erwartet.
Alle Scanner, ohne Ausnahme liefen ins leere.
Ich möchte wirklich keine Panik machen, denn dazu bin ich wahrlich nicht der Typ, aber wenn man so ein Teil übergeholfen bekommt und das ausführt, ja das muss man immer noch selbst machen, oder auch nicht?!(downloder von einer Seite), merkt man, wenn man eine hohe Bandbreite hat und die Traffig nicht kontrolliert erst mal nichts und wenn dann der Angreifer, den Server wieder entfernt, also alle wichtige Sachen im Kasten hat, sind fast alle Spuren weg und dann kann man formatieren ohne Ende es nützt einfach nichts!
Falls man so eine Sache überhaupt merkt, ist es doch gar nicht so abwegig den Server einzuschicken, denn wenn man den zerlegt, ist noch so einiges zu sichern, deswegen verstehe ich auch nicht, dass die Beiträge von einer Person, die ich wirklich nicht kenne, weder real noch aus dem IN, so arrogant in den Mülleimer geschmissen werden.
So, nun muss ich schauen wie ich den Flux wieder loswerde.

explorer.exe beenden --> Den Prozess in den sich Flux eingeschleust hat beenden --> Regisrty Einträge entfernen --> Die erstellte eigentliche Server-Exe löschen --> Explorer.exe wieder starten -->

Na schauen wir mal, aber ich glaube so einfach wird es nicht.
Liebe Grüße, Charlie

Nachtrag; der Flux-Rechner ist nicht im WAN!