Hallo,

Bin neu hier und habe meinen ersten Trojaner (sagen wir, der erste, den ich bemerkt habe). Seit etwa zwei Wochen ist meine Internetverbindung arg langsam, aber sonst nichts auffälliges. Nach einer Sytemwiederherstellung auf ein Datum, an dem noch alles funktionierte gab es folgende Effekte:

- Musik im Internet immer mal wieder
- der nie benutzte nicht angemeldete windows messenger taucht in der Taskleiste auf
- ein Prozess SOUNDMAN.EXE läuft und hat Registryeinträge erstellt
- die HOSTS.txt ist noch nicht verändert, aber Zugriffe auf Antivirenseiten sind nicht möglich bzw. sehr langsam

Bei Sophos steht was von einem W32/Agobot-JS

Mein Norton Antivirus findet NICHTS ! Andere Tools (Highjackthis, escan spybot.....) muß ich mir noch besorgen.

Was muß ich noch beachten? Hat das Ding was gesendet? Nutze ebanking, paypal, Kreditkarte im Internet. Muß ich alle Passwörter im Internet ändern?


Danke für die Hilfe,

Kimii

Hi,

scanne Dein system mal mit eScan beschreibung unten beachten

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Hier die Resultate mit EScan und HighJackThis

EScan:
Number of files: 98688
Number of viruses: 1

aus mwXface.log:
infected by not-a-virus:Tool.Win32.Reboot



HighJackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:06:26, on 18.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HighJT\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://iredirect.logitech.com/re.php...0&T=1039274227
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe



wurde beides im abgesicherten Modus ausgeführt. Was soll ich nun löschen.
Danke schon mal im voraus.

Kimii

Hallo @ Kimii

Ich sehe keine Anzeichen von Malware in deinem Log-File.

Zitat:

- Musik im Internet immer mal wieder

Das könnte normal sein (Flash Animationen besonders von Telekom)

Zitat:

- der nie benutzte nicht angemeldete windows messenger taucht in der Taskleiste auf

Ist zwar seltsam...(inaktive Symbole ausblenden)

Zitat:

- ein Prozess SOUNDMAN.EXE läuft und hat Registryeinträge erstellt

http://www.liutilities.com/products/...rary/soundman/

Zitat:

- die HOSTS.txt ist noch nicht verändert, aber Zugriffe auf Antivirenseiten sind nicht möglich bzw. sehr langsam

Welche Seiten?
Poste mal den Inhalt der hosts Datei:
Start -> Ausführen -> notepad %windir%\System32\Drivers\etc\hosts

Hi Cidre,

das war wirklich eine schnelle Antwort!

Also die Hosts.txt sieht normal aus: => 127.0.0.1 localhost

Das mit der Musik ist nicht mehr aufgetreten. War zweimal die gleiche auf unterschiedlichen Seiten. Habe die Windowsfirewall jetzt auf "ohne Ausnahme" gestellt. Bin aber trotzdem verunsichert. Internetverbindung (Modem) ist auch soooo langsam seit kurzem.
Vielleicht sollte ich den Rechner einfach neu aufsetzen vorsichtshalber ???

Kimii

@ Kimii

Zitat:

wurde beides im abgesicherten Modus ausgeführt.

poste doch auch noch mal ein HJT im normalen Modus