kann "trojan-gen(other)" nicht ordentlich von meinem Rechner entfernen.

Situation:
- Rechner hochfahren
- Internetverbindung öffnen (mit T-Online-Software; DSL-Anschluss)
- Je nach Einstellung wird InternetExplorer oder FireFox geöffnet;
- gleichzeitig zeigt AVAST an, dass er trojan-gen(other) gefunden hat (in installer.exe in einem temp-Verzeichnis unter DokumenteUndEinstellungen)
- in einem zusätzliche IE-Fenster wird versucht auf eine InternetSite www.elitebadass.de zuzugreifen (die allerdings nicht gefunden wird)

- Avast kann o.g. installer.exe entfernen
- Internetverbindung bzw. IE kann nun beliebig oft geschlossen und wieder geöffnet werden.

- nach Neustart des Rechners: Situation wie oben

Weiss jemand Rat?

@korolla
poste bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493

chaosman

Hier das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:51:47, on 20.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Nhksrv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\DELLMMKB.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\servicez.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\IE-DB.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Netropa\OSD.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\DOKUME~1\Karola\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gurrathsoftware.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gurrathsoftware.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [Windows Services] servicez.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGRUN] C:\IE-DB.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\RunServices: [Windows Services] servicez.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112125295534
O17 - HKLM\System\CCS\Services\Tcpip\..\{81A85178-F897-46CE-B498-9AB4915C2503}: NameServer = 217.237.150.33 217.237.151.161
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Du kannst diese Datei:

C:\WINDOWS\system32\servicez.exe

mal im Takmanager unter Prozesse beenden und dann hier hochladen:

http://virusscan.jotti.org/de/

Teile uns das Ergebnis mit.

Sollte sich bestätigen, dass du ein Backdoor drauf hast (was imho zu 99,9% sicher ist), solltest du dein system neuaufsetzen.Am besten nach folgender Anleitung um ähnliches in Zukunft zu vermeiden:

http://www.trojaner-board.de/showthread.php?t=12154

Warum eine Bereinigung in dem Fall nicht helfen kann:

http://www.mathematik.uni-marburg.de...al.html#sec2.5

Danke für den Tipp. Es wurde anscheinend jede Menge gefunden:

Status:
INFIZIERT/MALWARE Entdeckte Packprogramme:
PE_PATCH.MORPHINE, MORPHINE
AntiVir Worm/SdBot.193536.5 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Backdoor.RBot.B3E9E005 gefunden
ClamAV Keine Viren gefunden #
Dr.Web Win32.HLLW.MyBot.based gefunden
F-Prot Antivirus W32/Spybot.ICT gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen gefunden
mks_vir Win32.4 gefunden (moegliche Variante)
NOD32 Win32/Rbot gefunden
Norman Virus Control W32/Spybot.KKH gefunden
VBA32 Keine Viren gefunden


Was empfehlt ihr als Profis?

Danke für eure Antwort

Du wurdest Opfer eine Backdoors.

In diesem Fall hilft nurNeuaufsetzen und zwar nach folgender Anleitung:

http://www.trojaner-board.de/showthread.php?t=12154

damit es in Zukunft nicht mehr zu sowas kommt.

Warum eine Bereinigung hier nicht hilft:

http://www.mathematik.uni-marburg.de...ompromise.html