Hallo, bin hier am Rechner eines Kollegen, der mich um Hilfe gebeten hat....
Ich würde Ihm gerne Helfen, aber die Anwendung von gängigen Tools bringt
keine Verbesserung. Deshalb wende ich mich jetzt an die Profis....

Also... ich fand den Rechner mit etwa 20 Spy-tools vor.... und dem allseits bekannten desktop.html "Windows Error"... schwarzes Fenster auf bleuem Grund....

Spysweeper, Bitdefender, und Symantec Goabot fix, sowie Spybot Search&Destroy glauben das System wäre clean.... allerdings passieren hier mitunter Bitdefender Warnungen das Programme geblockt wurden....

Und das Desktopbild läßt sich immernochnicht ändern... Hier ist noch was faul... Würde mich freuen wenn Ihr mir nen Tipp geben könntet....

Hier das Logfile....


Logfile of HijackThis v1.99.1
Scan saved at 16:27:14, on 27.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Services\{71B6341D-E0AC-4C61-A91D-2440DA5BA6BB}\SVCHOST.EXE
C:\PROGRA~1\SecCopy\SecCopy.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Line\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Home\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [StarMoneyRunEntry] "C:\Programme\StarMoney Business 1.0 S-Edition\oflagent.exe"
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Second Copy 2000] "C:\PROGRA~1\SecCopy\SecCopy.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Programme\Offline Explorer\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Programme\Offline Explorer\Add_AllO.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
O23 - Service: {9fitnaegnl - Softwin - (no file)



PS: Sieht auf den ersten Blick eigentlich gut aus.... aber gebt mir mal nen OK, damit ich mich beruhigen kann

VLG Chris

@Christian Sturm

Zitat:

Sieht auf den ersten Blick eigentlich gut aus....

Tja , sieht einfach Prima aus

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Ungepatchtes System mit

Zitat:

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

mindestens einem Backdoor drauf: Info:http://www.sophos.de/virusinfo/analy...2spybotcy.html
Bitte neu aufsetzen. Anleintung -Link in meiner Signatur.

Alternativen? *heul*
Das dauert Jahre die Mühle wieder so herzustellen, das es so ist wie jetzt (ohne Backdoor).

Im Ernst, ist mir schon klar, daß 100%tige Sicherheit nur durch Neuaufsetzen des OS gegeben ist, aber gibt es nicht eine.... Feierabendfreundlichere Variante?

Neiiiiieeennnn!!!!!! HÜÜÜLLLFFEEE!!!!!!

Überprüfe die folgenden Dateien online bei http://virusscan.jotti.org/de und poste das Ergebnis.

Zitat:

C:\winstall.exe
C:\Programme\StarMoney Business 1.0 S-Edition\oflagent.exe

Datei: winstall.exe
Status: INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)

Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden

Dr.Web Trojan.Fakealert gefunden

F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden

Kaspersky Anti-Virus not-virus:Hoax.Win32.Renos.a gefunden

mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden

VBA32 Trojan.Fakealert gefunden

---------------------------------------------------------------------

C:\Programme\StarMoney Business 1.0 S-Edition\oflagent.exe

ist ok....

---------------------------------------------------------------------

VLG Chris

Hier starren gerade 4 Personen auf den Monitor, und prosten auf Trojaner-Board.de

Jungs bis hierher habt Ihr euch nen virtuelles Bierchen verdient *prost*
:aplaus:
VLG Chris

Um Klarheit zu bekommen, würde ich mal nach folgender Anleitung vorgehen:
http://www.trojaner-board.com/showthread.php?t=17492



Gruß
Yopie

Logfile of HijackThis v1.99.1
Scan saved at 19:26:28, on 27.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\StarMoney Business 1.0 S-Edition\_offla2.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\StarMoney Business 1.0 S-Edition\_mloaded.exe
C:\Dokumente und Einstellungen\Line\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Home\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [StarMoneyRunEntry] "C:\Programme\StarMoney Business 1.0 S-Edition\oflagent.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKCU\..\Run: [Second Copy 2000] "C:\PROGRA~1\SecCopy\SecCopy.exe"
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Programme\Offline Explorer\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Programme\Offline Explorer\Add_AllO.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
O23 - Service: {9fitnaegnl - Softwin - (no file)

--------------------------------------------------------------------
Sind bereits bei Whisky angekommen
Ich sag nur "Systemwiederherstellungspunkt"
*prost*

VLG Chris

Gibst nen Statement zu unserer Lösung?
Schönes Wochenende!

Auf eine Anleitung für escan postest Du ein HJT-Log? Zuviel Whisky?
Poste mal die escan-Funde, z.B. mithilfe der find.bat!

SP2 fehlt!

Gruß
Yopie

Naja, also hauptproblem war die winstall.exe....

die ist weg.... ist der Weg der Systemwiederherstellung eine reelle Lösung?
-Ich meine mal abgesehen von escan etc. ...

VLG Chris

Da du oben GAOBot erwähntest, solltest Du mit escan auf Nummer sicher gehen.
Wenn so ein Backdoor aktiv war, dann ist Neuinstallation der einzig gangbare Weg.

Gruß
Yopie

OK, ich danke euch ertmal für die Hilfe.....
Wünsche Euch nochmal nen schönes WE..... :aplaus:
VLG Chris