Hallo

Es ist endlich mal wieder soweit!

Ich habe mir was nettes eingefangen!

Und hier isses:

Nachdem ich heute meinen Rechner gestartet hab und ins Netz gegangen bin, hat sich das System "aufgehängt" und ich musste den Rechner ausschalten.
Da habe ich mir noch nix dabei gedacht, kommt ja öfter mal vor.
Ist aber noch paarmal so gelaufen und auf einmal kommt ne Meldung von AntiVir! Ich habe also jetzt offenbar den Trojaner Lowzones .A und außerdem Lowzones K 7.

Ich habe den ganzen Rechner scannen lassen und während des Scanvorgangs schlägt die Firewall Alarm, dass navupdate64.exe starten will (?!) und außerdem soll ich dem Inhalt eines Anbieteres vertrauen, damit ich Zugriff auf Adult Ware soundso habe (schätz mal das ist ein dialer ?!)
Zusätzlich habe ich noch mit HijackThis einen Scan gemacht und da kam folgendes raus:

Logfile of HijackThis v1.99.1
Scan saved at 19:41:14, on 09.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\navupdate64.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\admin\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [MS UniX] navupdate64.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108725422277
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{81195CAD-99D3-44A6-ABCA-1F994DEF6D2D}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Bei der Online Auswertung konnte ich nichts besondres feststellen außer dem Hinweis, dass UNMT.EXE "bös" sei...und dass dies vom W32 sdbot Wurm käme ( )

Hab ich jetzt nen Wurm und zwei Trojaner oder was is los?
Es behindert zwar kaum (bisher), bis auf die Viren - und Firewallmeldungen und dass sich der Rechner gern mal aufhängt, aber so kann ichs ja nicht lassen.
Also ich hab absolut keine Ahnung was ich jetzt machen soll, aber ich befürchte schon das Schlimmste

Was ist zu tun? Hat da noch jemand Durchblick?


Vielen Dank schonmal im Voraus

Hallo dexterslabor,

das Schlimmste ist geschehen, der hat sich u.a. bei Dir eingenistet:
http://castlecops.com/s9817-navupdate64_exe.html

Grund dafür ist Dein nicht aktuelles Betriebssystem.
SP 2 sowie alle weiteren Sicherheitsupdates müssen installiert sein!

Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zu “Format C:” geraten,
um das zu vermeiden:

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus