Bitte Helfen! Lowzones A und Lowzones K 7 !

dexterslabor · 09.07.2005, 21:10

Hallo!

Habe heute eine Meldung von AntiVir bekommen:
Offenbar habe ich den Trojaner Lowzones .A und Lowzones K 7 auf meinem Rechner. Wenn ich die Datei lösche, dann will navupdate64.exe Zugang zum Internet, was mir meine Firewall meldet. Außerdem geht ein Browser-Fenster auf, dass auf einen Pfad auf meiner C-Festplatte hinweist. Steht aber nix da außer C:.../index...
Heute vormittag ging noch ein Fenster auf, in dem ich ein Sicherheitszertifikat bestätigen sollte. Da stand irgendwas mit Adult Ware...Ich hab natürlich abgelehnt, schätz mal das is ein Dialer (?)...war aber nur einmal heute, seitdem nicht mehr.
Insgesamt macht der Pc keine großen Probleme außer den Meldungen und dass er sich manchmal aufhängt. Hochfahren is problemlos, runterfahren geht manchmal nicht, muss dann am Netzstecker ausschalten.
Ich habe mein System mit HijackThis scannen lassen:

Logfile of HijackThis v1.99.1
Scan saved at 19:41:14, on 09.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\navupdate64.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\admin\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [MS UniX] navupdate64.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108725422277
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{81195CAD-99D3-44A6-ABCA-1F994DEF6D2D}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Die Online Auswertung hat ergeben, dass es sich bei UNMT.exe um eine "böse" Datei handelt, die vom Wurm W32 sdbot herkommt - ansonsten war nichts besondres...

Habe ich jetzt 2 Trojaner und einen Wurm auf meinem Rechner oder was is los?
Ich hab keine Ahnung was ich jetzt machen soll, wäre sehr erfreut über eine Antwort! Vielen Dank schonmal und ich hoffe es geht ohne formatieren der Platte, hab ich dieses Jahr nämlich schon gemacht und wenn ichs jetzt schon wieder machen muss, dann muss ich

dartus · 09.07.2005, 23:43

Hallo,

es ist nicht notwendig zwei Threads zu öffnen.

siehe hier:
http://www.trojaner-board.de/showthread.php?t=19685

dartus

dexterslabor · 10.07.2005, 13:29

Sorry, war keine Absicht, der Pc ist während des Postens abgestürzt.
Vielen Dank für die schnelle Hilfe !!!
Ich werd jetzt meine Festplatte platt machen :aplaus:

Bitte Helfen! Lowzones A und Lowzones K 7 !

Log-Analyse und Auswertung: Bitte Helfen! Lowzones A und Lowzones K 7 !