Halli Hallo!
Seit gestern Abend bin ich knapp am verzweifeln *args*.
Hab es irgendwie geschafft Trojanern auf meinem Rechner Zutritt zu verschaffen Nach x-Durchläufen mit meinem Virenscanner (AV-Guard) und a bissel selbstständigem ausmisten bin ich der Meinung - das kann's noch nicht gewesen sein.
Kann sich mal jmd das Logfile anschauen?
Befürchte fast, als Antwort "setz den PC neu auf" zu bekommen... aber gibt's da auch andere Mittel und Wege ?

LG,
Sandra
----------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 06:49:39, on 23.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CmWatch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Dokumente und Einstellungen\Sandra Hemer\Desktop\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: iTouch.exe.lnk = C:\Programme\Logitech\iTouch\iTouch.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O15 - Trusted Zone: *.asdbiz.biz
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.asdbiz.biz (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E6947B0-E8C2-49A2-8E95-82EE65006731}: NameServer = 192.168.120.252,192.168.120.253
O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Hallo, sandra!

Tja,...

Zitat:

Befürchte fast, als Antwort "setz den PC neu auf" zu bekommen... aber gibt's da auch andere Mittel und Wege ?

Dein Log-file zeigt dass neben den
Troj/LowZone-W
http://www.sophos.de/virusinfo/analy...jlowzonew.html
auch noch ein E-mail Wurm mit möglicher Backdoor-Funktion aktiv war!

Zitat:

O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)

, nämlich der hier http://castlecops.com/o23list-606.html
Obwohl zu dieser Variante (noch) keine konkreten Infos verfügbar sind, muss man von der Möglichkeit einer Kompromitierung Deines Systems durch eine Backdoor-Funktion ausgehen, da die ganze *bagz*-Bande diesbezüglich sehr verdächtig ist. Dazu siehe auch
http://www.bitdefender.com/VIRUS-439...Bagz.B@mm.html
oder
http://www.trojaner-board.de/archive...p/t-15600.html

Zitat:

Zitat von haui45

...Die ganze Reihe verfügt über Bachdoorfunktionalität, bei dem konkreten weiß ich es nicht zu 100%, aber man kann davon ausgehen
=> Als einzig vernünftige Lösung bleibt dir nur das:
"System neu aufsetzen und vor der ersten Internetverbindung entsprechend absichern" ...

Also, dann mal los... neuaufsetzen nach Cidres Anleitung
http://www.trojaner-board.de/showthread.php?t=12154
Viel Glück und sichere Dein System vor dem ersten Einstieg ins I-Net wie hier im board empfohlen ab!
stupormundi

C:\PROGRA~1\DAP\DAP.EXE

Dieser Eintrag hat könnte es auch in sich haben:

http://www.sophos.de/virusinfo/analyses/w32ahkerf.html

Du solltest den PC schnellstmöglich vom Netz nehmen.

THX für eure Hilfe!
Dann bleibt mir wohl nichts anderes übrig als den PC platt zu machen... *heulz*
Na wurschd, tut dem auch mal ganz gut!

LG

Edit~~Wenn ich nix g´scheites dazu zu sagen hab´, sollte ich lieber nix dazu sagen~~daher mein Beitrag wieder gelöscht!

Hallo,

DAP.EXE = http://castlecops.com/s837-DAP_exe.html (harmlos).

In der Sophos-Beschreibung steht :
Der Trojaner versucht u.a. diese Datei zu beenden!

dartus

@ stupormundi: bitte *lol*???


... könnte die dap.exe nicht auch von meinem download manager "download accelerator pro" (DAP) stammen??? glaube, die anwendung geistert auch irgendwo im hintergrund rum...

Ich denke, Dartus hat recht, was die dap.exe betrifft.

Wenn Du bzgl dap.exe sichergehen willst, dann lasse sie hier prüfen:
http://virusscan.jotti.org/de/

@Dartus

@sandra

Zitat:

@ stupormundi: bitte *lol*???

vergiss es - ich habe mich in diesem post nur selbst zensiert - wollte wegen der dap.exe etwas posten, was aber nichts G´scheites gewesen wäre und habe es daher wieder editiert

Ansonsten wegen

Zitat:

O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe

Hier ist möglicherweise eine Backdoor-Problematik, daher die Empfehlung zum Neuaufsetzen!

Bis denn, stupormundi