Am 17.August habe ich von AntiVir ein neues Update gezogen - so wie alle 2 Tage. Seit dem bekomme ich lfd folgende Warnmeldungen:

24.08.2005,11:38:19 [WARNUNG] Ist das Trojanische Pferd TR/Dialer.KC!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{FB37889E-C180-4718-9457-2AD788CB6E5E}\RP502\A0059982.EXE

24.08.2005,13:35:49 [WARNUNG] Ist das Trojanische Pferd TR/Dialer.KC!
C:\WINDOWS\SYSTEM32\MSKAV.EXE

Nachdem ich nun zigmal meine PC durchforste habe- sind mir folgende Dateien aufgefallen:

Im Ordner Windows/System/ finden sich IEXPLOER.exe 24 kb- SMSS.exe 19 kb- SVCOST.exe 24kb (alle so groß geschrieben)
Im Ordner Windows /System32 =
mskav.exe 0 bis 10 kb (verschieden)und mshlp.exe 124 kb


Im Taskmanager sind SMSS.exe und SVCOST.exe aktiv

Alle Dateien habe ich schon zig mal gelöscht - um benannt - mskav.exe in Quarantäne gesteckt . Kein erfolg . Nach wenigen Minuten sind die Viecher wieder da.
Nur auf dsie datei mskav. exe reagiert antivir - alle andren sind virenfrei

Weder Stinger, noch Symantec noch McAffee Scan hat eine positrive Meldung auf diese Datei gezeigt.

Auch auf keiner Virenseite finde ich informiationen- weder zu mshlp.exe - noch zu mskav.exe oder TR/Dialer KC.
Antivir antwortet nicht auf meine Anfragen, aht selbst keine Informationen.

Zusätzlcih habe ich Zonealarm
mskav.exe - IEXPLORER - SMSS und SVCost wollten dort auf das Netz zugreifen. Alle habe ich blockiert.
SMSS.exe wollte auf einen Server .
Auch Spybot findet keinerlei andere auffällige Dateien!!


Was ist das ????????????????????????
Ich krieg echt nochn rapps

Lieben Gruß
Lunateide

Poste bitte ein HijackThis Log hier her,Download und Anleitung auf http://filepony.de/download-hijackthis/

Logfile of HijackThis v1.99.1
Scan saved at 15:43:40, on 24.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pixbyte\AntiSpam\AntiSpam.exe
C:\Programme\Digital Asphyxia\Y!TunnelPro V1.3 Build 272\YTunnelPro.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system\SVCHOST.EXE
C:\WINDOWS\system\SMSS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Outlook Express\msimn.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Gaulke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.netscape.com/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.netscape.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn2\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn2\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Pixbyte AntiSpam Professional] C:\Programme\Pixbyte\AntiSpam\AntiSpam.exe
O4 - HKCU\..\Run: [Y!TunnelPro] C:\Programme\Digital Asphyxia\Y!TunnelPro V1.3 Build 272\YTunnelPro.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &NeoTrace It! - D:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - D:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O12 - Plugin for .avi: C:\Programme\Netscape\Communicator\Program\PLUGINS\npavi32.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de/
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {41B23C28-488E-4E5C-ACE2-BB0BBABE99E8} (HHCtrl Object) - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6551848B-8185-4436-8C20-BDEA6E2E5BA7} (AXReader Class) - http://www.online-college.de/content...ugin/lesax.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.gsg.goe.ni.schule.de/a...CamControl.cab
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.comp...io5_3_18_0.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/download/0.x/regdload.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85CDB275-7993-492A-AEBA-A66266D4337E}: NameServer = 195.50.140.250 145.253.2.11
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hi,

Lass diese beiden Dateien online bei Jotti scannen http://virusscan.jotti.org/de/


C:\WINDOWS\system\SVCHOST.EXE

C:\WINDOWS\system\SMSS.EXE

Poste dann das ganze Ergebnis mit den Funden hier her!

Aber vermutlich nix gutes.....

Datei: SMSS.EXE
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme: UPX

ansonsten negativ = keine Virus funde
------------------------------------------------
Datei: SVCHOST.EXE
Status: INFIZIERT/MALWARE

BitDefender BehavesLike:Win32.Backdoor gefunden (mögliche Variante)
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* File length: 24576 bytes.

[ Changes to registry ]
* Creates value "svchost"="c:\sample.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 2108.

[ Process/window information ]
* Will automatically restart after boot (I'll be back...). gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)

________________________________________________
ich habe das auch mit der mskav.exe versucht
wie immer EXISTIERT diese datei nicht

Hi

also es spielt keine Rolle mehr,was die eine Datei ist,denn du hast einen aktiven Backdoor auf dem System das heisst leider dass du das System neu aufsetzen musst nach der Anleitung http://trojaner-board.de/showthread.php?t=12154 eine andere Möglichkeit gibt es nicht,auch bei der anderen Datei bin ich mir sicher,dass es sich um einen Backdoor handelt.

Im übrigen ist es auch nicht sonderlich verwunderlich,denn dein System ist nicht auf dem neusten Stand:


Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Sorry

Gruss

Interessanter ist dieser Scan :

Datei: mshlp.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PECOMPACT

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Dropped:Trojan.Spy.Banker.SD gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 a variant of Win32/TrojanDownloader.Small.AIN gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 MalwareScope.Trojan-Spy.Banker.7 gefunden

Wie schon erwähnt spielt es keine Rolle,was die anderen Dateien sind,ein Backdoor reicht aus,um das Neuaufsetzen zu begründen,mir ging es erstmal lediglich um die 2 Dateien,wenn du weiter experimentieren möchtest,und wissen willst wie verseucht dein System ist,kannst du natürlich auch noch einen escan machen,aber eigentlich solltest du mit der Kiste nicht mehr mit dem Internet verbunden sein....

In diesem Sinne....

Danke für die Hilfe !!!
Naja- immerhin hab ich 8 Jahre PC geschafft ohne diese Mist Trojaner und wie diese Plagegeister noch heissen.

Also werd ich mich beim nächsten Regentag mal hinsetzen und alles neu aufziehen.

Lieber Gruß

Lunateide