Nach längeren frustrierenden Versuchen diverse Eindringlinge
aus dem System zu vertreiben - AVG Free meldet wahlweise
ein
Trojan horse IRC/BackDoor.seBot.MYC
oder aber (trotz Erkennung, Löschens oder Verschieben) leicht
verändert
Trojan horse IRC/BackDoor.sdBot.KCG
- hier nun mein HijackThis Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 09:22:02, on 03.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\SICHER~2\AVGFRE~1\avgamsvr.exe
C:\PROGRA~2\SICHER~2\AVGFRE~1\avgupsvc.exe
C:\PROGRA~2\SICHER~2\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\HanseNet\Alice\app\TangoService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\sistray.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\PROGRA~2\SICHER~2\AVGFRE~1\avgcc.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~2\HanseNet\Alice\app\TangoManager.exe
C:\Programme\Sicherheit\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?linkID=24461
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE
O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~2\HanseNet\Alice\app\TANGOM~1.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~2\SICHER~2\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129912722562
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{728F4930-CE99-47D2-A4CF-D1DE66996267}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~2\SICHER~2\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~2\SICHER~2\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~2\SICHER~2\AVGFRE~1\avgemc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINNT\system32\winjava.exe (file missing)
O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\HanseNet\Alice\app\TangoService.exe

Was sehen und sagen die Experten?
Besten Dank!

Girolamo

Servus, girolamo!

Zitat:

längeren frustrierenden Versuchen diverse Eindringlinge [...] Trojan horse IRC/BackDoor.seBot.MYC

Das klingt nicht so gut! Aber in Deinem HJT-Log kann ich nichts besonderes erkennen.
Um eine zweite Meinung zu haben lass´ mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, update vor dem Scan, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
bis dann, stupormundi

Vielen Dank für die Hinweise, stupormundi! - heute abend
werde ich hoffentlich erste Ergebnisse posten können ...

Beste Grüße von einem etwas beruhigten
Girolamo

Hallo Girolamo,

leider muss ich Dich beunruhigen, deswegen:
http://www.sophos.de/virusinfo/analy...2codbotaa.html

IMHO ist da eine Neuinstallation anzuraten:
http://www.trojaner-board.de/showthread.php?t=12154

dartus

@servus dartus - alles Gute!
@girolamo:

Zitat:

Beste Grüße von einem etwas beruhigten...

Also, ein Grund zum Freuen besteht aus meiner Sicht noch lange nicht (was dartus ja jetzt bestätigt)! Nur weil ich im Log nichts Auffälliges gefunden habe, heißt das noch lange nicht, dass auch nichts da sei - Deine Virenmeldungen verheißen nichts Gutes. Daher die escan-Empfehlung!
stupormundi

Zitat:

Zitat von stupormundi

@girolamo: Also, ein Grund zum Freuen besteht aus meiner Sicht noch lange nicht (was dartus ja jetzt bestätigt)! Nur weil ich im Log nichts Auffälliges gefunden habe, heißt das noch lange nicht, dass auch nichts da sei - Deine Virenmeldungen verheißen nichts Gutes. Daher die escan-Empfehlung!
stupormundi

Schon verstanden. Beruhigt (vielleicht hätte ich »ruhiger« schreiben
sollen?) schrieb ich, weil ich zumindest Hinweise zu einer etwaigen
Säuberung des Systems erhalten habe. Von Freude kann in der Tat
nicht die Rede sein ... Wie gesagt, mehr (von escan & Co.) heute abend.

Grüße,
Girolamo