Guten Morgen!

Ich habe seit einigen Tagen immer wieder Ausfälle meiner DSL-Leitung, dergestalt dass meine FritzBox die Verbindung zur DSL-Gegenstelle der Telekom verliert. Nun habe ich bei einem Durchlauf von "AntiVir PE" (H+BEDV) vorhin diesen ungebetenen Gast entdeckt: remadmin.j
AntiVir hat dann mit seinem Aktionismus die betreffende Datei gelöscht und mir dann beim folgenden (diesmal sauberen) Scan leider auch gleich die Report-Datei überschrieben...
Ich habe dann noch einen Online-Scan bei PandaSoft laufen lassen, ebenfalls negativ.
Nach ein bisschen Stöbern über "remadmin.j" bin ich dann auf HJT und dann auch in diesem Forum gelandet.

Hier nun das HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 07:31:43, on 28.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Da ich mich -leider- als echten DAU bezeichnen muss, habe ich nun zwei Fragen:

1. Kann man aus dem HJT-Log erkennen ob jener "remadmin.j" nun eliminiert ist?

2. Kann sich einer von Euch vorstellen, dass meine DSL-Probleme der letzten Tage irgendwie damit zusammenhängen "können"? Bevor ich unflätig zu irgendeinem unschuldigen Telekom-Techniker werde...


Besten Dank schon mal!

Gruß,

Sil-Vix


--> Sollte ich versehentlich hier irgendeinen faux-pas begangen haben, seht es mir bitte nach...habe eine Nachtschicht hinter mir und entsprechend matschig im Kopf. Zudem überfordert mich diese Materie doch etwas...

Servus!
Da Du selber ja schon ein bißchen gestöberst hast, wirst Du ja auch schon über das Wesen dieses 'remadmin.' Infos gefunden haben.
Wenn bei Dir ein derartiger Prozess gelaufen ist, kannst Du damit rechnen, dass jemand Dritter auf Deinem PC Zugriff hat/te. Auch wenn jetzt ein aktueller Scan keine Schädlinge zeigt, kannst Du nicht mehr wissen, inwieweit Dein PC nur mehr von Dir genutzt wird.
Zu Deinen beiden Fragen: ad 1: in Deinem geposteten Logfile ist nichts Auffälliges zu erkennen - ob die Folgen dieses Befalls auch eliminiert sind, kann daraus nicht zuverlässig geschlossen werden.
ad 2: ja, kann damit zusammenhängen, kann aber auch ein technisches Problem durch ev. Umstellungen im Leitungsnetz des Poviders sein (hatte v.a. zu Beginn mit meinem ADSL ähnliche/gleiche Probleme durch Umrouten seitens des Providers oder durch Inbetriebnahme eines ISDN Anlage in der Nähe und damit verbundenen Leitungsstörungen)
Um wirklich einen sicheren Zustand wieder herzustellen, kann ich Dir nur dazu http://www.trojaner-board.de/showthread.php?t=12154 raten. Hier ist beschrieben, was es mit derartiger Backdoor-Software auf sich hat und warum eben keine andere Maßnahme (Bereinigung) sinnvoll ist.
stupormundi

Arrgghh....

Besten Dank für die schnelle Antwort!
Leider hatte ich befürchtet, dass mir eine Neuinstallation blüht. Dummerweise kann ich selber ja noch nicht mal ne Internet-Verbindung einrichten...

Wie habe ich mir das Teil egtl. eingefangen? Emails waren in letzter Zeit keine "auffälligen" dabei, zudem läuft mein Mail-Dienst über einen sehr sicherheitsbewussten Verein...
Via Browser? Ich benutze egtl. nur Mozilla und ab und an Opera. Dabei sollte aber doch egtl. der "AntiVir Guard" den laufenden Datenverkehr überwachen?
Datenträger hatte ich auch keine fremden hier in letzter Zeit...zumindest keine beschreibbaren.

Jetzt hau ich mich erst mal in die Falle und schlaf über dieses Elend...

Danke nochmal und Gute Nacht...

Servus wieder!

Zitat:

Wie habe ich mir das Teil egtl. eingefangen?

das wissen die Götter, und die sind sich da offenbar manchmal auch nicht sicher!
Derartige Fragen kann man idR nur beantworten, wenn man den Befall live beobachtet - dann kannst Du auch nachvollziehen, woher er kommt.
Aber so ...? Möglicherweise von jemanden installiert, der zu Deinem Rechner Zugriff hat. Oder mal beim Surfen ein codec installiert, welches angeblich zum Abspielen eines Clips als unbedingt notwendig angeboten worden ist (nach der Installation ist aber scheinbar nichts passiert) ... etc. blabla
Und AV Scanner können nicht helfen, wenn Du als User eine Datei mit Absicht dowloadest und installierst! Du siehst, es gibt eine große Anzahl von Möglichkeiten und Gelegenheiten!
Achte nach der Installation auf alle Ratschläge von Cidre zur Absicherung Deines Systems
stupormundi