Wie so viele andere fange auch ich mit: Ich habe ein Problem an.
Da über meinen Rechner unser Server gesichert wird bleibt dieser auch am Wochenende an. Am Montag hatte ich dann einen roten Bildschirm mit Text: Your Computer is full off traces. Your IP Adress is logged etc.
Es gibt eine Verlinkung zu der Webseite: h**p://www.removetracks.info/?adv=164&sub=dc4 . Was Habe ich mir da eingefangen und wie bekomme ich es wieder weg? Bin für jede Hilfe sehr dankbar.

Mein HijackThis Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 14:56:35, on 21.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\cisvc.exe
D:\Programme\RealVNC\VNC4\WinVNC4.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\ASCOMP Software\BackUp Maker\bkmaker.exe
D:\Programme\TOPCOM\BULTER 4012\Butler 4012 USB VoIP.exe
D:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\system32\cidaemon.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHM7S92J\hijackthis_199[1]\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [97f2036a4f3] D:\WINDOWS\System32\97f2036a4f3.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [97f2036a4f3] D:\WINDOWS\System32\97f2036a4f3.exe
O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_3
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BackUp Maker.lnk = D:\Programme\ASCOMP Software\BackUp Maker\bkmaker.exe
O4 - Global Startup: Butler 4012 USB VoIP.lnk = ?
O4 - Global Startup: Lexware Info Service.lnk = D:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFIneu\wzed.exe
O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://d:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://d:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: WindowInstallSystem (97f2036a4f3svr) - Unknown owner - D:\WINDOWS\97f2036a4f3.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - D:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: UPnPService - Unknown owner - D:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Danke

Hallo bauenundkochen,
wenn ich das richtig verstehe ist das ein Firmenrechner.Somit solltet ihr auch einen zuständigen Admin haben.In aller Regel werden hier keine Firmenrechner "behandelt".Euer Admin wird dafür bezahlt und würde sich mit Recht beschweren, wenn Andere in seinem System rumpfuschen.Allerdings spricht das nicht für einen Könner :
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Spaßeshalber könntest du mal diese Datei bei Jotti scannen lassen :
O4 - HKLM\..\Run: [97f2036a4f3] D:\WINDOWS\System32\97f2036a4f3.exe
Link zu Jotti :
http://virusscan.jotti.org/de/
rrlicht

Leider kein Administrator da kein Firmenrechner sondern WG.
Die Datei D:\WINDOWS\System32\97f2036a4f3.exe ist leider nicht vorhanden?
Weder über Suchfunktion oder direkt!
Brauche echt hilfe!

Hallo bauenundkochen,

nimm diese Einstellung vor, falls noch durchgeführt:
Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken

Es kann durchaus sein, dass diese Datei ihren Namen nach jedem Neustart ändern. Achte beim manuellen Suchen, wenn Du die genannte nicht findest, auf eine mit ähnlicher Zahlen-und Ziffern-Kombination.

dartus

Hallo,
sorry wenn ich dazwischen funke, aber ein Log von Rootkitrevealer(File>>Save) könnte auch Aufschluß geben. Achte darauf währernd dem scan nichts anderes zu machen.


Grüße Wildone

Hallo zusammen; die folgenden Einstellungen hatte ich schon vorgenommen. Kann die Datei aber trotzdem nicht finden.

nimm diese Einstellung vor, falls noch durchgeführt:
Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken

Hier das Log von Rootkitrevealer:
D:\WINDOWS\97f2036a4f3.exe 20.02.2006 19:21 64.00 KB Hidden from Windows API.
D:\WINDOWS\97f2036a4f3.ini 17.02.2006 22:08 618 bytes Hidden from Windows API.
D:\WINDOWS\Prefetch\97F2036A4F3.EXE-209238CC.pf 20.02.2006 21:49 16.83 KB Hidden from Windows API.
D:\WINDOWS\system32\97f2036a4f3.exe 20.02.2006 21:48 85.50 KB Hidden from Windows API.

Ich hoffe das hilft euch bei der suche. Danke für eure Bemühungen.

Hallo,
habe mich noch ein wenig über google kundig gemacht. Das ist schon ein ausgewachsenes Rootkit und ist nur sehr kompliziert zu entfernen, und selbst dann kann man sich nicht sicher sein ob man alles erwischt hat.

Ich würde dir raten das System nach dieser Anleitung neu aufzusetzen und abzusichern. Und zukünftig sollte darauf geachtet werden das System immer auf dem neusten Stand zu halten (SP2 ist Pflicht!).


Grüße Wildone