Hallo,
ich bin neu hier und kenne mich noch nicht so gut aus. Ich hoffe ich mache alles so, wie Ihr es Euch vorstellt.
Seit einiger Zeit können meine 3 Söhne (13-18) und ich uns auf unserem Laptop nicht mehr einloggen. Jeder von uns hat ein eigenes Konto. Ich selber habe seit längerem nicht mehr daran gesessen und somit erst gestern mitbekommen, was hier alles nicht stimmt.

Als Administrator komme ich in den abgesicherten Modus und habe ein HJT-Log erstellt. Die fettgedruckten Zeilen wurden bei der autom. Auswertung als „böse“ eingestuft.

Logfile of HijackThis v1.99.1
Scan saved at 19:55:46, on 02.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
G:\Sicherheitsprogramme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINDOWS\system32\hpBDEB.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PowerDVD] C:\Programme\Home Cinema\PowerDVD\PowerDVD.exe /autostart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - h**p://w**.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092733492931
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - h**p://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.0/Installer.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Die Links unter 09 und 016 kann ich nicht deaktivieren!

Dann habe ich Ewido durchlaufen lassen und der gab folgende Meldung:

C:\RockXP3.exe/xpkey.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Gesäubert mit Backup
C:\RockXP3.exe/keyms.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Gesäubert mit Backup
C:\RockXP3.exe/RAS.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Gesäubert mit Backup
(Ich kenne dieses Programm überhaupt nicht. Beim googeln habe ich gesehen, dass das ein PW-Knacker ist. Wofür brauchen wir das auf unserem Rechner?? Und vor allem: Wie kommt das auf den Rechner?)


Danach AntiVir mit folgendem Ergebnis:
Fehler beim Wechsel in das Verzeichnis Daniel
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar
jar.jar-10b9dd1d-43f3692a.zip
[FUND!] Enthält Signatur des Java-Virus JAVA/Femad.2
WURDE GELÖSCHT!
jar.jar-2d07aaa2-3758f9ee.zip
[FUND!] Enthält Signatur des Java-Virus JAVA/Femad.2
WURDE GELÖSCHT!
jar.jar-787af560-6e7d7e8c.zip
[FUND!] Enthält Signatur des Java-Virus JAVA/Femad.2
WURDE GELÖSCHT!

C:\WINDOWS\system32
ldBDAF.tmp
[FUND!] Ist das Trojanische Pferd TR/Dldr.Zlob.go.2
WURDE GELÖSCHT!

(Ich habe hier nur die mir suspekten Dateien aufgelistet)

Ich bin ja der Meinung, es sollte alles neuaufgesetzt werden, aber einer meiner Söhne ist strikt dagegen. Es seien ganz, ganz wichtige Programme und Daten dabei, die er dringend für die Schule! braucht.

Gibt es denn hierbei noch Hoffnung?
Furiuos angel

Edit: aktive Links gelöscht Shadow

Hallo furios angel,

lass diese Datei vei Virustotal auswerten, poste danach das Ergebnis:

C:\WINDOWS\system32\hpBDEB.tmp

Gruß
Daniel

Hallo Daniel,
ich kann die Datei nicht online prüfen lassen. Mit dem Laptop kann ich nicht mehr einloggen und somit auch nicht ins Netz. Ich habe die Dateien mit einem Stick auf einen zweiten Rechner übertragen mit dem ich hier ins netz gehe. Was kann ich denn jetzt machen?
Gruss
f.a.

Zitat:

Zitat von Furious Angel

Ich habe die Dateien mit einem Stick auf einen zweiten Rechner übertragen mit dem ich hier ins netz gehe. Was kann ich denn jetzt machen?

Dann lass sie doch von dem zweiten Rechner aus überprüfen

Zitat:

Dann lass sie doch von dem zweiten Rechner aus überprüfen

Ich bin schon ganz meschugge von dem ganzen mist..

hier das Ergebnis:
Complete scanning result of "hpBDEB.tmp", received in VirusTotal at 06.03.2006, 13:58:58 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.37 06.03.2006 TR/Zlob.AF
Authentium 4.93.8 06.02.2006 no virus found
Avast 4.7.844.0 06.02.2006 Win32:Zlob-BN
AVG 386 06.02.2006 no virus found
BitDefender 7.2 06.03.2006 no virus found
CAT-QuickHeal 8.00 06.03.2006 no virus found
ClamAV devel-20060426 06.03.2006 no virus found
DrWeb 4.33 06.03.2006 Trojan.Popuper
eTrust-InoculateIT 23.72.26 06.03.2006 no virus found
eTrust-Vet 12.6.2240 06.02.2006 Win32/Puper!generic
Ewido 3.5 06.03.2006 Downloader.Zlob.lb
Fortinet 2.77.0.0 06.03.2006 W32/Puper.MP!tr.dldr
F-Prot 3.16f 06.02.2006 no virus found
Ikarus 0.2.65.0 06.02.2006 no virus found
Kaspersky 4.0.2.24 06.03.2006 Trojan-Downloader.Win32.Zlob.mp
McAfee 4776 06.02.2006 Puper.dll
Microsoft 1.1441 06.03.2006 no virus found
NOD32v2 1.1576 06.02.2006 a variant of Win32/TrojanDownloader.Zlob.KQ
Norman 5.90.17 06.02.2006 W32/Zlob.GVX
Panda 9.0.0.4 06.03.2006 Adware/SecurityError
Sophos 4.05.0 06.02.2006 no virus found
Symantec 8.0 06.03.2006 Trojan.Zlob
TheHacker 5.9.8.154 06.01.2006 no virus found
UNA 1.83 06.02.2006 TrojanDownloader.Win32.Zlob
VBA32 3.11.0 06.02.2006 no virus found

Aditional Information
File size: 43520 bytes
MD5: 31bb70152511e63fd35b9425d6627509
SHA1: d3ecc219f64302fa2cf355e16746f0de168c50fe

Der beste und schnellste Weg dein System wieder sauber zu bekommen wäre eine Neuinstallation...

Du hast den hier im System --> Trojan.Zlob

Ein einfaches löschen würde mit großer Wahrscheinlichkeit nicht viel bringen, da eventuell einiges mehr in deinem System verändert wurde.
Lies dir mal den Link in meiner Signatur (Neuaufsetzen des Systems) durch, was BackdoorTrojaner so alles können!

Gruß
Daniel

ui, das hört / liest sich ja gar nicht gut! Dann werde ich mich mal dem Kampf mit meinem Sohn stellen.

Vielen Dank an Dich und Deinen der Tastatur verbundenen Hände

Gruss,
Furious Angel