Hallo,
ich bin neu hier und kenne mich noch nicht so gut aus. Ich hoffe ich mache alles so, wie Ihr es Euch vorstellt.
Seit einiger Zeit können meine 3 Söhne (13-18) und ich uns auf unserem Laptop nicht mehr einloggen. Jeder von uns hat ein eigenes Konto. Ich selber habe seit längerem nicht mehr daran gesessen und somit erst gestern mitbekommen, was hier alles nicht stimmt.

Als Administrator komme ich in den abgesicherten Modus und habe ein HJT-Log erstellt. Die fettgedruckten Zeilen wurden bei der autom. Auswertung als „böse“ eingestuft.

Logfile of HijackThis v1.99.1
Scan saved at 19:55:46, on 02.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
G:\Sicherheitsprogramme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINDOWS\system32\hpBDEB.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PowerDVD] C:\Programme\Home Cinema\PowerDVD\PowerDVD.exe /autostart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - h**p://w**.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092733492931
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - h**p://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.0/Installer.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Die Links unter 09 und 016 kann ich nicht deaktivieren!

Dann habe ich Ewido durchlaufen lassen und der gab folgende Meldung:

C:\RockXP3.exe/xpkey.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Gesäubert mit Backup
C:\RockXP3.exe/keyms.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Gesäubert mit Backup
C:\RockXP3.exe/RAS.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Gesäubert mit Backup
(Ich kenne dieses Programm überhaupt nicht. Beim googeln habe ich gesehen, dass das ein PW-Knacker ist. Wofür brauchen wir das auf unserem Rechner?? Und vor allem: Wie kommt das auf den Rechner?)


Danach AntiVir mit folgendem Ergebnis:
Fehler beim Wechsel in das Verzeichnis Daniel
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar
jar.jar-10b9dd1d-43f3692a.zip
[FUND!] Enthält Signatur des Java-Virus JAVA/Femad.2
WURDE GELÖSCHT!
jar.jar-2d07aaa2-3758f9ee.zip
[FUND!] Enthält Signatur des Java-Virus JAVA/Femad.2
WURDE GELÖSCHT!
jar.jar-787af560-6e7d7e8c.zip
[FUND!] Enthält Signatur des Java-Virus JAVA/Femad.2
WURDE GELÖSCHT!

C:\WINDOWS\system32
ldBDAF.tmp
[FUND!] Ist das Trojanische Pferd TR/Dldr.Zlob.go.2
WURDE GELÖSCHT!

(Ich habe hier nur die mir suspekten Dateien aufgelistet)

Ich bin ja der Meinung, es sollte alles neuaufgesetzt werden, aber einer meiner Söhne ist strikt dagegen. Es seien ganz, ganz wichtige Programme und Daten dabei, die er dringend für die Schule! braucht.

Gibt es denn hierbei noch Hoffnung?
Furiuos angel

Edit: aktive Links gelöscht Shadow

Hallo furios angel,

lass diese Datei vei Virustotal auswerten, poste danach das Ergebnis:

C:\WINDOWS\system32\hpBDEB.tmp

Gruß
Daniel

Hallo Daniel,
ich kann die Datei nicht online prüfen lassen. Mit dem Laptop kann ich nicht mehr einloggen und somit auch nicht ins Netz. Ich habe die Dateien mit einem Stick auf einen zweiten Rechner übertragen mit dem ich hier ins netz gehe. Was kann ich denn jetzt machen?
Gruss
f.a.

Zitat:

Zitat von Furious Angel

Ich habe die Dateien mit einem Stick auf einen zweiten Rechner übertragen mit dem ich hier ins netz gehe. Was kann ich denn jetzt machen?

Dann lass sie doch von dem zweiten Rechner aus überprüfen

Zitat:

Dann lass sie doch von dem zweiten Rechner aus überprüfen

Ich bin schon ganz meschugge von dem ganzen mist..

hier das Ergebnis:
Complete scanning result of "hpBDEB.tmp", received in VirusTotal at 06.03.2006, 13:58:58 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.37 06.03.2006 TR/Zlob.AF
Authentium 4.93.8 06.02.2006 no virus found
Avast 4.7.844.0 06.02.2006 Win32:Zlob-BN
AVG 386 06.02.2006 no virus found
BitDefender 7.2 06.03.2006 no virus found
CAT-QuickHeal 8.00 06.03.2006 no virus found
ClamAV devel-20060426 06.03.2006 no virus found
DrWeb 4.33 06.03.2006 Trojan.Popuper
eTrust-InoculateIT 23.72.26 06.03.2006 no virus found
eTrust-Vet 12.6.2240 06.02.2006 Win32/Puper!generic
Ewido 3.5 06.03.2006 Downloader.Zlob.lb
Fortinet 2.77.0.0 06.03.2006 W32/Puper.MP!tr.dldr
F-Prot 3.16f 06.02.2006 no virus found
Ikarus 0.2.65.0 06.02.2006 no virus found
Kaspersky 4.0.2.24 06.03.2006 Trojan-Downloader.Win32.Zlob.mp
McAfee 4776 06.02.2006 Puper.dll
Microsoft 1.1441 06.03.2006 no virus found
NOD32v2 1.1576 06.02.2006 a variant of Win32/TrojanDownloader.Zlob.KQ
Norman 5.90.17 06.02.2006 W32/Zlob.GVX
Panda 9.0.0.4 06.03.2006 Adware/SecurityError
Sophos 4.05.0 06.02.2006 no virus found
Symantec 8.0 06.03.2006 Trojan.Zlob
TheHacker 5.9.8.154 06.01.2006 no virus found
UNA 1.83 06.02.2006 TrojanDownloader.Win32.Zlob
VBA32 3.11.0 06.02.2006 no virus found

Aditional Information
File size: 43520 bytes
MD5: 31bb70152511e63fd35b9425d6627509
SHA1: d3ecc219f64302fa2cf355e16746f0de168c50fe

Der beste und schnellste Weg dein System wieder sauber zu bekommen wäre eine Neuinstallation...

Du hast den hier im System --> Trojan.Zlob

Ein einfaches löschen würde mit großer Wahrscheinlichkeit nicht viel bringen, da eventuell einiges mehr in deinem System verändert wurde.
Lies dir mal den Link in meiner Signatur (Neuaufsetzen des Systems) durch, was BackdoorTrojaner so alles können!

Gruß
Daniel

ui, das hört / liest sich ja gar nicht gut! Dann werde ich mich mal dem Kampf mit meinem Sohn stellen.

Vielen Dank an Dich und Deinen der Tastatur verbundenen Hände

Gruss,
Furious Angel

Hallo,
Gestern erhielt ich von Euch den Rat, den befallenen Laptop zu formatieren. Das löst hier im Haushalt aber heftigste Reaktionen aus. Gibt es eventuell doch noch eine Möglichkeit den Trojaner zu entfernen ohne neu formatieren zu müssen, sodaß die Programme und Dateien weiter genutzt werden können?
Danke fürs nochmalige Prüfen
Furious Angel

Zitat:

Zitat von Furious Angel

..Gibt es eventuell doch noch eine Möglichkeit den Trojaner zu entfernen ohne neu formatieren zu müssen...

Definitiv NEIN!


Trojanische Pferde arbeiten nach verschiedenen Mustern. Sie starten erst, wenn ein bestimmter Vorgang (Start eines anderen Programmes) auf dem System stattfindet.Die meißten Trojaner sind darauf aus, Benutzerdaten eines Online-Dienstes auszuspähen, nicht selten nur von einem bestimmten Provider.
Trojaner, die ständig im Hintergrund im betroffenden System mitlaufen, zeichnen mitunter sämtliche Tastaturfolgen auf. - Dieses bedeutet, alle Daten, die der Anwender über die Tastatur eingibt. - Hier nutzt es leider gar nichts, wenn der Anwender sein Passwort für einen Online-Dienst nicht abspeichert, sondern erst bei der Anmeldung eingibt. Die gesammelten Daten werden nach der Einwahl unbemerkt an den Autor des Trojanischen Pferdes geschickt.
Für den Hacker hat es den Vorteil, er gelangt nur an die für ihn relevanten Daten und muss diese somit nicht aus einem riesigen "Datenberg" rausfiltern. Diese Arbeitsweise von Trojaner ist als sehr gefährlich einzustufen, da diese die Eigenschaften besitzen können, an sämtliche Daten eines Anwenders zu gelangen.

Nochmal zusammengefasst:
*Ausspähen von sensiblen Daten (Passwörter, Kreditkartennummern, Kontonummern und Ähnliches)
*Fernsteuerung von Unbekannten, u. a. für kriminelle Zwecke, z. B. zum Versenden von Werbe-E-Mails oder Durchführung von DDoS-Attacken.
*Installation von illegalen Dialer-Programmen (heimliche Einwahl auf Telefon-Mehrwertrufnummern), was dem Opfer finanziellen Schaden zufügt.
*Benutzung der Speicherressourcen zur Ablage von illegalen Dateien, um sie von hier aus anderen Nutzern aus dem Internet zur Verfügung zu stellen.
*Überwachung des Datenverkehrs oder aller Benutzeraktivitäten mithilfe von Sniffern.

Ich denke das reicht zu diesem Thema! Wer das alles missbilligend in Kauf nimmt, brauch sich nicht wundern wenn eines Tages Polizei oder Staatsanwaltschaft vor der Tür steht!

Gruß
Daniel

Ersetze Trojanische Pferde / Trojaner durch Backdoorprogramm
Nicht das Trojanische Pferd ist die tatsächliche Gefahr sondern der Inhalt und der öffnet in diesem Fall ein Hintertürchen, klingt nett. Ist es aber definitiv nicht. Dieser(!) Trojaner ist ein Backdoor-Trojaner, das Backdoor im Namen ist die Gefahr, der Trojaner ist nur die Täuschung (die Art der Verbreitung durch Täuschung und Tarnung).

Das Problem ist eben, dass man bei einem Backdoorprogramm nie sicher sein kann, was noch alles verändert wurde. Selbst ein (theoretisch) restlos entferntes Backdoorprogramm garantiert in keinster Weise, dass nicht schon irgendwelche (plural! viele!) andere böse Programme installiert wurden oder dass nicht irgendwelche anderen Programme ausgeführt werden oder Einstellungen vorgenommen wurden, die - da normalerweise legal - von keinem Antimalwareprogramm der Welt als böse eingestuft werden. Auch mit legalen Programmen lässt sich böses anstellen. Jeder kleine legale FTP- oder Webserver, jedes Mailprogramm lässt sich missbrauchen, etc.
Von den u.U. installierten "illegalen" Programmen ganz zu schweigen...

Hallo,
ich will ja nicht meckern, aber genau diesen Trojaner beseitigen wir hier schon seit knapp einem Jahr siehe hier und das allein nach klicks zur Anleitung zu beurteilen 100.000fach.
Ich halte die Beschreibung von Norton erstens für etwas zu dramatisch und zweitens für ziemlich veraltet.
Das sicherste ist unbestritten ein neu aufsetzen, aber auch eine Reinigung halte ich für verantwortbar (ist natürlich im Endeffekt das Risiko des TE).



Grüße Wildone

Für Eure Ausführungen danke ich Euch. Wir haben heute Morgen in einigermaßen friedlicher Atmosphäre den PC neu formatiert und werden hoffentlich zukünftig kein solches Theater mit PC-Problemen mehr haben.

Allen noch einen schönen Pfingst-Montag!
Furious-Angel