Hallo,
Ich kann seit 3 Tagen nicht mehr auf mein Internetaccount einer bekannten Pokerplattform zugreifen. Vorrausgegangen war eine AntiVir-Warnung der o.g. Datei.
Adaware fand dann die utlsrv.exe Datei , die im system32 ordner sein sollte. Dort fande ich diese aber nicht um sie zu löschen. Was kann ich tun?
Danke im Vorfeld
Dietmar





Logfile of HijackThis v1.99.1
Scan saved at 5:21:20 PM, on 06/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\utlsrv.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Dokumente und Einstellungen\Standard\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Comclg32] C:\WINDOWS\System32\utlsrv.exe /Comclg32.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PostgreSQL Database Server 8.0 (pgsql-8.0) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.0\bin\pg_ctl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

lass folgende Datei bei Virustotal auswerten:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\utlsrv.exe
         

Außerdem solltest du dein System hiermit scannen: --> F-Secure Blacklight

Gruß
Daniel

danke für die schnelle antwort
mit F-secure Blacklight gabs keine Funde.
Bei Virustotal folgender Ausdruck:

AntiVir 6.34.1.37 06.07.2006 BDS/Small.LA.6
Authentium 4.93.8 06.07.2006 W32/Backdoor.KLL
Avast 4.7.844.0 06.06.2006 no virus found
AVG 386 06.06.2006 BackDoor.Generic2.VCE
BitDefender 7.2 06.07.2006 no virus found
CAT-QuickHeal 8.00 06.07.2006 Backdoor.Small.la
ClamAV devel-20060426 06.07.2006 no virus found
DrWeb 4.33 06.07.2006 Trojan.PWS.Poker
eTrust-InoculateIT 23.72.30 06.07.2006 no virus found
eTrust-Vet 12.6.2246 06.07.2006 no virus found
Ewido 3.5 06.07.2006 no virus found
Fortinet 2.77.0.0 06.07.2006 Spy/Small
F-Prot 3.16f 06.06.2006 security risk named W32/Backdoor.KLL
Ikarus 0.2.65.0 06.07.2006 no virus found
Kaspersky 4.0.2.24 06.07.2006 Backdoor.Win32.Small.la
McAfee 4778 06.06.2006 no virus found
Microsoft 1.1441 06.07.2006 no virus found
NOD32v2 1.1584 06.07.2006 Win32/Small.LA
Norman 5.90.17 06.07.2006 W32/Smalldoor.COA
Panda 9.0.0.4 06.07.2006 Trj/Checkraise.A
Sophos 4.06.0 06.07.2006 no virus found
Symantec 8.0 06.07.2006 Trojan.Checkraise
TheHacker 5.9.8.156 06.07.2006 no virus found
UNA 1.83 06.06.2006 Backdoor.Small
VBA32 3.11.0 06.07.2006 Backdoor.Win32.Small.la

Aditional Information
File size: 6432 bytes
MD5: 1e76db67b0034eb7dd7bd9ad4270648c
SHA1: f423f17ae41fe105bb54b2a89d9c456b98f89ea7

Auch in deinem Fall bleibt dir nur das neu aufsetzen des Systems!
Der lümmelt sich bei dir rum --> Backdoor.Win32.Small

Es wäre mehr als sinn- und zwecklos! Eine Anleitung mit anschliessender Absicherung ist in meiner Signatur verlinkt.
(dort steht auch was Backdoor Trojaner so alles können )

Sorry,
Daniel