Hallo

mein Kollege hat folgendes Problem.
System: Widows2000

Es fing ungefähr vor zwei Wochen an das sich bei ihm plötzlich alle paar Sekunden Browser-Fenster selbständig öffneten. Auch etliche Warnmeldungen erschienen dauernd.Ein "normales" benutzen seines Pc's war nicht mehr möglich.
Zuerst haben wir ein update von seinem Betriebssystem gemacht und haben dann Ad-adware runter geladen/installiert und die neuste version von Antivir. Die konnten schon einiges finden und löschen ausser der Datei ...System32/F4l0le3m1h.dll. Google brachte keine Hilfe da nur Englische Einträge gefunden wurden.
Mittlerweile hat ihm ein anderer Kollege Antivir deinstalliert und ein anderes AV-Programm installiert mit dem ich mich nicht auskenne. Die oben genannte Datei giebt es nicht mehr dafür eine andere ...System32/K4260efseh260.dll. Habe schon versucht die Datei zu Virustotal zu schicken. Es wird kein Virus festgestellt. Allerdings wird die Datei mit 0 kbyte angezeigt was nicht sein kann.
Habe ein HTJ-Log gemacht. Wäre nett wenn sich das einer anschauen könnte

Logfile of HijackThis v1.99.1
Scan saved at 20:51:59, on 05.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und
Einstellungen\Administrator\Anwendungsdaten\s?curity\s?anregw.exe
C:\Dokumente und
Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R3 - URLSearchHook: (no name) - {7E67DBD3-4618-62EB-6720-3A71B22DC19D}
- C:\WINNT\system32\rzb.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
- (no file)
R3 - URLSearchHook: ICQ Toolbar -
{855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F1 - win.ini: run= C:\WESTWOOD\ALARM\INSTICON.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network
Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network
Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\RunServices: [csr] csrrs.exe
O8 - Extra context menu item: &ICQ Toolbar Search -
res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search -
[u**]h**p://kp.bar.need2find.com/KP/menusearch.html?p=KP[/url]
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite -
{B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net -
{F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net -
{F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file
missing)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class)
-
h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148905733958
O17 -
HKLM\System\CCS\Services\Tcpip\..\{BD654F32-76F9-4F65-A3B6-E3617EEE87DF}: NameServer = 192.168.0.1
O20 - AppInit_DLLs: C:\WINNT\system32\iexplore.dll
O20 - Winlogon Notify: URL - C:\WINNT\system32\k4260efseh260.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer
Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Programme\Gemeinsame
Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network
Associates, Inc. - C:\Programme\Network Associates\Common
Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network
Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) -
Network Associates, Inc. - C:\Programme\Network
Associates\VirusScan\vstskmgr.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network
Monitor\netmon.exe (file missing)


Danke
Pullcontrol

Hallo Pullcontrol,

da ist eine ganze Menge Müll in diesem System, unter anderem dieser hier --> Backdoor.IRC.Ratsou.B

Eine Bereinigung bei dir ist daher (fast) unmöglich! Formatiere dein System und setz es nach der Anleitung aus meiner Signatur wieder neu auf. Beachte besonders den Teil der Updates, und der Absicherung!

Sorry,
Daniel

Tja update's waren für meinen Kollegen ein Fremdwort was sich hoffetlich ändern wird

danke
pull