Hallo,

ich poste hier ein Logfile, aus dem ich nicht so recht schlau werde, deshalb würde es mich sehr freuen, wenn sich jemand von Euch der Sache annehmen würde.

Ich schildere noch kurz den Sachverhalt:

Seit gestern befinden sich bei mir im Tray neben der Systemuhr rechts unten in der Taskleiste zwei seltsame Symbole, einmal ein blinkendes Fragezeichen, das regelmäßig ein Dialogfeld mit dem Hinweis "Your System may be infected" (sinngemäß) ausspuckt, und das zweite (ein kleiner roter Kreis mit einem weißen "x" darauf) macht eigentlich überhaupt nichts -- nur wenn man den Mauszeiger drüberhält (man muß dazu nichtmal hinklicken) erscheint am Mauszeiger so ein kleiner Hinweis "System is infected".

Ich werde daraus wie gesagt nicht schlau, weil ich bisher mit sowas noch nie Probleme hatte, aber ein Kollege von mir hatte vor einiger Zeit mal ähnliche Schwierigkeiten, und damals war das irgendein Trojan-Downloader.

Aber am besten wär's, wenn sich jemand von Euch die Sache mal anschauen könnte.

Danke im Voraus.

------------------

Logfile of HijackThis v1.99.1
Scan saved at 15:42:50, on 28.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\amFk\command.exe
C:\Programme\Network Monitor\netmon.exe
C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
C:\WINDOWS.0\system32\oodag.exe
C:\Programme\Advanced Registry Doctor\RegManServ.exe
C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\rundll32.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\ishost.exe
C:\WINDOWS.0\system32\issearch.exe
C:\WINDOWS.0\system32\ismon.exe
C:\WINDOWS.0\system32\isnotify.exe
C:\WINDOWS.0\system32\pctspk.exe
C:\WINDOWS.0\System32\khooker.exe
C:\Programme\DaemonTools\daemon.exe
C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\WINDOWS.0\system32\private.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS.0\system32\67de9d04.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\WINDOWS.0\system32\ctfmon.exe
C:\winstall.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS.0\TEMP\win18.tmp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS.0\System32\svchost.exe
C:\Dokumente und Einstellungen\JAD\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.sierrastudios.com/games/half-life/support/3Dinfo/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS.0\sisUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS.0\System32\khooker.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\DaemonTools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Time Sync] C:\Programme\Time Sync\time.exe
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS.0\system32\private.exe internat.dll,LoadMouseCarpetProfile
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky AV\kav.exe" /minimize
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Programme\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [defender] C:\\dfndref_7.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdef_7.exe
O4 - HKLM\..\Run: [67de9d04.exe] C:\WINDOWS.0\system32\67de9d04.exe
O4 - HKLM\..\Run: [jbx2e665] RUNDLL32.EXE w00ad76f.dll,n 0022e6630000000a00ad76f
O4 - HKLM\..\Run: [newname] C:\\nwnmef_7.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [ESCANIPC] C:\PROGRA~1\eScan\ESCANIPC.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2004\LeechGet.exe" -intray
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [67de9d04.exe] C:\Dokumente und Einstellungen\JAD\Lokale Einstellungen\Anwendungsdaten\67de9d04.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS.0\system32\Shdocvw.dll
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - h**p://promo.dollarrevenue.com/activex/promocache/3436342D2D2D.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - h**p://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - h**p://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - h**p://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS.0\system32\pmnqguh.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS.0\amFk\command.exe
O23 - Service: eScan-Installer-Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYISER.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky AV\kavsvc.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.0\system32\oodag.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe (file missing)
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

[edit]
links editiert
GUA
[/edit]

C:\WINDOWS.0\system32\ishost.exe
C:\WINDOWS.0\system32\issearch.exe
C:\WINDOWS.0\system32\ismon.exe
C:\WINDOWS.0\system32\isnotify.exe

ishost ist ein Zlob und der Rest bestimmt auch...

Dann hast du noch eine sehr seltsame exe Datei drauf.. bei so einem Fund empfehle ich Neustinstallation.

EDIT: Meine Güte.. da is ja mehr supicios druf als normale Prozesse oO

winstall.exe

Also.. da könnte ich noch 10 andere Dinge auf den ersten Blick als Trojaner oder sonst was identifizieren... ganz dringend neuinstallieren bitte!

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis.
Führe weiterhin diese Anleitung aus:
http://www.trojaner-board.de/showthread.php?t=30411
Poste auch das Ergebnis.
Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es.

@Darthshoot
Wo nimmst Du Deine Weisheiten her?
Erkläre, wieso Neuinstallation?

Er meint er könnte nicht mal sein Logfile auswerten und dann sind dort zich Trojaner drauf und sicher noch ne Virenflutwelle. Da dachte ich, dass es für ihn das leichteste wäre, eine Neuinstallation vorzunehmen, da das ne Stunde dauert und bis das System von ihm wieder clean ist.. wer weiß schon wie lange das dauert...

Zitat:

Zitat von Darthshoot

Er meint er könnte nicht mal sein Logfile auswerten und dann sind dort zich Trojaner drauf und sicher noch ne Virenflutwelle. Da dachte ich, dass es für ihn das leichteste wäre, eine Neuinstallation vorzunehmen, da das ne Stunde dauert und bis das System von ihm wieder clean ist.. wer weiß schon wie lange das dauert...

Diese Entscheidung solltes Du dem TO selbst überlassen, zumal sie in der Anleitung zum Zlob schon formuliert ist

Zitat:

Zitat von felix1

zumal sie in der Anleitung zum Zlob schon formuliert ist

Hallo FELIX (da konntest du nicht wiederstehen was )

Abgesehen von den Zlob Einträgen...

Zitat:

C:\WINDOWS.0\system32\ishost.exe
C:\WINDOWS.0\system32\issearch.exe
C:\WINDOWS.0\system32\ismon.exe
C:\WINDOWS.0\system32\isnotify.exe
C:\winstall.exe
usw.

...habt ihr den wichtigsten Eintrag überhaupt übersehen:

Zitat:

C:\WINDOWS.0\system32\private.exe

ist nämlich eine Variante von diesem hier --> W32/Rbot

Daher ist eine Neuinstallation die einzige richtige Entscheidung! Nein, es gibt wirklich keine andere Möglichkeit...


OT:

Zitat:

Zitat von darthshoot

Da dachte ich, dass es für ihn das leichteste wäre, eine Neuinstallation vorzunehmen, da das ne Stunde dauert und bis das System von ihm wieder clean ist.. wer weiß schon wie lange das dauert...

Egal wie lange eine Bereinigung dauert, die von Zlob geht meistens recht schnell, ist die Neuinstallation der letzte Ausweg/Entscheidung!!!
Wenn du dafür keine Zeit hast, starte garnicht erst den Versuch jemandem zu helfen bzw zu posten! Zumal jeder Hilfesuchende es erwartet, "ohne" die Standartantwort zu bekommen, da hilft nur Neuinstallation! Also zumindest den Versuch starten, sonst könnte man dieses (schöne ) Forum auch in www.setz-mich-neu-auf.de umbenennen!

SCNR!

Zitat:

Zitat von [Gc

Sunny]C:\WINDOWS.0\system32\private.exe
ist nämlich eine Variante von diesem hier --> W32/Rbot

Das wäre durchaus denkbar. Ich würde die Datei dann aber zur Vorsicht doch einmal online prüfen lassen. Die Links sind in meiner Signatur.

Wobei ich irgendwie den Eindruck habe, dass hier jemand schon ein neues Windows "drübergebügelt" hat.
C:\WINDOWS.0

Kurz einmisch:

Zitat:

ControlPanel X [path] private.exe internat.dll, LoadMouseCarpetProfile Reported by Norman Virus Control as W32/Downloader. Creates the files sdfff, fdsf and zxczxc. In the C:\WINDOWS\SYSTEM32 directory creates the files d.exe, s.exe and r.exe

zwar kein RBot, aber das System des TO ist völlig durchseucht (nicht nur Zlob). Daher m.E. Neuinstallation.

datus

Zitat:

Zitat von dartus

zwar kein RBot, aber das System des TO ist völlig durchseucht

Jein!

Könnte sowohl auch:
http://www.greatis.com/appdata/d/p/private.exe.htm
http://www.sophos.de/virusinfo/analyses/w32sobera.html
http://www.symantec.com/security_res...102410-5713-99

Von einigen Scannern wird er als "Sober" erkannt, von einigen aber auch als "RBOT"!

Ist ja eigentlich auch egal, Backdoor sind sie allemal

@All
Ich sehe eigentlich keinen Grund für eine weitergehende Diskussion, weil der TO sich eigentlich nicht wieder gemeldet hat.

Schönes WE für Dartus und [Gc]Sunny wünscht

Der Felix