Hallo,

ich habe folgendes Problem mit dem LowZones.AH.3 Trojaner und habe dazu auch mal n SystemScan mit Hijack durchgeführt:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]

Also da ich keinerlei Ahnung habe von Trojanern und Viren, bitte ich Euch, da mal drüber zu schauenu nd mir eine Anleitung zum Entfernen zu geben.

Das Problem äussert sich folgendermaßen. AntiVir nörgelt ständig herum, dass folgende Dateien mit LowZones.AH.3 infiziert sind:
C:\WINDOWS\UpdReg.EXE
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\sw20.exe
C:\WINDOWS\system32\sw24.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720. 3640\GoogleToolbarNotifier.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDE T.EXE
C:\Programme\Creative\SB Drive Det\SBDrvDet.exe
C:\Programme\Creative\MediaSource\RemoteControl\RC Man.EXE

Dann habe ich einen Onlinecheck bei Symantec durchgeführt und der meinte, dass die obigen Dateien nicht mit LowZones sondern mit ZoneBac infiziert wären und fand darüber hinaus noch folgende Probleme:
C:\Programme\Duden-Suche Toolbar\toolbar.dll ist infiziert mit Spyware.IEToolbar
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\bridge.inf ist infiziert mit Adware.WinFavorites
C:\WINDOWS\system32\cnllaqyc.mro ist infiziert mit Hacktool.Rootkit

Habe zu LowZones deftig herumgegoogelt aber keine Lösung gefunden.

Folgende Probleme habe ich im Übrigen mit meinem System wobei ich denke, dass diese mit den Trojanern in Verbindung stehen:
1. Ich kann Windows nicht ohne Weiteres herunterfahren, sondern muss erst auf "Benutzer wechseln" und denn auch "Runterfahren", damit da was passiert.
2. Bei Spielen jeglicher Art führt Windows einfach eine "alt+tab" kombi durch und ich lande auf dem Desktop.
3. Meine Taskleiste verschiebt sich nach ca. 5 min nach einem Boot von alleine und die Schriftgröße ändert sich.

Ich hoffe ich habe Euch jetzt nicht überladen aber ich bin doch etwas überfragt, was diese Seuche hier angeht. Möchte mein System ungern neu aufsetzen, der Aufwand wäre irre...

Freundlichen Gruß und Prost
Braumeister

mOIn auch

nach deiner Schilderung, hätte ich gesagt, der Rechner ist nicht mehr dein.

Bitte mach alle Dateien und Ordner sichtbar :

Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei - Erweiterungen bei bekannten Dateitypen ausblenden -
häkchen raus bei - Geschützte Systemdateien ausblenden -
anhaken - Inhalte von Systemordnern anzeigen -
bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen -
--> Übernehmen

dann lasse bitte folgende Dateien

C:\WINDOWS\system32\sysini.exe
C:\WINDOWS\system32\cnllaqyc.mro

hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei,
auch wenn nichts gefunden wurde.

Anschließend lade dir Blacklight lass es laufen und poste anschließend das Log (findest du im selben Ordner wie Blacklight).

MFG

Moin moin!

Ich finde den Auspruch "Dein Rechner ist nicht mehr Dein" sehr sehr passend

also zunächst mal die Ergebnisse der Sysini.Exe:

Antivirus Version Update Result
AntiVir 7.2.0.34 10.27.2006 HEUR/Malware
Authentium 4.93.8 10.28.2006 no virus found
Avast 4.7.892.0 10.27.2006 Win32elf-BRI
AVG 386 10.27.2006 BackDoor.Generic3.MRC
BitDefender 7.2 10.28.2006 no virus found
CAT-QuickHeal 8.00 10.27.2006 no virus found
ClamAV devel-20060426 10.28.2006 no virus found
DrWeb 4.33 10.28.2006 no virus found
eTrust-InoculateIT 23.73.40 10.28.2006 no virus found
eTrust-Vet 30.3.3164 10.28.2006 no virus found
Ewido 4.0 10.28.2006 no virus found
Fortinet 2.82.0.0 10.28.2006 W32/Delf.ATX!tr.bdr
F-Prot 3.16f 10.28.2006 no virus found
F-Prot4 4.2.1.29 10.27.2006 no virus found
Ikarus 0.2.65.0 10.28.2006 no virus found
Kaspersky 4.0.2.24 10.28.2006 Backdoor.Win32.Delf.atx
McAfee 4883 10.27.2006 no virus found
Microsoft 1.1609 10.26.2006 no virus found
NOD32v2 1.1842 10.27.2006 probably unknown NewHeur_PE virus
Norman 5.80.02 10.27.2006 W32/Delf.NVL
Panda 9.0.0.4 10.27.2006 Suspicious file
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.107 10.27.2006 no virus found
UNA 1.83 10.27.2006 Backdoor.Delf.93
VBA32 3.11.1 10.27.2006 suspected of Backdoor.Delf.196 (paranoid heuristics)
VirusBuster 4.3.15:9 10.27.2006 no virus found

Aditional Information
File size: 263680 bytes
MD5: 67b773b3e2663bb4fc93350a203d114e
SHA1: eb7cfad7da86ad15771941fc8396a00624ce74ff
packers: UPX
packers: UPX, MASKPE
packers: UPX


Nun die andere Datei cnllaqyc.mro:

Antivirus Version Update Result

AntiVir 7.2.0.34 10.27.2006 TR/Click.Small.JS.8
Authentium 4.93.8 10.28.2006 W32/Adclicker.QT
Avast 4.7.892.0 10.27.2006 Win32:Rootkit-C
AVG 386 10.27.2006 Clicker.BKX
BitDefender 7.2 10.28.2006 Trojan.Clicker.Small.AM
CAT-QuickHeal 8.00 10.27.2006 TrojanClicker.Small.js
ClamAV devel-20060426 10.28.2006 no virus found
DrWeb 4.33 10.28.2006 Trojan.Click.1242
eTrust-InoculateIT 23.73.40 10.28.2006 Win32/Lobster!Trojan
eTrust-Vet 30.3.3164 10.28.2006 Win32/Lobster!generic
Ewido 4.0 10.28.2006 Hijacker.Small.js
Fortinet 2.82.0.0 10.28.2006 Adware/Phide
F-Prot 3.16f 10.28.2006 security risk named W32/Adclicker.QT
F-Prot4 4.2.1.29 10.27.2006 W32/Adclicker.QT
Ikarus 0.2.65.0 10.28.2006 Trojan-Clicker.Win32.Small.JS
Kaspersky 4.0.2.24 10.28.2006 Trojan-Clicker.Win32.Small.js
McAfee 4883 10.27.2006 no virus found
Microsoft 1.1609 10.26.2006 VirTool:WinNT/Smallrk.D
NOD32v2 1.1842 10.27.2006 Win32/TrojanClicker.Small.JS
Norman 5.80.02 10.27.2006 W32/Smalltroj.IMD
Panda 9.0.0.4 10.27.2006 no virus found
Sophos 4.10.0 10.26.2006 Troj/Phide-B
TheHacker 6.0.1.107 10.27.2006 Trojan/Clicker.Small.js
UNA 1.83 10.27.2006 TrojanClicker.Win32.Small.4106
VBA32 3.11.1 10.27.2006 Trojan-Clicker.Win32.Small.js
VirusBuster 4.3.15:9 10.27.2006 no virus found

Aditional Information
File size: 14976 bytes
MD5: b57ea325715d13f84610efb236bdbdd4
SHA1: 7b8c8f1bafda7f3bd0b82853eecefe08c5e4b42d

Also wenn ich jetzt mal mit meinem "Halbwissen" einen Kommentar dazu abgeben dürfte, würde ich sagen, dass ich wirklich alles habe was geht :-(

Das Blacklight-Log folgt auf dem Fuße...

Und hier noch der Blacklight-Log, aus dem ich allerdings so überhauptnix erkennen kann. Hoffe ich hab nix falsch gemacht..

10/28/06 13:26:18 [Info]: BlackLight Engine 1.0.47 initialized
10/28/06 13:26:18 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/28/06 13:26:18 [Note]: 7019 4
10/28/06 13:26:18 [Note]: 7005 0
10/28/06 13:26:18 [Note]: 7006 0
10/28/06 13:26:18 [Note]: 7011 1340
10/28/06 13:26:18 [Note]: 7026 0
10/28/06 13:26:18 [Note]: 7026 0
10/28/06 13:26:22 [Note]: FSRAW library version 1.7.1020
10/28/06 13:30:52 [Note]: 2000 1012
10/28/06 13:30:52 [Note]: 7007 0

Prost
Braumeister

mOIn nochmal

Sysini.Exe ist ein Backdoortrojaner der mich veranlasst dir zu sagen, setz dein System neu auf auch wenn du das nicht unbedingt hören wolltest.

cnllaqyc.mro ist ein Rootkit, ein Progrämmchen das andere Prozesse tarnt, es ist also durchaus möglich, dass noch mehr Schädlinge auf deinem System unterwegs sind welche aber getarnt sind (und trotz des Einsatzes von Blacklight nicht gefunden wurden).

Zitat:

Zitat von Sophos, Erläuterung

Troj/Phide-B ist ein Systemtreiber, der Prozesse und Registrierungseinträge tarnt, indem er Betriebssystem-Datenstrukturen direkt manipuliert.

Daher mein Rat, setze nach dieser Anleitung dein System neu auf, ändere ebenso alle deine Passwörter.

MFG

Ja danke für den Support.

Werde ich dann wohl machen müssen mit dem kompletten Neuaufsetzen.
System ist auch schon mindestens 2 Jahre am Laufen und ziemlich "dick". Vielleicht ist das gar keine schlechte Idee.

Danke und Prost!
Braumeister