Ein Freund hat sich bei seinem PC mit Windows 2000 Trojaner eingefangen. Der PC fährt hoch bis zum Windows-Start und wird dann wieder von selbst heruntergefahren. Antivir hat die Trojaner aufgespürt und auch gelöscht (angeblich).
Ich habe mit HijackThis dann im abgesicherten Modus die Log-Datei erstellt und kann das Problem nicht genau erkennen.
Logfile of HijackThis v1.99.1
Scan saved at 18:22:43, on 01.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\HiJackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [System] C:\WINNT\system32\kernels88.exe
O4 - HKCU\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [Key] C:\DOKUME~1\Huber1\LOKALE~1\Temp\23.tmp
O4 - HKCU\..\RunOnce: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O20 - Winlogon Notify: winsys2freg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\winsys2f.dll
O21 - SSODL: mDFsNmSQT - {8897C059-223D-6AF3-5122-7B028DE1E2FE} - C:\WINNT\system32\sr.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINNT\system32\UAService7.exe

Die Logdatei von Antivir lautet wie folgt:
Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 284695 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149991-WURGE-0001

Plattform: Windows NT Workstation
Windows-Version: 5.0 Build 2195 (Service Pack 4)
Benutzername:
Computername:
Prozessor: Pentium
Arbeitsspeicher: 130592 KB frei

Versionsinformationen:
AVWIN.DLL : 6.32.00.51 532520 04.11.2005 12:58:26
AVEWIN32.DLL : 6.33.0.77 1008128 19.01.2006 15:42:48
AVGNT.EXE : 6.32.00.02 180327 04.11.2005 12:58:26
AVGUARD.EXE : 6.32.00.12 208424 04.11.2005 12:58:26
GUARDMSG.DLL : 6.31.00.01 98344 04.11.2005 12:58:26
AVGCMSG.DLL : 6.32.00.01 299125 04.11.2005 12:58:26
AVGNTDW.SYS : 6.31.00.01 32896 04.11.2005 12:58:26
AVPACK32.DLL : 6.32.00.02 319528 04.11.2005 12:58:26
AVGETVER.DLL : 6.30.00.00 24576 04.11.2005 12:58:26
AVSHLEXT.DLL : 6.30.00.01 40960 04.11.2005 12:58:26
AVSched32.EXE : 6.32.00.01 110632 04.11.2005 12:58:26
AVSched32.DLL : 6.30.00.00 122880 04.11.2005 12:58:26
AVREG.DLL : 6.31.00.05 41000 04.11.2005 12:58:26
AVRep.DLL : 6.33.00.130 1638440 19.01.2006 15:43:00
INETUPD.EXE : 6.32.00.53 262203 04.11.2005 12:58:26
INETUPD.DLL : 6.32.00.53 159744 04.11.2005 12:58:26
CTL3D32.DLL : 2.31.000 27136 10.12.1999 13:00:00
MFC42.DLL : 6.00.9586.0 1015859 19.06.2003 12:05:04
MSVCRT.DLL : 6.10.9844.0 286773 19.06.2003 12:05:04
CTL3DV2.DLL : 2.29.000 26992 14.08.1995 23:00:00

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt


Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK


Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
C:\

WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings
winsys2f.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp
rsysinit.exe
[FUND!] Ist das Trojanische Pferd TR/ExitWin.Z
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OR6LAZ4T
krab03[1].exe
[FUND!] Ist das Trojanische Pferd TR/ExitWin.Z
WURDE GELÖSCHT!
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINNT\system32
dlh9jkd1q1.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.agq.4
WURDE GELÖSCHT!
dlh9jkd1q5.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.agq.4
WURDE GELÖSCHT!
sr.dll
[FUND!] Ist das Trojanische Pferd TR/Proxy.Agent.DF.14
WURDE GELÖSCHT!
vxga3me2.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.agq.4
WURDE GELÖSCHT!
vxga5me3.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.agq.4
WURDE GELÖSCHT!
C:\WINNT\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


D:\backup\Treiber\Drucker
CJMX32L1.hqx
ArchiveType: BinHex (Mac)
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Mittwoch, 10. Januar 2007 19:14
Benötigte Zeit: 44:20 min


4697 Verzeichnisse wurden durchsucht
69198 Dateien wurden geprüft
7 Warnungen wurden ausgegeben
7 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Viren bzw. unerwünschte Programme wurden gefunden

Hallo

bei einem solch starken Befall mit u.a. diesen Zeitgenossen (da ist aber noch mehr)
Troj/Slate-A
W32/Rbot-QE
die beide Backdooreigenschaften haben, bleibt mir nur der Rat des neuinstallierens mit anschließender Absicherung
nach dieser Anleitung --> Anleitung zum neu Aufsetzen
Ändere nach der Neuinstallation auch bitte alle Passwörter, da sich wie es aussieht noch ein Passwortstealer (Keylogger) auf dem System befindet.

MFG