Hallo mal wieder!
Könnte sie bitte mal jemand dieses Logfile ansehen?
Was mir Sorge bereitet, sind die gefetteten Passagen, zu denen ich leider im Internet und mit Google keine Informationen finden konnte.

Eigentlich ist mein System recht neu, was aber nichts heißen muß. An Sicherheit und Firewall habe ich Norton Antivirus 2005 und den Windows Defender wie auch den Spybot hab ich auch schon durchlaufen lassen. Diese melden ein sauberes System. Und doch ist diese Datei ja nicht der Windowsmanager, denn der wird doch anders geschrieben. Diese Datei ist aber im System 32 Ordner zu finden."

Hier das Log:


Logfile of HijackThis v1.99.1
Scan saved at 16:23:22, on 09.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\Programme\Free Download Manager\fdm.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\Programme\T-DSL Manager\DslMgr.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDCountdown.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDPOP3.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\T-DSL Manager\DslMgrSvc.exe
C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [DefragTaskBar] "C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\RunOnce: [*Bandook] C:\WINDOWS\system32\msnmesnger.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [Bandook] C:\WINDOWS\system32\msnmesnger.exe
O4 - Startup: T-DSL Manager.lnk = C:\Programme\T-DSL Manager\DslMgr.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O23 - Service: AshampooDefragService - - C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe

Kennt jemand diese Exe? Ist sie vielleicht gar harmlos?
Oder seht Ihr sonst noch irgendwas auffälliges? Das System läuft eigentlich stabil und unauffällig, nur der Startvorgang kommt mir ein wenig langsam vor, also bis alle AUtostarteinträge geladen sind. Das hab ich bisher als Grund aber auf Norton Antivirus geschoben.

Vielen dank schon mal im voraus:


Hab auch schon versucht die Einträge mit HJT zu fixen, die Einträge sind beim nächsten Neustart wieder da. Wenn ich den Prozess über den Taskmanager beende, startet er sofort wieder

Lade die Datei bei Virustotal.com hoch (http://www.trojaner-board.de/59624-a...-sichtbar.html) und lasse sie scannen. Poste den vollständigen Scanreport samt Größenagabe.

Vielen Dank für die schnelle Hilfe. Hier also der Log:

Zitat:

Antivirus Version Update Result
AntiVir 7.3.1.36 02.09.2007 TR/Bandok.A
Authentium 4.93.8 02.09.2007 W32/Warezov.gen3!W32DL
Avast 4.7.936.0 02.09.2007 no virus found
AVG 386 02.08.2007 no virus found
BitDefender 7.2 02.09.2007 no virus found
CAT-QuickHeal 9.00 02.09.2007 no virus found
ClamAV devel-20060426 02.09.2007 no virus found
DrWeb 4.33 02.09.2007 BackDoor.Iam
eSafe 7.0.14.0 02.09.2007 no virus found
eTrust-Vet 30.4.3382 02.09.2007 no virus found
Ewido 4.0 02.09.2007 no virus found
Fortinet 2.85.0.0 02.09.2007 no virus found
F-Prot 4.2.1.29 02.09.2007 W32/Warezov.gen3!W32DL
F-Secure 6.70.13030.0 02.09.2007 no virus found
Ikarus T3.1.0.31 02.09.2007 no virus found
Kaspersky 4.0.2.24 02.09.2007 no virus found
McAfee 4959 02.08.2007 no virus found
Microsoft 1.2101 02.08.2007 no virus found
NOD32v2 2048 02.09.2007 probably a variant of Win32/Bandok
Norman 5.80.02 02.09.2007 no virus found
Panda 9.0.0.4 02.09.2007 Suspicious file
Prevx1 V2 02.09.2007 Covert.Sys.Exec
Sophos 4.13.0 02.08.2007 no virus found
Sunbelt 2.2.907.0 02.09.2007 no virus found
Symantec 10 02.09.2007 no virus found
TheHacker 6.1.6.055 02.09.2007 no virus found
UNA 1.83 02.08.2007 no virus found
VBA32 3.11.2 02.08.2007 suspected of LargeGroup^Backdoor.Agobot^Backdoor.Evilbot^Backdoor.Gbot^Backdoor.Gimbot^Backdoor.IRCBot.1 (paranoid heuristics)
VirusBuster 4.3.19:9 02.09.2007 no virus found

Aditional Information
File size: 98312 bytes
MD5: d4d748469df8e1d2b91267df90da2372
SHA1: 25dd75a137c92e63367bede4e60c46b69f26d444
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=607b66383515

Sieht wohl schon nach einem Vir aus oder? Fraglich, wie ich den eingefangen habe? Hab nur den Free Downloadmanager und den T-DSL SPeedmanager runtergeladen vom Internet und bekommen hier auf diesem Rechner keine EMails. Norton lief auch von Anfang an.

Mal kurz ein Zwischenstand von mir. Hab mir mal das empfohlene Programm Prevx1 runtergeladen. Erkennen tut es und schiebt diese msnmesngr.exe auch ins Gefängnis. Aber diese stellt sich sofort wieder neu her. Auch sofortiges löschen bringt nichts, da hat es denselben Effekt, nach 2 Sekunden ist dieses miese Teil wieder im Ordner

Hilft alles nix:

eScan
Bei Internetanbindung über einen Router diese Anleitung verwenden
Bei Internetanbindung direkt über ein DSL-/ISDN-/Analogmodem diese Anleitung verwenden

Die für dich passende Anleitung genau lesen und am Ende des Scans das Ergebnis der find.bat posten.

Hallo,
das hier habe ich zu deinem Backdoor gefunden.....

Troj/BandKit-A - Spyware-Trojaner - Sophos Bedrohungsanalyse
wenn du mich fragst......
Ich würde mir die Beschreibung bei Sophos durchlesen,ohnmächtig vom Stuhl fallen und sobald ich wieder bei mir bin,nach "Anleitungen,FAQ,Links" gehen,das hier auf der Startseite ist und mir den Thread "Neuaufsetzen des Systems und die anschließende Absicherung aber sowas von vornehmen....
Vor allem würde ich mein besonderes Augenmerk darauf richten,das Sophos sagt, dieser Backdoor würde Tastenfolgen mitschreiben.Daraus würde ich dann schließen,das meine sämtlichen Passwörter unbedingt durch neue ersetzt werden müssen und zwar nach der Neuinstallation.Weiterhin würde ich nicht so dumm sein und nur einfach die Passwörter untereinander tauschen.Ich könnte mir nämlich vorstellen,das der "Besitzer" des Trojaners dies ebenfalls bedenkt und mal ein bissel probiert ....
Aber das alles ist,was ich machen würde........
Was du machst ist deine Sache,denn es ist auch deine Kiste und es kann auch deine U-Haft-Zelle sein ,in der du dich wiederfinden könntest, falls der "Trojanerbesitzer" eine richtig üble S.. ist.
Irrlicht

Zitat:

Zitat von irrlicht

Hallo,
das hier habe ich zu deinem Backdoor gefunden.....

probably und suspected sind nicht gerade Begriffe, die geeignet sind, eine gesicherte Diagnose zu stellen. Warten wir noch eScan ab, bevor das Todesurteil gefällt wird.

Edit:
Ich gehe aber auch davon aus, dass was Böses auf dem Rechner ist.