Hallo,

auf meinen Desktop- Pc, den eigentlich vor allem mein Bruder nutzt hatte ich / habe ich einen ziemlichen Virenbefall! Also ich konnte das System wieder soweit bringen, dass man jetzt wieder damit arbeiten kann. AntiVir zeigt auch keinen gefunden Trojaner mehr an, weil ich soweit was ging im abgesicherten Modus gelöscht habe. HijackThis gibt folgendes aus, sicher noch Bedenkliches dabei!!! Wer kann mir sagen was??????? Dankeschön im Vorraus!!! Gruss Rexina

Logfile of HijackThis v1.99.1

Scan saved at 12:58:18, on 23.07.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Programme\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\DVD\PowerDVD\PDVDServ.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\ICQLite\ICQLite.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Programme\Trafficdetector3\TrafficdetectorV3.exe

C:\Programme\Trafficdetector3\catcher_.exe

C:\Programme\Trafficdetector3\SpeedMinifenster.exe

C:\Programme\Trafficdetector3\minifenster.exe

C:\Programme\WinRAR\WinRAR.exe

C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\Rar$EX11.812\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: T3ToolbarHelper Class - {164E93C4-09BF-4647-9E0B-D5FBB1D35E63} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O3 - Toolbar: DasÖrtliche Such-Leiste - {6E5B18CB-0EB6-4461-88B8-33B4683613D5} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [KAZAA] C:\Programme\KaZaA Lite\Kazaa.exe /SYSTRAY

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\DVD\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: Trafficdetector.lnk = C:\Programme\Trafficdetector3\TrafficdetectorV3.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B7B4F3-CE7C-40E8-9D09-5344364807F0}: NameServer = 192.168.0.1

O20 - AppInit_DLLs: C:\WINDOWS\system32\mscikci.dll

O20 - Winlogon Notify: rege2usb - rege2usb.dll (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -log "*:EventLog:0" -log Connections:EventLog:100 -service (file missing)

Setzt bitte den Rechner neu auf, Du hast Backdoor-Befall. - Backdoor.Win32.Small.lu
Ausserdem, kennst Du diese Adresse?
30.10.2006 - RUNNET-ILCA1 descr: ICS TM, JSC descr: 70 Bolshoy pr. V.O. descr: 199002 St.-Petersburg
Sogar mein Antivir hat eine Warnmeldung rausgegeben als ich Dein Log untersucht habe.

http://www.trojaner-board.de/12154-a...sicherung.html

EDIT: Moin Rene-gad
EDIT2 : Moin Joeyblack : Schwebebahn fährt leider zur Zeit nicht weil nächste Ausbauphase, aber der Zoo hat neuen Baby-Elefanten ;-)

Hallo,

hinter:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

verbirgt sich imho ein backdoor, daraus ergibt sich nur eine sinnvolle Lösung:

NEU AUFSETZEN !
(Anleitung findest Du hier im Board sowie Empfehlungen zur zukünftigen Risikominimierung. Bitte alle Passwörter ändern !)

LG

Joey
___________________________________________________
Wer eine Frage stellt verpflichtet sich, der Antwort zuzuhören !

@Mobius
Grüße an den Schnelleren...wo sitzt Du denn an der Schwebebahn, wollte am Sonntag meinen Kindern mal die Bahn und den Zoo zeigen...

LG

Joey

@Rene-gad
Moin Rene-gad, wollte ich mich nochmal bedanken, Du hast mir vor 2 Jahren hier im Board echt geholfen, vllt kann ich ja etwas der Community zurückgeben..

LG
Joey

EDIT:
Moin Mobius, danke für die Info, werden dann "nur" Zoo besichtigen und schweben nach dem 06.08.07

Zitat:

Zitat von Rexina

AntiVir zeigt auch keinen gefunden Trojaner mehr an, weil ich soweit was ging im abgesicherten Modus gelöscht habe.

Nö, hast du nicht:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\mscikci.dll
O20 - Winlogon Notify: rege2usb - rege2usb.dll (file missing)

und unter ntos.exe ist ein Backdoor-Trojaner zu vermuten. Entfernung von Backdoor-Trojaner.
EDIT: Moin Mobius07 und joeyblack

Hi,

ok es handelt sich also um einen Backdoor Trojaner, was heißt der Computer meines Bruders wird ausspioniert oder könnte sehr gut ausspionniert werden. Krasse Geschichte!!! Ja ich hab mir eh schon gedacht, dass man da bald mal ne Neuinstallation vornehmen muss.
Eine Frage noch: was meinst du mit :30.10.2006 - RUNNET-ILCA1 descr: ICS TM, JSC descr: 70 Bolshoy pr. V.O. descr: 199002 St.-Petersburg ob ich diese Adresse kennen würde???

Danke

Gruss Rexina

Hallo Rexina,

das:

Zitat:

Zitat von Rexina

Eine Frage noch: was meinst du mit :30.10.2006 - RUNNET-ILCA1 descr: ICS TM, JSC descr: 70 Bolshoy pr. V.O. descr: 199002 St.-Petersburg ob ich diese Adresse kennen würde???

war mit Sicherheit mehr eine rhethorische Frage, weil es auf einen Server in St.Petersburg hinweist.

...und das weiss er daher:

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!h**p://82.179.166.130/e9xr2.chm::/file.exe

LG

Joey
_____________________________________________________
Wer eine Frage stellt verpflichtet sich, der Antwort zuzuhören !