hallo leute,
ich hab jetz schon ganze 4 Backdoor Viren bei mir aufm PC...bedeutet das jetzt dass mein PC unbedingt kompromittiert wurde?Mein Freund der sich da eigentlich ganz gut auskennt, hat gesagt ich soll Windoof auf jeden Fall neu aufsetzen da mein PC "100%-ig kompromittiert" wurde...
leider hab ich im Moment (Shit Happens ) die Windows CD nicht da, kann also Windoof nicht neu aufsetzen.

Danke im Voraus

Hallo inFinity,

wo wurden welche Viren gefunden (bitte Datei- und Pfadangabe) und wer sagt das (logfile deines AVP vorhanden?, bitten posten).

Erstelle zur Übersicht bitte auch mal ein HJT-log.

Dein Freund kann durchaus recht haben, schau zur Information hier rein, in der Anleitung ist das Problem "Kompromittierung" mMn gut erklärt. Gruß

danke für die schnelle antwort ordell
mein antivirusprogramm ist AVG Free und AVG Anti-Spyware

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 14:28:29 29.07.2007

+ Scan-Ergebnis:



C:\Programme\Total Video Converter\patch.exe -> Backdoor.Bifrose.aas : Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-220523388-115176313-682003330-1004\Dc11.exe -> Backdoor.Hupigon : Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-220523388-115176313-682003330-1004\Dc19\Tuning Pack PC Booster German by Retader\pc booster 5 german.exe -> Backdoor.IRCBot.acd : Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-220523388-115176313-682003330-1004\Dc20.rar/Tuning Pack PC Booster German by Retader\pc booster 5 german.exe -> Backdoor.IRCBot.acd : Keine Aktion durchgeführt.
C:\WINDOWS\system32\Sys32\AKV.exe -> Logger.Ardamax.g : Keine Aktion durchgeführt.
C:\WINDOWS\system32\Sys32\OLTW.exe -> Logger.Ardamax.h : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Eigene Dateien\CS2D\GrenadeHack.exe -> Not-A-Virus.HackTool.Win32.Delf.bw : Keine Aktion durchgeführt.
C:\WINDOWS\system32\Sys32\OLTW.006 -> Not-A-Virus.Monitor.Win32.Ardamax : Keine Aktion durchgeführt.
C:\WINDOWS\system32\Sys32\OLTW.003 -> Not-A-Virus.Monitor.Win32.Ardamax.o : Keine Aktion durchgeführt.
C:\WINDOWS\system32\Sys32\OLTW.007 -> Not-A-Virus.Monitor.Win32.Ardamax.o : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Cookies\***@2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Cookies\***@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Cookies\***@sevenoneintermedia.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.47:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.71i : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Cookies\***@adicqserver.71i[1].txt -> TrackingCookie.71i : Keine Aktion durchgeführt.
:mozilla.57:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Adbrite : Keine Aktion durchgeführt.
:mozilla.58:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Adbrite : Keine Aktion durchgeführt.
:mozilla.140:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
:mozilla.141:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
:mozilla.158:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Adnet : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Cookies\***@adtech[1].txt -> TrackingCookie.Adtech : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[1].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
:mozilla.164:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Com : Keine Aktion durchgeführt.
:mozilla.32:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Cookies\***@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt.
:mozilla.41:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.42:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
:mozilla.43:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
:mozilla.44:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
:mozilla.45:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
:mozilla.46:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Cookies\***@counter.hitslink[1].txt -> TrackingCookie.Hitslink : Keine Aktion durchgeführt.
:mozilla.48:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Cookies\***@ivwbox[1].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
:mozilla.76:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.77:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Cookies\***@komtrack[2].txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.167:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Masterstats : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Cookies\***@m.webtrends[2].txt -> TrackingCookie.Webtrends : Keine Aktion durchgeführt.
:mozilla.161:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\oz5q9foy.default\cookies.txt -> TrackingCookie.Yadro : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Cookies\***@yadro[1].txt -> TrackingCookie.Yadro : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Eigene Dateien\CS2D\CS2DHaxx.exe -> Trojan.Delf.bcg : Keine Aktion durchgeführt.


::Berichtende

Hier noch ein screen vom AVG-Test-Center(das eigentliche AVG Free)




und der HJT-Log

Logfile of HijackThis v1.99.1
Scan saved at 14:41:05, on 29.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Desktop\AppZ\Mousometer.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.windowsxlive.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {27A2134B-A7F8-42EF-8BF6-C5828737C8B2} - C:\WINDOWS\system32\dskquouj.dll (file missing)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.5.19.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Vista Sidebar] C:\Programme\Vista Sidebar\sidebar.exe
O4 - HKCU\..\Run: [ViStart] C:\Programme\ViStart\ViStart.exe
O4 - HKCU\..\Run: [VisualTooltip] C:\Programme\VisualTooltip\VisualToolTip.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\Object Desktop\WindowBlinds\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe




die viren die gefunden wurden hab ich alle endgültig gelöscht und die Quarantäne geleert

Zitat:

O2 - BHO: (no name) - {27A2134B-A7F8-42EF-8BF6-C5828737C8B2} - C:\WINDOWS\system32\dskquouj.dll (file missing)

Bei dir ist noch mehr Malware im System, und das wird wahrscheinlich nur die Spitze des Eisbergs sein. Bei dir wurde mindestens ein Backdoor entdeckt, d.h. unbekannte konnten schon längst darüber in deinen Rechner eingebrochen sein und alles mögliche manipuliert haben.

Du solltest den Rechner vom Netz nehmen und neu aufsetzen. Nach ordentlicher Absicherung des Systems solltest du auch sämtliche Passwörter ändern.

diese dll hab ich schon längst gelöscht...

zu der kompromittierung: heißt das das wenn ich jetzt irgendwo ein passwort eintippe (Browser oder Programm z.B steam) könnte das zu diesem typ da weitergeschickt werden?

Zitat:

Zitat von inFiniTY

diese dll hab ich schon längst gelöscht...

Das mag sein, aber während die Tür für Unbefugte offen war (bzw. jetzt immer noch ist!) konnten neue Komponenten hinzukommen oder bestehende Windows-Systemdateien manipuliert werden. D.h. auch wenn du den erst entdeckten Backdoor erkannt und sogar entfernt hast, konnten in der Zwischenzeit, in der das Ding aktiv war, neue Backdoors eingepflanzt werden.

Zitat:

zu der kompromittierung: heißt das das wenn ich jetzt irgendwo ein passwort eintippe (Browser oder Programm z.B steam) könnte das zu diesem typ da weitergeschickt werden?

Ja, das ist aber nur eine von vielen Möglichkeiten. Da gibts noch allerhand mehr, was die Schädlingsautoren mit Schadsoftware beabsichtigen.

Daher solltest du dem Link neu aufsetzen in meiner Signatur folgen.

ok...danke für deine hilfe
setz ich halt neu auf -_- verdammter mist...

danke für die hilfe leuts...es ist vollbracht das sys is neu aufgesetzt