Hallo.
hab wieder ein neues problem.
kann jemand bitte mein logfile überprüfen?

Logfile of HijackThis v1.99.1
Scan saved at 15:11:49, on 11.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\Control.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\BitTornado\btdownloadgui.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

hab schon nen paar sachen gefixt aber das problem ist immernoch da nach der zeit....


hab den verdacht auf einen trojaner o.ä.

meine CPU auslastung schwankt die ganze zeit zwischen 30 und 60%
und dann steht immer auf mein desktop "Explorer.EXE hat ein problem festgestellt und muss beendet werden" aber normalerweise heisst die datei ja
"explorer.exe" und die ist auch noch da.
dann war meine internet explorer startseite verändert auf ne
microsoft update seite die garnicht zu öffnen ging und garnicht irgendwie existierte und das waren 4 einträge im HijackThis und noch andere sachen die ich gefixt habe aber immernoch alles da.
und dann verschwinden plötzlich meine taskleiste und alle meine desktopsymbole aufm desktop und das war erst weg als ich im taskmanager so ne komischen prozess beendet habe den ich noch nie zuvor gesehen habe und mir den namen nicht merken konnte.
und noch dazu fliege ich jede paar stunden aus nen spiel raus und dann steht da auch das der prozess von dem spiel beendet wurde.
das kommt aber immer wieder nach der zeit.
hab kaspersky 7 sygate firewall sbybotsearch und destroy tune up utilities und adaware2007 haben aber alle nix verdächtiges angezeigt.vielleicht wisst ihr ja was ich da sonst noch machen kann.


Mfg

Hi,

boa da krigt man ja nen Knoten beim lesen...
Ich versteh zwar deine Aufregung aber erst
mal seh' ich gar nix in deinen Überresten.

1. Beschreibe bitte dein Problem, welches du jetzt
immer noch hast.

2. Erstelle danach ein neues Logfile mit Hijackthis
in einem seperaten Ordner.

3. Zur besseren Übersicht hänge einen escan dran.

* MWAV (eScan) - Free Antivirus
-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

mfg Cleriker

hi.
also eigendlich habe ich jetzt nur noch 1 problem.
die ganze zeit nach jedem pc neustart und egal was ich mache kommt die frage ob ich 1 windows update installieren möchte.es geht nicht wegzuklicken die nachicht wenn man auf das rote kreuz oben rechts klickt und wenn man auf abbrechen geht dann geht es auch nur wieder in die taskleiste.
ich war auf der microsoft.com seite und habe alle updates installiert für mein pc.
wie kriege ich das also weg?



Gruß

Zitat:

Zitat von MarkerMaker

wie kriege ich das also weg?

Indem du als erstes mal das machst was man dir rät, nämlich einen eScan:


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)


Sunny

ja den thread mit dem escan hab ich mir auch schon durchgelesen nur leider komme ich nicht in den abgesicherten modus also nachdem ich pc hochfahren
will da kommt dann nur das anfangbild wo er läd das mit der weissen schrift und dann kommt erstmal nur schwarzer bildschirm und inderzeit reagiert mein pc garnicht und dannach kommt das bild mit dem windows logo aber dannach ist es ja schon zu spät mit abgesicherter modus.


Gruß

Zitat:

Zitat von MarkerMaker

ja den thread mit dem escan hab ich mir auch schon durchgelesen nur leider komme ich nicht in den abgesicherten modus also nachdem ich pc hochfahren
will da kommt dann nur das anfangbild wo er läd das mit der weissen schrift und dann kommt erstmal nur schwarzer bildschirm und inderzeit reagiert mein pc garnicht und dannach kommt das bild mit dem windows logo aber dannach ist es ja schon zu spät mit abgesicherter modus.


Gruß

Dann mach den Scan im normalen Modus.

Was mache ich jetzt?


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system\lsass.exe infiziert von "Backdoor.Win32.SdBot.bxr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\IMG-0012.zip/img0012-www.photostorage.com infiziert von "Backdoor.Win32.SdBot.bxr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Ali\Eigene Dateien\Meine empfangenen Dateien\IMG-0012.zip/img0012-www.photostorage.com infiziert von "Backdoor.Win32.SdBot.bxr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\IMG-0012.zip/img0012-www.photostorage.com infiziert von "Backdoor.Win32.SdBot.bxr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system\lsass.exe infiziert von "Backdoor.Win32.SdBot.bxr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Programme\BearShareV6de.exe//WiseSFX Dropper//WISE0104.BIN//stream//data0005 markiert als "not-a-virus:AdWare.Win32.Mostofate.j". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\DOKUME~1\Ali\LOKALE~1\Temp\install.dat
Offending file found: C:\Dokumente und Einstellungen\Ali\Lokale Einstellungen\temp\install.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5531507d-8aa5-11db-8ea0-00137732f5cb} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5531507e-8aa5-11db-8ea0-00137732f5cb} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5531507f-8aa5-11db-8ea0-00137732f5cb} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{55315080-8aa5-11db-8ea0-00137732f5cb} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8be64b62-f7e6-11db-8f9a-00137732f5cb} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\Ali\LOKALE~1\Temp\9kf17.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Ali\LOKALE~1\Temp\GLBF.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Ali\LOKALE~1\Temp\u6h12.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Ali\Lokale Einstellungen\Temp\9kf17.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Ali\Lokale Einstellungen\Temp\GLBF.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Ali\Lokale Einstellungen\Temp\u6h12.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\16a6e926762ae7bd768d9ef1ba94c232\BIT1A.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\298e7ea8e15e512fc2290a7c10f398c7\BIT4.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7d99d90c3a1337de52eac0b73c8599ee\BIT1C.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9713550dffb30098c792f351614da456\BIT1F.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9bc1114d47f292bcc3c1938495059499\BIT22.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f0c18f57ee746e8bd9293af8c554a7df\BIT20.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 152036
Gefundene Viren: 14
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 41
Dauer des Scans bisher: 02:24:11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:29:59,91
Batchende: 20:30:30,85

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system\lsass.exe
C:\WINDOWS\IMG-0012.zip
C:\Dokumente und Einstellungen\Ali\Eigene Dateien\Meine empfangenen Dateien\IMG-0012.zip

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)


Das sieht mir sehr stark nach dem MSN-Wurm aus, hast du eine Datei über MSN oder ICQ vor kurzem angenommen?


Sunny

hoffe ich habe alles richtig gemacht... ich kenne mich mit sowas leider überhaupt nicht aus... aber 1000 Danke für die Hilfe!!!!!



Datei IMG-0012.zip empfangen 2007.09.12 23:38:40 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.13.0 2007.09.12 -
AntiVir 7.6.0.10 2007.09.12 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.12 -
AVG 7.5.0.485 2007.09.12 SHeur.MMG
BitDefender 7.2 2007.09.12 Win32.Netsky.DAR@mm
CAT-QuickHeal 9.00 2007.09.12 Backdoor.SdBot.bxr
ClamAV 0.91.2 2007.09.12 Trojan.SdBot-7061
DrWeb 4.33 2007.09.12 BackDoor.IRC.Sdbot.1933
eSafe 7.0.15.0 2007.09.12 Win32.SdBot.bxr
eTrust-Vet 31.1.5128 2007.09.12 -
Ewido 4.0 2007.09.12 -
FileAdvisor 1 2007.09.12 -
Fortinet 3.11.0.0 2007.09.12 W32/SDBot.BXR!tr.bdr
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.12 Backdoor.Win32.SdBot.bxr
Ikarus T3.1.1.12 2007.09.12 Trojan.Peed
Kaspersky 4.0.2.24 2007.09.12 Backdoor.Win32.SdBot.bxr
McAfee 5118 2007.09.12 -
Microsoft 1.2803 2007.09.12 -
NOD32v2 2525 2007.09.12 IRC/SdBot
Norman 5.80.02 2007.09.12 W32/SDBot.BAVF
Panda 9.0.0.4 2007.09.12 Trj/Generic.B
Prevx1 V2 2007.09.12 -
Rising 19.40.22.00 2007.09.12 Worm.MSN.Win32.PhotoCheat.f
Sophos 4.21.0 2007.09.12 Mal/HckPk-A
Sunbelt 2.2.907.0 2007.09.12 Trojan.Peed.Gen
Symantec 10 2007.09.12 W32.Neeris
TheHacker 6.1.10.184 2007.09.11 -
VBA32 3.12.2.4 2007.09.12 -
VirusBuster 4.3.26:9 2007.09.12 -
Webwasher-Gateway 6.0.1 2007.09.12 Trojan.Crypt.ULPM.Gen

weitere Informationen
File size: 25754 bytes
MD5: 9e99bd92c6991f201cfdce31d8f6e080
SHA1: 0d00790911c2c6f41d80cfb10ad6e6a528d8a103

Ja, das kam durch MSN. Hab eine Datei angenommen und gespeichert und dann installiert, die von einer mir bekannten Person kam...

Beim F-Secure Blacklight Scan wurde nichts gefunden.

Zitat:

Zitat von krepl

Ja, das kam durch MSN. Hab eine Datei angenommen und gespeichert und dann installiert, die von einer mir bekannten Person kam...

Beim F-Secure Blacklight Scan wurde nichts gefunden.

Hallo.

Es gibt nun 2 Optionen für dich, beide tragen Risiken:

1) Durch diesen Backdoor-Trojaner wurde deine Systemsicherheit auf 0% herabgesetzt, dieses lässt sich nur noch durch eine Neuinstallation des Betriebssystems ändern.

2) Man bereinigt dein System indem man alle schädlichen Dateien löscht/entfernt, jedoch das Restrisiko trägst, das der Coder schon dein ganzes System verunstaltet bzw. verändert hat und dies (eventuell!) auch weiterhin tut.

Beachte sofern du dich für letzteres entscheidest, alle Aktivitäten im Netz z.B. Online-Banking, eBay, Kauf mit Kreditkarte etc.) sind nun nicht mehr SICHER!

Sunny

Vielen vielen Dank für deine Hilfe! Ich habe seitdem überhaupt kein online-banking mehr gemacht... also ist es die einzige Möglichkeit alles zu formatieren und neu zu installieren?

Allgemein ist ein Neuaufsetzen die sicherste Möglichkeit, auch bei Spy- oder Adwarebefall, obwohl man diese recht zuverlässig entfernen kann.

Bei Backdoorbefall weiß allerdings niemand mehr, was der Angreifer, der Zugriff auf dein System hatte, so alles weitere noch eingebaut hat. Möglicherweise legt er dann eine offensichtliche Datei irgendwo ab, um dich zu täuschen - in Wirklichkeit sind da aber schon Windowssystemdateien und Funktionen ersetzt bzw. erweitert worden.

Du müsstest also von einem Fremdsystem aus sämtliche Dateien des kompromittierten System überprüfen, aber nicht nur mit einem Virenscanner, sondern mit Hilfe von Prüfsummen einen Abgleich machen. Setzt aber voraus, dass du vom sauberen System diese angelegt und auf einem read-only medium gesichert hast. Hinzu kommt, dass nach jedem Update sich die Prüfsummen mancher Dateien nat. ändern..

Kurzum: Das Neuaufsetzen stellt die sicherste und wahrscheinlich auch schnellste Lösung für dich dar. Ist wohl 100 mal schneller als andere...