Hallo,
nachdem mir gestern beim Besuch meiner Homebanking-Seite nach dem Einloggen eine Phishin-Seite angezeigt wurde, die mich aufforderte, 30 TANs einzugeben, habe ich meine Festplatte mit Antivir gescannt, da es mir auch mit neu Laden nicht möglich war, die Phishin-Seite wegzubekommen. Antivir fand aber nichts. Danach bin ich mit Adaware drüber gegangen. Adaware hat zwei Sachen gefunden:
WIN32.backdoor.agent (Virus) und WIN32.Trojanspy.peed (Malware)

Adaware ist es nicht möglich, den Virus und den Tronaer zu entfernen. Nach jedem Neustart des Systems ist beides wieder da. Über unseren 2. PC habe ich erst einmal die Daten für das Online-Banking geändert.

Ich habe sowieso vor, meinen PC in den nächsten Tagen zurückzusichern, da ich noch ein anderes Problem habe. Aber ich würde halt trotzdem gern verstehen, wo das Trojaner-Problem liegt und wie ich es ohne Rücksichern beheben kann. Man wird ja von solchen Sachen auch nicht dümmer ;) .

Ich poste mal mein Logfile, vielleicht kann ja damit jemand etwas erkennen.

Danke für eure Hilfe
Sterntaler

----------------------------------------------------------------

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hallo Sterntaler
Wenn du mit diesem Rechner Onlinebanking machst, muss ich dir raten ihn Neu aufzusetzen. Du hast da, unter anderen einen ganz Fiesen Trojaner drauf.
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe
Und vergiss im Anschluss nicht, deine Passwörter zu ändern.

Was bedeutet das F2 und woran erkenne ich, dass das ein Trojaner ist? Sorry für die Neugier, aber wenn ich wegen einer solchen Nervensäge meinen PC zurücksichern muss, dann möchte ich auch etwas dabei lernen .

Kann es Probleme geben, wenn ich jetzt meinen Mailordner von Pegasus und meine Favorite sichere? (sind ja alles keine exe-Dateien)

Reicht es, wenn ich die C-Partition, auf der sich das Betriebssystem befindet, zurücksichere? Meine eigenen Dateien sowie Bilder sind auf einer anderen Partition, dann muss ich mich dort um nichts kümmern.

So, ich habe zurückgesichert und noch einmal einen Logfile erstellt, nun ist diese F2-Zeile nicht mehr dabei. Ich kopiere ihn mal hier hinein, vielleicht kann ihn sich noch einmal jemand anschauen und mir sagen, ob es nun in Ordnung zu sein scheint.

Vielen Dank
Sterntaler

-----------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 15:33:46, on 08.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\ATI Multimedia\main\ATIDtct.EXE
C:\Programme\ShortCut\ShortCut.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\TEMP\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Programme\ATI Multimedia\main\ATIDtct.EXE
O4 - Global Startup: ShortCut.lnk = C:\Programme\ShortCut\ShortCut.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - https://www-secure.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.apple.com.edgesuite.net/qtinstall.info.apple.com/lupin/us/win/QuickTimeInstaller.exe
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

Die Datei Ntos.exe ist ein Backdoor Trojaner. Dieser ist hier auch schon öfters aufgetreten. Er stellt halt einiges auf dem Rechner um, so dass man nicht mehr weis was alles geändert wurde. Und wie ich schon beschrieben habe, wenn mit dem PC Onlinebanking gemacht wird, sollte man auf eine Reinigung allein nicht vertrauen.
Das mit der Sicherung der nichtausführbaren Dateien geht wohl in Ordnung. Vor dem zurückkopieren aber mit einem guten AVP scannen.
Und nein, es reicht nicht, die C-Partition zu Reinigen. Es müssen alle Partitionen Formatiert werden. Am besten die Partitionen neu erstellen.

Zitat:

Zitat von Sterntaler

So, ich habe zurückgesichert und noch einmal einen Logfile erstellt,

So eine "Zurücksicherung" war umsonst.
Neuaufsetzen entsprechend dieser Anleitung
Wenn du einen zweiten Rechner hast, kannst du dir inzwischen mal die Seite anschauen ntos.exe ein Virus ein Tag « Data Travelers-Blog zum Zeitvertreib oder einfach mal Googlen nach "ntos.exe"