Hallo zusammen,

ich bin grad auf mein Zweitsystem Linux und hab den AVG Virenscanner über die Windoof XP Partition laufen lassen. Der hat auch gleich etwas entdeckt:

SHeur.ADZB C:\WINDOWS\ntdetect.com

Soweit ich in Google rausgefunden hab, sollte diese Datei eigentlich direkt auf C:\ sein, oder nicht? Im Moment trau ich mich nicht, die zu löschen, weil ich nicht weiß, welche auswirkungen das haben könnte.

Als ich mit Avast unter Windows gescant habe, hat der nichts gefunden. Zumindest nicht während Windows läuft.

Gruß

P.S. Falls es doch schon einen Thread gab mit diesem Troja, dann tut es mir Leid und werde meine Brille in Zukunft besser putzen.

Hallo FerdL
Das du einen eigenen Fred aufgemacht hast war schon richtig. Jedem User sein eigenes Thema.
Hast du denn sonst irgendwelche Probleme?
Stelle doch erst einmal ein HJT-Log hier rein. Anleitung
Beachte das entschärfen von aktiven Links und persönliche Namen durch *** zu ersetzen.

Also mein Rechner ist nicht unbedingt der schnellste - zumindest unter Windows. Aber in letzter Zeit ist das schon sehr extrem. Ausserdem kommt es ab und zu vor, dass nach dem Booten die I-Net Verbindung nicht geht. Sie funktioniert erst wieder, nachdem ich auf "Reparieren" gegangen bin. Und dann war mal vor kurzem was, dass einer meiner vielen Browser keine Seiten mehr anzeigen konnte. Erst nach einer Neuinstallation des Browsers hat es wieder funktioniert. Das war K-Meleon, der allerdings auch fälschlicherweiße von dem TuneUp Taskmanager als Trojaner angezeigt wird.



Hier mal das Log(ich hab insgesamt 3 Benutzer auf dem System. Deshalb das "user1" und "user2":

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:49, on 08.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\SearchIndexer.exe
C:\DOKUMENTE UND EINSTELLUNGEN\USER1\EIGENE DATEIEN\DOWNLOADS\ch128\ch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Alwil Software\Avast4\ashDisp.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\DeskPins\DeskPins.exe
C:\Dokumente und Einstellungen\USER1\Desktop\desktop\tclocklight-040702-3\tclock.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Alwil Software\Avast4\setup\avast.setup

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.com//0seenus/saos01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsaft User Terrorist
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:59406
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Bho Class - {AB37CD3D-DC1D-46b2-ADCA-3CDC80FD2AD6} - C:\Dokumente und Einstellungen\USER2\Lokale Einstellungen\Anwendungsdaten\Meinungsstudie\PanelApp\PanelApp_0600.2007.0517.1434.dll
O3 - Toolbar: &Linkman - {5C9DCA26-CEC4-4280-A831-D622D4DBF113} - C:\Programme\Linkman\LinkmanCom.dll
O4 - HKLM\..\Run: [Copy Handler] C:\DOKUMENTE UND EINSTELLUNGEN\USER1\EIGENE DATEIEN\DOWNLOADS\ch128\ch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Alwil Software\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SAFE6_SAFE] "C:\Programme\Steganos Safe 6\safe.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [SAFE6_SAFE] "C:\Programme\Steganos Safe 6\safe.exe" /booting (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [SAFE6_SAFE] "C:\Programme\Steganos Safe 6\safe.exe" /booting (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Startup: DeskPins.lnk = D:\Programme\DeskPins\DeskPins.exe
O4 - Startup: tclock.exe.lnk = C:\Dokumente und Einstellungen\USER1\Desktop\desktop\tclocklight-040702-3\tclock.exe
O8 - Extra context menu item: &Define - file://C:\Programme\IEToys\Webster.htm
O8 - Extra context menu item: &Delete Images - file://C:\Programme\IEToys\CleanDom.htm
O8 - Extra context menu item: &Highlighter - file://C:\Programme\IEToys\Highlighter.htm
O8 - Extra context menu item: &MSN - file://C:\Programme\IEToys\MSN.htm
O8 - Extra context menu item: Access&Keys - file://C:\Programme\IEToys\AccessKeys.htm
O8 - Extra context menu item: Encyclopedia &Lookup - file://C:\Programme\IEToys\WebEncyc.htm
O8 - Extra context menu item: HTML So&urce - file://C:\Programme\IEToys\HTMLSrc.htm
O8 - Extra context menu item: I&mage List - file://C:\Programme\IEToys\ImageList.htm
O8 - Extra context menu item: Linkif&y && Open - file://C:\Programme\IEToys\Linkify.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Übersetzen mit &dict.leo.org - C:\Dokumente und Einstellungen\USER1\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - h**p://www.trendsecure.com/framework/control/activex/TmHcmsX.CAB
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - h**p://www.nutzwerk.de/control/NutzNavi.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34C384F5-4713-4A22-879C-5218612519F4}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD7E4125-97AD-4C17-9758-0B104481A39D}: NameServer = 192.168.2.1
O20 - Winlogon Notify: iifgecb - C:\WINDOWS\
O20 - Winlogon Notify: sstrr - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe

--
End of file - 8810 bytes


Ich hoff, ich hab alle Links und Namen erwischt und zensiert.

Mir sind bisher nur diese beiden Dienste aufgefallen:
O20 - Winlogon Notify: iifgecb - C:\WINDOWS\
O20 - Winlogon Notify: sstrr - C:\WINDOWS\

Gruß