Da ich leider nicht an dem Pc sitze der das Problem hat habe ich leider vergessen mir denn Namen von dem Trojaner aufzuschreiben.(folgt aber morgen)
Er wurde mit dem Prog. Spybot S&D entdeckt.
Da ich hier im Forum von diesem Programm HiJack gelesen habe, installierte ich es gleich und habe es auslesen lassen das System.
Wenn euch der Logfile weiter hilft kopiere ich ihn.
Das Problem ist das es der Arbeits Pc von meiner Schwiegermutter ist und ich gerade nicht viel dazu sagen kann.
Sie meinte nur das er nicht mehr richtig hochfährt und wenn ja dann dauert es ewigkeiten.

Schon mal Merci und für all eure Hilfe!
Bei weiteren fragen einfach melden.

C:\windows\System32\SCardSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe
C:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\windows\System32\alg.exe
C:\windows\system32\wscntfy.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\BOS\DENT6\BOSInformMg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\windows\SOUNDMAN.EXE
C:\windows\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\CodeMeter\Runtime\bin\CodeMeterCC.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\windows\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=userinit.exe,C:\windows\system32\ntos.exe,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [BOSInformMg] C:\Programme\BOS\DENT6\BOSInformMg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CodeMeter Control Center.lnk = C:\Programme\CodeMeter\Runtime\bin\CodeMeterCC.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: SkyUserDevmode-Update.lnk = C:\DATEV\PROGRAMM\B0001401\UpdateDevmode.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173876005452
O20 - Winlogon Notify: cryptonet - cryptonet.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BOSInformationManager - BOS® Business Organization Software GmbH - C:\Programme\BOS\DENT6\BOSInformMgS.exe
O23 - Service: CodeMeter Runtime Server (CodeMeter.exe) - WIBU-SYSTEMS AG - C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe
O23 - Service: DATEV Update-Service - DATEV eG - C:\DATEV\PROGRAMM\INSTALL\DvInesASDSvc.Exe
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE
O23 - Service: DCS Loader (DCSLoader) - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6042 bytes

Hi und

Bitte lass folgende Datei bei VirusTotal überprüfen und poste das Ergebnis:

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDC S.EXE

Bitte den genauen Pfad und die Bezeichnung des Trojaner angeben
Benuzt du XP oder Vista??

Wie gesagt ist nicht mein PC.
Als System hat sie Win XP mit SP.2
Werde es morgen machen wie du es mir gesagt hast und melde mich dann.

Zitat:

Zitat von manib213

Wie gesagt ist nicht mein PC.
Als System hat sie Win XP mit SP.2
Werde es morgen machen wie du es mir gesagt hast und melde mich dann.

Ok

hallo leute ich habe ein schlimmes problem



[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke.

[/edit]

So nun , der Trojaner nennt sich Win32.Agent.pz.
Und der Pfad ist: C:\Windows\system32\wsnpoem\
Habe mit Virus Total überprüfen lassen:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.11.0 2008.06.11 -
AntiVir 7.8.0.55 2008.06.11 -
Authentium 5.1.0.4 2008.06.11 -
Avast 4.8.1195.0 2008.06.11 -
AVG 7.5.0.516 2008.06.11 -
BitDefender 7.2 2008.06.11 -
CAT-QuickHeal 9.50 2008.06.11 -
ClamAV 0.92.1 2008.06.11 -
DrWeb 4.44.0.09170 2008.06.11 -
eSafe 7.0.15.0 2008.06.11 -
eTrust-Vet 31.6.5865 2008.06.11 -
Ewido 4.0 2008.06.11 -
F-Prot 4.4.4.56 2008.06.10 -
F-Secure 6.70.13260.0 2008.06.11 -
Fortinet 3.14.0.0 2008.06.11 -
GData 2.0.7306.1023 2008.06.11 -
Ikarus T3.1.1.26.0 2008.06.11 -
Kaspersky 7.0.0.125 2008.06.11 -
McAfee 5315 2008.06.11 -
Microsoft 1.3604 2008.06.11 -
NOD32v2 3178 2008.06.11 -
Norman 5.80.02 2008.06.11 -
Panda 9.0.0.4 2008.06.11 -
Prevx1 V2 2008.06.11 -
Rising 20.48.22.00 2008.06.11 -
Sophos 4.30.0 2008.06.11 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.11 -
TheHacker 6.2.92.342 2008.06.11 -
VBA32 3.12.6.7 2008.06.10 -
VirusBuster 4.3.26:9 2008.06.11 -
Webwasher-Gateway 6.6.2 2008.06.11 -
weitere Informationen
File size: 24576 bytes
MD5...: a9a35b074a07f4605c10ecf1e675468f
SHA1..: 6a59b6b3a3f0eaa84fedce76eb8f6218308cb747
SHA256: e446c88928d6c5f207ed61f95ad3caa36fef81f94bf8a8f6e802d80871285f2b
SHA512: 0c125f282401f78dd24be5b29c194b7fe3fc5dae087cc59456d3b36a8d291f47
a655b9428b7d4dd97100f553a580de7e797581f8fd645ab62571544e1cf1ff2b
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402808
timedatestamp.....: 0x42805234 (Tue May 10 06:18:28 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19ac 0x2000 5.24 280d1600ed878540c7c61a18759a9521
.rdata 0x3000 0xa76 0x1000 3.74 1d3b42a63b045f75e605f9c1a0310e94
.data 0x4000 0x114 0x1000 0.39 9fad1af157b4f1c4571d2fe98cc7f81a
.rsrc 0x5000 0x5c8 0x1000 1.35 4d7ec5d6d067da2bb499dd7d3d7c8017

( 6 imports )
> RPCRT4.dll: NdrServerInitializeNew, RpcRaiseException, RpcMgmtStopServerListening, RpcServerListen, RpcServerUnregisterIf, RpcServerRegisterIf, RpcServerUseProtseqEpA, NdrServerCall2
> MSVCRT.dll: _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, _acmdln, _XcptFilter, _exit, printf, __getmainargs, free, malloc, _except_handler3, _mbsicmp, exit
> KERNEL32.dll: GetStartupInfoA, GetModuleHandleA, lstrcmpiA, LoadLibraryA, GetProcAddress, FreeLibrary, LocalAlloc, LocalFree, lstrcpyA, GlobalFree, GlobalAlloc, GetLastError, GetVersionExA, CloseHandle, WaitForSingleObject, CreateEventA, CreateThread, Sleep, SetEvent, lstrcatA, lstrlenA, GetModuleFileNameA
> USER32.dll: LoadCursorA, DispatchMessageA, TranslateMessage, GetMessageA, CreateWindowExA, PostMessageA, DefWindowProcA, DestroyWindow, PostQuitMessage, RegisterClassA, LoadIconA, FindWindowA, LoadStringA
> WINSPOOL.DRV: FindClosePrinterChangeNotification, FindFirstPrinterChangeNotification, OpenPrinterA, ClosePrinter, EnumPrintersA
> ADVAPI32.dll: QueryServiceStatus, RegDeleteValueA, RegQueryValueExA, ChangeServiceConfigA, ControlService, RegDeleteKeyA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, DeleteService, SetServiceStatus, RegisterServiceCtrlHandlerA, StartServiceCtrlDispatcherA, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegEnumValueA, RegCloseKey






Das war das Ergebnis.

Kann mir keiner weiter helfen?

Keine Hilfe mehr!!!
Sorry aber es eilt das probl. zu beheben.
Denn der PC wird in der Arbeit benutzt und sie kann nicht mehr weiter arbeiten.

Werde mich heute abend darum kümmern Versprochen...
Bitte komm doch heute um halb 7 und dann musst du dir halt ne Stunde 2 zeit nehmen ok?

Ähm hallo?

Zitat:

F2 - REG:system.ini: UserInit=userinit.exe,C:\windows\system32\ntos.exe,

Zitat:

Denn der PC wird in der Arbeit benutzt und sie kann nicht mehr weiter arbeiten.

Wenn es ein Firmen-PC ist, können wir dir hier nicht helfen, tut mir Leid.

Zitat:

Zitat von -SkY-

Ähm hallo?

Zitat:

Zitat:

Wenn es ein Firmen-PC ist, können wir dir hier nicht helfen, tut mir Leid.

Aber hier machen wir dann dochmal ne Ausnahme und sagen zu -Sky-'s Zitaten noch dazu, dass ein Neuaufsetzen unumgänglich ist und das hinterher dringend alle Passwörter die an dem Rechner benutzt wurden geändert werden müssen, weil diese ausgespäht worden sind.

lg myrtille

Zitat:

Zitat von -SkY-

Ähm hallo?





Wenn es ein Firmen-PC ist, können wir dir hier nicht helfen, tut mir Leid.

Hallo

Ich weiss ja nicht wem dieses höhnische "Ähm hallo" gegolten hat, aber wenn es mir gegolten hat dann sei gesagt dass ich mir Sein Problem mal anschauen wollte und dies noch nicht getan habe also warum ein solcher Kommentar??

Dann frage ich mich auch warum dem User so lange nicht geholfen wurde und jetzt wo ich sagte ich kümmere mich darum sich gleich zwei melden

Falls das ganze dem User gegolten hat (was ich mir nicht vorstellen kann), finde ich das ganze etwas unfreundlich

Wie ich in deinem Post gesehen habe hat er ntos.exe drauf und muss mich deiner und myrtilles Vorschläge anschliessen ---> Neuaufsetzen

Also soll ich das System neu drauf setzen?

Also es ist ja so dass hier am Trojaner-Board nicht an geschäftlich genützten Computern was rumgefummelt wird (hab ich doch richtig verstande sky??)
Oder in wie fern ist der Computer geschäftlich??
Wie schon myrtille gesagt hat kommst du fast nicht drum herum (Neuaufsetzen)

Ok dann nur noch eine Sache.
Welche Progs. soll man benutzen um einen PC zu sichern?