Hallo liebe Community,

nachdem sich div. Programme nicht mehr öffnen ließen und der Computer sich merkwürdig verhielt, habe ich nach einigem Lesen Ntos.exe und wsnpoem erfolgreich "vertreiben" können. Dann bin ich von NAV auf Kaspersky Antivirus 8 umgestiegen. Das war schon mal ein Fortschritt.

Kaspersky hat im RAM den Backdoor.Win32.Sinowal.a gefunden, dieser war aber nach diversen Enfernungsversuchen des Programms immer wieder im Speicher. Irgendwie ist er nun entfernt, das Programm meldet zumindest keinen Befall mehr - auch auf der Festplatte ist alles gesäubert.

Nun meine Frage: Ist an meine Hijack_log irgendetwas merkwürdig, hat sich daort ein Trojaner evtl. gut versteckt?

Aus diversen Foren-Einträgen weiß ich, dass ich erst sicher gehen kann, wenn ich das System neu aufsetze.

Das kann ich aber mangels Zeit erst in 2 Wochen tun.

Ich bitte daher um Euren fachkundigen Blick, ob noch etwas verdächtiges auffällt.

Danke!!!

Kay

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:24:54, on 22.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Test\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://news.google.de/news?ned=&btn=Los
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: T-DSL Manager.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: T-DSL Manager.lnk = ? (User 'Default user')
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Fotoabzug online bestellen ! - h**p://fotoup.info/ie2wk.php?hid=piqs
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - h**ps://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - h**p://ips.poi.de/ips-opdata/operator/6918...ects/jordan.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/...b?1123281883453
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - h**p://labor.fotoservice.web.de/static/download/WDU_1251.cab
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) - h**ps://de.uc-office.eu/dana-cached/setup/J...perSetupSP1.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (Omega P 1.5672a) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe
O23 - Service: ThreatFire - Unknown owner - C:\Programme\ThreatFire\TFService.exe (file missing)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 8210 bytes

Hallo,
das Schmoren im eigenen Saft scheint dir tatsächlich nicht nur dem Namen nach zu liegen....

Zitat:

Ntos.exe und wsnpoem

Allein diese beiden würden mich fertigbacken in Sekunden...
DU hast gelesen zu was diese einsetzbar sind und welche Möglichkeiten sich damit eröffnen...?

Zitat:

Irgendwie ist er nun entfernt

Aha...und das glaubst du..?

Zitat:

das Programm meldet zumindest keinen Befall mehr

Möglicherweise fühlt sich das Programm einfach müde und ist es leid immer wieder den gleichen Kram zu erzählen...

Ernsthaft...
Dem hier solltest du Folge leisten :

http://www.trojaner-board.de/51262-a...sicherung.html


Beschäftige dich insbesondere mit der Thematik "absichern des Systems"
Oder denkst du auch das Backdoortrojaner und Viren einfach angeflogen kommen...?
Den ersten und gröbsten Fehler hast du selbst gemacht....
Irrlicht

Hallo und danke für die Info - deutlich aber gerecht. Ich werde die Platte neu formatieren.

Trotzdem nochmal meine Frage: Könnte Ihr irgendetwas außergewöhnliches an der Logfile erkennen?

Danke!

Zitat:

Könnte Ihr irgendetwas außergewöhnliches an der Logfile erkennen?

Außergewühnlich viele Programme drauf deren Nutzen von unnütz bis zweifelhaft oder sinnvoll geht...meinst du das ?

Zwei AV Programme sind sogar gefährlich ,weil die sich seltenst miteinander verstehen.Mögliche Folge können Systemabstürze sein.Zwei AV Programme helfen auch nicht doppelt,das macht für gewöhnlich die "Brain.exe" besser und effektiver..
Irrlicht
PS.
Mir ist schon klar das du nicht aufsetzen wirst und hoffst das ich dir suspekte Einträge zeige,die du dann fixen kannst...
Ich sehe aber nicht wirklich welche.Das soll ich aber auch gar nicht,das wollen die Backdoors nämlich gerne vermeiden und verstecken sich deshalb recht gut...
PSS
Mir ist völlig egal was du mit deiner Kiste machst oder nicht....
Eventuelle Schwierigkeiten treffen auch dich und nicht jemand anderes...

Ich glaube, jetzt unterstellst Du mir etwas. In zwei Wochen habe ich Urlaub und kann mich erst dann darum kümmern. Was nutzt mir ein infizierter Rechner, mit dem man beim Online-Banking jedesmal Schweißausbrüche bekommt?

Trotzdem wollte ich gern wissen, ob evtl. noch andere Software iniziert sein könnte, die ich dann evtl. aus Versehen wieder aufspielen würde.

Wenn das nicht der Fall ist - um so besser.

Mittlerweile habe ich gelesen, dass Sinowal sich im Bootsektor einnistet - es wird also definitiv nicht anders gehen, als neu zu Partitionieren.

Trotzdem bedanke ich mich nochmals für die Hinweise.

Kay

Hallo,
ich will dir nix unterstellen...
Du wärst aber halt nicht der Erste der es so versucht....

Zitat:

Was nutzt mir ein infizierter Rechner, mit dem man beim Online-Banking jedesmal Schweißausbrüche bekommt?

Solange das nur Schweißausbrüche sind bist du ja noch richtig gut bedient...

Ich bräuchte stündlich neue Unterwäsche.....

Zitat:

Trotzdem wollte ich gern wissen, ob evtl. noch andere Software iniziert sein könnte, die ich dann evtl. aus Versehen wieder aufspielen würde.

Das könnte sein....
Das ist unmöglich zu beurteilen bzw.eine Aussage dazu zu treffen...
Die meiste Software läßt sich aber an der eigentlichen Quelle wieder holen.Oftmals sogar in neuester Version...:aplaus:
Was unbedingt wieder drauf muß solltest du auf CD,DVD oder externer Platte gesichert haben und VOR dem zurückspielen mit einem aktuellen Scanner durchprüfen.
Übles kann sich dabei nur in ausführbaren Dateien sinnvoll verstecken....
Was ausführbare Dateien sind sagt dir Google.Das sind zuviele um sie hier aufzuführen........
irrlicht

Hoffentlich liest der TO nochmal hier..
Versuche bitte einen Rootkitscanner wie "gmer" und lass ihn durchlaufen.
unter :http://www.trojaner-board.de/redirec...Fmbr%2Fmbr.exe bekommst du das kostenlose Programm.
Irrlicht,
leicht angesäuert ob seines Fehlers....