Hallo Zusammen,

AntiVir meldet mir seit 4 Wochen fast jede halbe Stunde die Trojaner TR/Spy.ZBOT.cyv und TR/Dropper.Gen

Mein PC läuft momentan eigentlich ganz normal, aber ich hab trotzdem Angst das die Dinger den irgendwann lahm legen. Ich kenn mich bei der Bekämpfung leider nicht wirklich aus. Hier mal der HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34:01, on 14.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://suche.klicktel.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://suche.klicktel.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: winzdn32 - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O24 - Desktop Component 1: PC-Aquarium Deluxe - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

Keine Ahnung ob euch das was hilft. Wäre super wenn mir jemand helfen könnte die Plagegeister zu vernichten!

Danke schon mal im Voraus.

Den ich werd noch verrückt mit den Meldungen

Hallo Manju
Du hast da die C:\WINDO WS\system32\ntos.exe drauf. Da hilft nur ein Neuaufsetzen. So schnell wie möglich von einem sauberen Rechner aus deine ganzen Zugangspassworte ändern.

Hallo blow-in,

erst einmal vielen Dank für die schnelle Antwort! :aplaus:

Meinst du eine komplette Formatierung des Rechners? Gibts keine andere Lösung die Plagegeister los zu werden?

Nächste Frage (hier drehts sichs um ein Rechner in meiner Firma) können die Trojaner übers Netzwerk auch die anderen Rechner hier im Büro befallen??

Den Rechner zu formatieren wäre grausam, da so viele wichtige Dateien drauf sind

Kann ich die Dateien von dem Rechner (also Sprich Excel- und Word-Dateien) problemlos auf nen anderen tun oder muss ich befürchten das die Trojaner dann mit kommen?

Vielen Dank schon mal im Voraus

So ich springe mal ein,
bei Firmenrechner solltest du dich schleunigst mit eurem Administrator oder IT-Spezialisten in Verbindung setzen, denn Backdoor Server aus der Familie ZBot haben die blöde Angewohnheit Passwörter und persönliche Daten auszuspionieren.

Besonders bei Firmen kann dies katastrophal werden, also trenne diesen Rechner physikalisch vom Netz und befolge meinen Rat.

mfg

Okay danke! Auch wenn das keine gute Nachrichten sind

Kann ich denn unbesorgt die ganzen Excel- und Worddateien beispielsweise auf einen Stick sichern ohne befürchten zu müssen das die Mistviecher mit kommen?

Sagt dir das Programm Sophos Anti-Rootkit etwas? Das habe ich gerade benutzt und es hat den Trojaner gelöscht. Nur ob der jetzt wirklich weg ist ? Und was der schon angerichtet hat? Keine Ahnung...

Wende dich an den Administrator, der weiß schon was bei heiklen Dokumenten zu tun ist.
Eines solltest du aber sofort tun => Rechner vom Netz nehmen

Zitat:

Sagt dir das Programm Sophos Anti-Rootkit etwas? Das habe ich gerade benutzt und es hat den Trojaner gelöscht. Nur ob der jetzt wirklich weg ist ? Und was der schon angerichtet hat? Keine Ahnung...

Ja das Programm sagt mir was, nur ein Backdoor Server ist eben kein Rootkit

Und ja, möge er weg sein, das System bleibt dennoch kompromittiert. Evtl. wird dir auch nur vorgegaukelt, das er weg ist, denn jedes Programm kannst du als manipuliert ansehen, insbesondere Antivirenprogramme, o.Ä.

mfg

Hi

vermutlich eine der vielen Firmen, die keinen Administrator oder IT-Spezialisten haben, sondern bei Problemen die Arbeit von Freiwilligen in den Foren sich aneignen. Warum jemanden bezahlen wenn man es auch for free haben kann, so funktioniert die Wirtschaft doch. Alternativ hat der Administrator null Ahnung, denn ansonsten hätten die Mitarbeiter keine Administratorrechte und könnten keine Zbots installieren.

Egal: Neumachen ist angesagt.

Gruß, Karl

Zitat:

vermutlich eine der vielen Firmen, die keinen Administrator oder IT-Spezialisten haben, sondern bei Problemen die Arbeit von Freiwilligen in den Foren sich aneignen. Warum jemanden bezahlen wenn man es auch for free haben kann, so funktioniert die Wirtschaft doch. Alternativ hat der Administrator null Ahnung, denn ansonsten hätten die Mitarbeiter keine Administratorrechte und könnten keine Zbots installieren.

Oder so.

Erst ein mal vielen vielen Dank für die Hilfe!!!

Mit dem "Administrator" liegt ihr beide nicht richtig . Wir sind ne kleine Baufirma, also sprich 3 vernetzte PC ohne Server. Jeder ist sein eigener Administrator. Das mit Geld sparen ist also so auch nicht richtig ^^ aber vermutlich läufts bei vielen Firmen wirklich so.

Na gut dann muss ich wohl die Kiste platt machen...

Nochmals vielen Dank das ihr mir gesagt habt was los is.

:aplaus::aplaus::aplaus:

Wenn ihr nur 3 Rechner habt ist das ja kein Grund, das ihr euch alle als Administrator anmelden müsst. Bei einem eingeschränkten Konto währe das nicht passiert. Da hätte sich die NTOS.EXE nicht breitmachen können.
Mit Admin-Rechten nur reingehen, wenn Neues aufgespielt werden muss, bzw Einstellungen zu ändern währen. Dabei aber nach Möglichkeit ohne INet Verbindung.
Sollte für die Zukunft mal überlegt werden.