Hi,

das ist der logfile von einem Freund von mir.
Ich hoffe ihr könnt ihn auswerten.
Wär sau nett wenn das einer machen würde.

C:\XP\System32\smss.exe
C:\XP\system32\winlogon.exe
C:\XP\system32\services.exe
C:\XP\system32\lsass.exe
C:\XP\system32\svchost.exe
C:\XP\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\XP\Explorer.EXE
C:\XP\system32\spoolsv.exe
E:\programme\Antivir 6\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\XP\System32\qvaxplq.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\XP\System32\dexs.exe
C:\Dokumente und Einstellungen\Corni\Anwendungsdaten\mtaa.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\XP\System32\fweet\dirote.exe
C:\XP\System32\fweet\dirote.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\XP\System32\fweet\ppi.exe
C:\XP\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Downloads\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {69AE3858-BB1A-7B95-D321-15550BD9264B} - C:\XP\System32\dbtoz.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\XP\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Microsoft Update Machine] qvaxplq.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [kjllfd] C:\XP\System32\fweet\kolder.exe C:\XP\System32\fweet\dirote.exe
O4 - HKLM\..\Run: [autorepair] dexs.exe
O4 - HKLM\..\Run: [NeroCheck] C:\XP\System32\\NeroCheck.exe
O4 - HKLM\..\RunServices: [autorepair] dexs.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] qvaxplq.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\Run: [Oeaw] C:\Dokumente und Einstellungen\Corni\Anwendungsdaten\mtaa.exe
O4 - HKCU\..\Run: [kjllfd] C:\XP\System32\fweet\kolder.exe C:\XP\System32\fweet\dirote.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] qvaxplq.exe
O4 - HKCU\..\Run: [autorepair] dexs.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C2E876E-B1FC-4B94-B49E-5ECA0835406D}: NameServer = 217.237.150.33 194.25.2.129


schon mal danke im vorraus.
mfg
ize

Ohje, dem System geht es gar nicht gut. Da ist neben einigen Backdoors auch schon Riskware aktiv. Da hilft imho nur "abreißen und neu machen", sorry.

Vorgehen zwecks Bestätigung:

1.) Geh in Windows in die Systemsteuerung (z.B. >Arbeitsplatz >Systemsteuerung).
2.) Wechsele dort in die Ordneroptionen, Registerkarte Ansicht.
3.) Nimm folgende Einstellungen vor:

Haken rausnehmen bei "Geschützte Systemdateien ausblenden".
Haken setzen bei "Inhalte von Systemordnern anzeigen".
Haken setzen bei "Alle Dateien und Ordner anzeigen".
Haken setzen bei "Versteckte Dateien und Ordner anzeigen".

4.) Nach diesen Dateien suchen und bei Kaspersky(-> http://www.kaspersky.com/de/scanforvirus ) prüfen. Ergebnisse hier posten.

C:\XP\System32\qvaxplq.exe
C:\XP\System32\dexs.exe
C:\Dokumente und Einstellungen\Corni\Anwendungsdaten\mtaa.exe
C:\XP\System32\fweet\dirote.exe
C:\XP\System32\fweet\ppi.exe
C:\XP\System32\fweet\kolder.exe
PDSched.exe

Erstmal vielen Dank für die schnelle Antwort.

Wir haben jetzt die Dateien bei Kaspersky überprüft.

Hier das Ergebnis:


Zu überprüfende Datei: qvaxplq.exe

qvaxplq.exe - packed with Krypton
qvaxplq.exe Infiziert: Backdoor.Rbot.gen


Zu überprüfende Datei: dexs.exe

dexs.exe - packed with Ezip
dexs.exe Infiziert: Backdoor.RBot.aw



Zu überprüfende Datei: mtaa.exe

mtaa.exe - packed with UPX
mtaa.exe Ok


Zu überprüfende Datei: dirote.exe

dirote.exe - packed with UPX
dirote.exe Ok

Zu überprüfende Datei: ppi.exe

ppi.exe - packed with UPX
ppi.exe Infiziert: Backdoor.MotivFTP.12



Zu überprüfende Datei: kolder.exe

kolder.exe - packed with UPX
kolder.exe Ok


hoffe du kannst uns weiterhelfen.
mfg
ize

1.) Dieses Tool laden: http://dingens.org
2.) Internetverbindung trennen.
3.) Die als infiziert erkannten Dateien bitte löschen. Dazu zuvor deren laufende Prozesse über den Taskmanager markieren und beenden. Falls sich der Taskmanager nicht aufrufen lässt, bitte die taskmgr.exe aus System32 kopieren, auf dem Desktop einfügen, in pruefung1.com umbenennen und ausführen.
4.) Alle bei dem Scan als "OK" erkannten Dateien sende bitte später an die unten in meiner Sigantur aufgeführten Mail-Adressen! Dazu sammele sie erstmal in einem Quarantäneordner. Nimm sie aber aus den Ursprungsordnern heraus!
5.) Deaktiviere die Systemwiederherstellung, falls XP genutzt wird.
6.) Führe das Tool von dingens.org aus.
7.) System neu starten.
8.) Internetverbindung herstellen und gesammelte Dateien an die Mailadressen senden.

Hi,

habe die Dateien an die zwei mail adressen geschickt.

Soll ich einfach einen neuen Ordner aufmachen und dann die Dateien darein kopieren ?

Und was ich soll mit HijackThis fixen ?
Muss ich doch auch was fixen, oder ?

Den Rest habe ich gelöscht.

mfg
ize

dirote.exe Infiziert not-a-virus:RiskWare.mIRC.6.03
kolder.exe Infiziert not-a-virus:RiskWare.Tool.HideWindows
mtaa.exe Infiziert not-a-virus:AdvWare.PurityScan.t

-> Alles löschen.

Meine Empfehlung: es wurde bereits die vermutete Riskware installiert. Daher sollte das System neu aufgesetzt werden.

@mmk:

In deinem Link steht der u.g. Hinweis mit Sicherheit auch drin, aber wer liest heutzutage schon irgendwelche Hinweise. Darum schreibe ichs hier auch noch mal gesondert rein.

Hinweis:

Nach dem (m.E. absolut sinnvollen) Neuaufsetzen des Systems und dem im Anschluss daran umgehenden Absichern des Rechners (siehe dazu die bereits geposteten Links in diesem Thread) solltest du bzw. dein Freund SÄMTLICHE Passwörter erneuern.

Andernfalls haben wir unter Umständen bald einen weiteren Jammerlappen, der sich bei Akte 04 oder in sonstigen "investigativen Sendungen" über die ach so dollen und bis dato völlig unbekannten Gefahren des Netzes ausheult.

Andreas