Hi,
manche Sites z.B. Ebay.de oder microsoft-Update kann ich nicht mehr aufrufen. Komisch ist nur, wenn ich mit genau diesem Notebook eine VPN in die Firma aufbaue dann kann ich die Sites plötzlich anzeigen. Ein ping auf ebay.de gibt mir mit VPN und auch ohne zwar die IP zurück aber eine Zeitüberschreitung. Wenn ich diese IP im Browser eingebe dann kann ich mit VPN die Site anzeigen und ohne VPN nicht. Sollte also keine DNS-Sache sein.
Allerdings bleibt ja mit und ohne VPN der Browser immer der gleiche, kann es dann trotzdem bösartiger Code sein ?
Hier noch das HijackThis log.

Logfile of HijackThis v1.98.2
Scan saved at 20:35:51, on 17.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Software\Tools\StrongDisk Pro\StrDisk.exe
C:\Software\Tools\Antivir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Software\Tools\Antivir\AVGUARD.EXE
C:\Software\Tools\Antivir\AVWUPSRV.EXE
C:\Software\Kommunikation\LANguard\sscansvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Software\Tools\VMware\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Avant Browser\iexplore.exe
C:\Dokumente und Einstellungen\supergau\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com.tw/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Progra~1\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [StrongDisk] C:\Software\Tools\StrongDisk Pro\StrDisk.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Software\Tools\Antivir\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094582036155
O17 - HKLM\System\CCS\Services\Tcpip\..\{85910BDD-1DF6-4357-826E-781A10562106}: NameServer = 212.18.0.5,212.18.3.5

@firestone

wahrscheinlich hast du dieser im system
http://www.trendmicro.com/vinfo/viru...=WORM_SDBOT.WE
wechsle in den abgesicherten modus und fixe
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
lösche danach manuell winsysi.exe
lade danach escan
http://www.mwti.net/antivirus/free_utilities.asp
mache es genau so wie hier beschrieben
http://www.trojaner-board.de/showthread.php?t=8131
und poste nur die ergebnisse hier im board
mache ein neues log von HijackThis und poste es hier
chaosman

Alles gemacht, hat nix geholfen.
ein paar Dateien sind gelöscht worden aber zwei musste ich selbst löschenwinsysi.exe ist auch weg aber auf Ebay und te komm ich immer noch nicht bzw. nur wenn ich via VPN in die Firma eingewählt bin.
Hier nochmal das neuset HijackThis Log.

Vielen Dank.

Logfile of HijackThis v1.98.2
Scan saved at 22:20:59, on 18.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Software\Tools\StrongDisk Pro\StrDisk.exe
C:\Software\Tools\Antivir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Software\Tools\Antivir\AVGUARD.EXE
C:\Software\Tools\Antivir\AVWUPSRV.EXE
C:\Software\Kommunikation\LANguard\sscansvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Software\Tools\VMware\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\supergau\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com.tw/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Progra~1\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [StrongDisk] C:\Software\Tools\StrongDisk Pro\StrDisk.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Software\Tools\Antivir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094582036155
O17 - HKLM\System\CCS\Services\Tcpip\..\{85910BDD-1DF6-4357-826E-781A10562106}: NameServer = 212.18.0.5,212.18.3.5

Was genau hat den Escan gefunden?

HI,
also es ist:

Win32.Parite.b
Backdoor.Win32.Wilba.a
Worm.Win32.Padobot.r
TrojanProxy.Win32.Bobax.c
TrojanDownloader.Win32.Agent.cw
Tool.Win32.Reboot
TrojanDownloader.Win32.Small.wa
Backdoor.Win32.Rbot.gen
Exploit.Java.Bytverify
Trojan.Java.ClassLoader.Dummy.d

wie kann das sein trotz vorherigem Virenupdate und Scan (Antivir) und Adaware Update und Scan?

Vielen Dank.
mfg Henry

Lese dir dies mal durch Backdoor.Win32.Rbot.gen

Das bedeutet, dass Dein System kompromittiert ist. Es gibt keine sichere Möglichkeit, die Spuren die diese Viren im befallenen System hinterlassen, so zu entfernen, dass das System Deines Computers wieder als sicher betrachtet werden kann. Das System Deines Computers befindet sich möglicherweise in fremder Hand.

Die sicherste Lösung ist deinen Rechner nach dieser Anleitung neu aufzusetzen:
http://board.protecus.de/showtopic.p...me=1097944155&

@ firestone

Rbot.gen--> Erläuterung

Tipps und Hilfestellung dazu von:

Lutz und Cidre und MountainKing

Zitat:

Zitat von firestone

HI,
also es ist:

Win32.Parite.b, Backdoor.Win32.Wilba.a, Worm.Win32.Padobot.r, TrojanProxy.Win32.Bobax.c, TrojanDownloader.Win32.Agent.cw, Tool.Win32.Reboot, TrojanDownloader.Win32.Small.wa, Backdoor.Win32.Rbot.gen, Exploit.Java.Bytverify, Trojan.Java.ClassLoader.Dummy.d

Es ist nicht zu verantworten, mit einem kompromittierten System im Netz zu bleiben.

Die Sophos Viren-Enzyklopädie zitiert:

"W32/Rbot-CI ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben mit einfachen Kennwörtern zu verbreiten. Er enthält außerdem Backdoortrojaner-Funktionalität, wodurch er unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist.

W32/Rbot-CI verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehl von einem remoten Anwender erhalten hat.

W32/Rbot-CI kopiert sich als WUAMGRD.EXE in den Windows-Systemordner und erstellt Registrierungseinträge namens MICROSOFT UPDATE MACHINE unter folgenden Schlüsseln, damit er beim Systemstart aktiviert wird."

Löschen genügt nicht, das System MUSS formatiert werden.

SD