Hab mal den misshandelden PC von meinem Bruder angeguckt und das gefunden:

Logfile of HijackThis v1.98.2
Scan saved at 11:02:48, on 23.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\ezSP_Px.exe
E:\PROGRA~1\Tastatur\KEMailKb.EXE
C:\index.exe
E:\Programme\DU Meter\DUMeter.exe
C:\Programme\Inet Delivery\inetdl_2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
E:\Programme\Mozilla\Mozilla.exe
E:\Programme\WinTV\Ir.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Win RAR\WinRAR.exe
C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [KEMailKb] E:\PROGRA~1\Tastatur\KEMailKb.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\giubuq.exe
O4 - HKLM\..\Run: [REEGRUN] C:\index.exe
O4 - HKLM\..\Run: [DU Meter] E:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Inet Delivery] C:\Programme\Inet Delivery\inetdl_2.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe
O4 - HKLM\..\RunServices: [zervpack2] update2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "e:\Programme\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: AutoStart IR.lnk = E:\Programme\WinTV\Ir.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Office XP\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...67d9100f21782b
O16 - DPF: {3717DF57-0396-463D-98B7-647C7DC6898A} - http://delivery.inet-traffic.com/inetdl.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Fmialnai.dll



Nach der Installation von Kaspersky gings normal gleich gar nicht mehr->abgesicherter Modus .
Leider komm ich hier nicht ins Inet ->keine Updates für Kasper.
Dennoch hat Kasper schon 3 Trojaner gefunden und gelöscht.
Da aber die automat. Auswertung vom HiJack 9 böse Dateien vermutet bitte ich euch das mal durchzulesen.
Danke

Ich hab es doch noch geschafft Kasper zu updaten und lasse jetzt nochmals eine vollständige Untersuchung laufen.
Mittlerweile komm ich auch in den normalen Win Modus wieder rein.
Die erste Untersuchung im abgesicherten ergab 11 Trojaner,Würmer....
Im zweiten jetzt ist er bei 50% und hat wieder 10 gefunden.
Wenn es jemanden interessiert schreibe ich auch mal die Namen der Würmer rein.
Also dann...

Es sind immer noch einige Backdoor Trojaner aktiv, daher lautet meine Empfehlung:
http://www.trojaner-board.de/showpos...28&postcount=2

Danke, aber da wär mein Bruder wahrscheinlich nich so glücklich.
Aber mal sehen. Wichtige Dateien zum ausspähen gab es da eh nicht.
MAl sehen was sich noch so machen lässt.

Ich find auch, dass neuaufsetzten die Sicherste Methode ist. Und vielleicht auch die einfachste, aber einen Nutzen für mich bringt das ja auch nicht. Weder bekomme ich Einblick in der Arbeit mit HiJack noch eine Ahnung wie man befallene Systeme säubert. Schließlich macht es ja auch Spass etwas neues Kennenzulernen und damit zu arbeiten.
Doch wenn die einzige ( war sicherlich gut gemeint ! ) Hilfe im Forum bei einem Neuaufsetzten liegt hätt ich ehrlich gesagt auch nich fragen brauchen.

Falls jemand den Fehler kennt kann er ja bescheid sagen:
Mozilla wird nach einer Weile befallen und es zeigt bei jeder gewählten Inet Adresse eine Zonealarm Seite an.

Ich weiss nich was es ist vielleicht ihr !
Danke

Zitat:

Wichtige Dateien zum ausspähen gab es da eh nicht.

Das ist eine irrige Aussage dich ich hier in letzter Zeit wieder verstärkt lese.
Es geht nicht nur darum, ob dein Bruder sich selbst in Gefahr bringt, sondern dass sein Rechner eine Gefahr für andere I-net User darstellt:
- Online-Banking
- Ebay
- Keylogging
- Online-Shoppen
- Bewerbungen, Kreditkartennummern,
- vertrauliche Dokumente und Emails
- Missbrauch des System für illegale Sachen, wie Spamversand (rechtsradikalen Propaganda-Mails)
- Server für abgelegte Daten wie z.B. Kinderpornografie usw.
- DDOS-Attacken
usw.

Bot-Netze zurzeit das größte Problem im Internet

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Zitat:

Doch wenn die einzige ( war sicherlich gut gemeint ! ) Hilfe im Forum bei einem Neuaufsetzten liegt hätt ich ehrlich gesagt auch nich fragen brauchen.

Es ist nicht die einzigste und auch nicht die einfachste Lösung des Problems , aber letztendlich die sicherste.
Man muss eben als Helfender differenzieren:
Welche Schadroutine hat die Malware?
Wie ist sie eingedrungen?
Welchen Wissensstand hat der Themenstarter?
usw.

Fakt ist, dass per Ferndiagnose eine Bereinigung bei solcher Malware nur ein Neuaufaufsetzen als wirklich sinnvolle Lösung zulässt.
http://www.microsoft.com/technet/arc.../10imlaws.mspx
http://www.microsoft.com/technet/com...mt/sm0504.mspx

Wenn du dein System einigermassen sinnvoll bereinigen willst, dann gehe nach folgender Anleitung vor:
http://cert.uni-stuttgart.de/os/ms/w...-detection.php
Auch hier gibt es keine 100%ige Sicherheit, dass danach dein System wirklich sauber ist.

Wichtiger wäre die Absicherung des Systems um eine Kompromittierung zu vermeiden:
http://www.mathematik.uni-marburg.de...ompromise.html

Ich verstehe dich ja aber die Neugierde war halt da. Mal was Neues zu verstehen. http://cert.uni-stuttgart.de/os/ms/...r-detection.php ist sehr gut

Ich hab jetzt den PC vom INET abgekapselt und lass spasseshalber escan und ad aware laufen. Sind sogar schon fertig und haben keine Viren mehr gefunden. Hat wahrscheinlich Kasper alle bekannten gefunden.
Naja egal. Dann halt DVD rein und formatieren.

Dann schliess ich mal mit dem Thema ab und hab noch ne andere Frage:
Ich hab eScan bei meinem Rechner laufen lassen und was merkwürdiges entdeckt :
File E:\RECYCLER\NPROTECT\00000721. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File E:\RECYCLER\NPROTECT\00000741. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File E:\RECYCLER\NPROTECT\00000767. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File E:\RECYCLER\NPROTECT\00000991. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File E:\RECYCLER\NPROTECT\00000992. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File E:\RECYCLER\NPROTECT\00000997. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File E:\RECYCLER\NPROTECT\00001003. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File E:\RECYCLER\NPROTECT\00001004. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File E:\RECYCLER\NPROTECT\00001005. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.



Ich hab diese Art noch nie gesehen fall mir jemand helfen kann
DANKE :aplaus:

Wenn du norton utillities drauf hast werden dateien nach dem löschen nochmals in diesem "Norton protectec recycle bin" oder wie sich das schimpft gespeichert. Mach einen rechtsklick auf den papierkorb und klicke "dateien aus norton protection entfernen" (oder so ähnlich an), dann müssten die gelöscht werden.

Gruß
Lidius

PS: Sorry hab norton schon ewig nimmer drauf, daher is mein wissen über die genaue namensgebung etwas lückenhaft.

Poste aber sicherheitshalber nochmal ein HijackThis logfile von dir

Das Problem ist das ich Kaspersky drauf hab und die deinstallation von Norton wahrscheinlich nich Vollständig war.
BLOß die dähmlichen Dateien lassen sich noch nicht einmal mit dem TuneUp assistenten löschen.

mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 19:03:59, on 23.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Gregor\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www-cache.marienberg.km3.de:8080;gopher=www-cache.marienberg.km3.de:8080;http=www-cache.marienberg.km3.de:8080;https=www-cache.marienberg.km3.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.marienberg.km3.de;home.marienberg.km3.de;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [DU Meter] D:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095957364125
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab



Achja ich finde es merkwürdig das ad Aware und Freunde den PC von meinem Bruder für clean halten ???

@gger
wechsle in den abgesicherten modus und fixe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
den kannst du löschen wenn du diese eintrag nicht brauchst
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

ansonsten schaut das lög ok aus.
chaosman

Danke!!! @chaosman
Wenn du noch ne Idee zum Löschen hast kann ich in Ruhe mein Bier trinken.