Hab mal den misshandelden PC von meinem Bruder angeguckt und das gefunden:

Logfile of HijackThis v1.98.2
Scan saved at 11:02:48, on 23.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\ezSP_Px.exe
E:\PROGRA~1\Tastatur\KEMailKb.EXE
C:\index.exe
E:\Programme\DU Meter\DUMeter.exe
C:\Programme\Inet Delivery\inetdl_2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
E:\Programme\Mozilla\Mozilla.exe
E:\Programme\WinTV\Ir.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Win RAR\WinRAR.exe
C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [KEMailKb] E:\PROGRA~1\Tastatur\KEMailKb.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\giubuq.exe
O4 - HKLM\..\Run: [REEGRUN] C:\index.exe
O4 - HKLM\..\Run: [DU Meter] E:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Inet Delivery] C:\Programme\Inet Delivery\inetdl_2.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe
O4 - HKLM\..\RunServices: [zervpack2] update2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "e:\Programme\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: AutoStart IR.lnk = E:\Programme\WinTV\Ir.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Office XP\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...67d9100f21782b
O16 - DPF: {3717DF57-0396-463D-98B7-647C7DC6898A} - http://delivery.inet-traffic.com/inetdl.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Fmialnai.dll



Nach der Installation von Kaspersky gings normal gleich gar nicht mehr->abgesicherter Modus .
Leider komm ich hier nicht ins Inet ->keine Updates für Kasper.
Dennoch hat Kasper schon 3 Trojaner gefunden und gelöscht.
Da aber die automat. Auswertung vom HiJack 9 böse Dateien vermutet bitte ich euch das mal durchzulesen.
Danke

Ich hab es doch noch geschafft Kasper zu updaten und lasse jetzt nochmals eine vollständige Untersuchung laufen.
Mittlerweile komm ich auch in den normalen Win Modus wieder rein.
Die erste Untersuchung im abgesicherten ergab 11 Trojaner,Würmer....
Im zweiten jetzt ist er bei 50% und hat wieder 10 gefunden.
Wenn es jemanden interessiert schreibe ich auch mal die Namen der Würmer rein.
Also dann...

Es sind immer noch einige Backdoor Trojaner aktiv, daher lautet meine Empfehlung:
http://www.trojaner-board.de/showpos...28&postcount=2

Danke, aber da wär mein Bruder wahrscheinlich nich so glücklich.
Aber mal sehen. Wichtige Dateien zum ausspähen gab es da eh nicht.
MAl sehen was sich noch so machen lässt.

Ich find auch, dass neuaufsetzten die Sicherste Methode ist. Und vielleicht auch die einfachste, aber einen Nutzen für mich bringt das ja auch nicht. Weder bekomme ich Einblick in der Arbeit mit HiJack noch eine Ahnung wie man befallene Systeme säubert. Schließlich macht es ja auch Spass etwas neues Kennenzulernen und damit zu arbeiten.
Doch wenn die einzige ( war sicherlich gut gemeint ! ) Hilfe im Forum bei einem Neuaufsetzten liegt hätt ich ehrlich gesagt auch nich fragen brauchen.

Falls jemand den Fehler kennt kann er ja bescheid sagen:
Mozilla wird nach einer Weile befallen und es zeigt bei jeder gewählten Inet Adresse eine Zonealarm Seite an.

Ich weiss nich was es ist vielleicht ihr !
Danke

Zitat:

Wichtige Dateien zum ausspähen gab es da eh nicht.

Das ist eine irrige Aussage dich ich hier in letzter Zeit wieder verstärkt lese.
Es geht nicht nur darum, ob dein Bruder sich selbst in Gefahr bringt, sondern dass sein Rechner eine Gefahr für andere I-net User darstellt:
- Online-Banking
- Ebay
- Keylogging
- Online-Shoppen
- Bewerbungen, Kreditkartennummern,
- vertrauliche Dokumente und Emails
- Missbrauch des System für illegale Sachen, wie Spamversand (rechtsradikalen Propaganda-Mails)
- Server für abgelegte Daten wie z.B. Kinderpornografie usw.
- DDOS-Attacken
usw.

Bot-Netze zurzeit das größte Problem im Internet

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Zitat:

Doch wenn die einzige ( war sicherlich gut gemeint ! ) Hilfe im Forum bei einem Neuaufsetzten liegt hätt ich ehrlich gesagt auch nich fragen brauchen.

Es ist nicht die einzigste und auch nicht die einfachste Lösung des Problems , aber letztendlich die sicherste.
Man muss eben als Helfender differenzieren:
Welche Schadroutine hat die Malware?
Wie ist sie eingedrungen?
Welchen Wissensstand hat der Themenstarter?
usw.

Fakt ist, dass per Ferndiagnose eine Bereinigung bei solcher Malware nur ein Neuaufaufsetzen als wirklich sinnvolle Lösung zulässt.
http://www.microsoft.com/technet/arc.../10imlaws.mspx
http://www.microsoft.com/technet/com...mt/sm0504.mspx

Wenn du dein System einigermassen sinnvoll bereinigen willst, dann gehe nach folgender Anleitung vor:
http://cert.uni-stuttgart.de/os/ms/w...-detection.php
Auch hier gibt es keine 100%ige Sicherheit, dass danach dein System wirklich sauber ist.

Wichtiger wäre die Absicherung des Systems um eine Kompromittierung zu vermeiden:
http://www.mathematik.uni-marburg.de...ompromise.html