Hi, habe gesehen, dass es schon einige Threads zu dem Thema gibt, deswegen wiederhole ich mich wahrscheinlich!
Also, habe auch den im Titel beschriebenen Trojaner, sorgt dafür, dass diverse Fenster bei der Internetverbindung aufpopen (sowohl unter Mozilla wie auch beim IE, den ich eigentlich gar nicht mehr benutze)

Habe auch schon das eine Programm benutzt, dass immer empfohlen wird und das folgende Log-File entstand:

Logfile of HijackThis v1.98.2
Scan saved at 19:15:38, on 22/11/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\winxp2.exe
C:\msex.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
c:\393.exe
c:\ybsex.exe
c:\ybsex.exe
C:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\Tilo Kruse\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Winupdate Service] winxp2.exe
O4 - HKLM\..\Run: [SXUCKME] C:\sex.exe
O4 - HKLM\..\Run: [REGRUN3] C:\msex.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NEWSEX] C:\msex.exe
O4 - HKLM\..\RunServices: [Winupdate Service] winxp2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093212183765
O17 - HKLM\System\CCS\Services\Tcpip\..\{93C20F94-E54A-4380-BF4E-BB2EA5D50171}: NameServer = 62.52.50.195 193.189.244.205

Öhm...ja...das war es...kann mir einer helfen?

Hi,
Du hast einen Wurm mit Backdoortrojaner-Qualität drauf; es ist dieser.

Wie kommst du auf den TR/Dldr.Dyfuca.DB?

cacatoa

Öhm, weil mir das AntiVir sagt...hmm..ach ich habe noch einen...das ist ja...schlecht...wie bekomme ich dann den im Threadtitel stehenden weg?
Und wie bekomme ich diesen Backdoorvirus weg, wenn ich nur die AntiVir-Software habe?

Sinnvoll ist es bei Backdoorern, das System neu aufzusetzen.
Mach mal vorerst einen eScan im abgesicherten Modus bei deaktivierter Systemwiederherstellung.
Poste dann das Ergebnis (nach dem eScan:
..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...) hier rein.
Außerdem System updaten!

Ergebnis eScan und neues Logfile rein posten.
cacatoa

@ BBK,

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - ungeupdatetes System/ungepatchter IE: www.windowsupdate.com

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\winxp2.exe
C:\msex.exe
c:\393.exe
c:\ybsex.exe
C:\sex.exe
C:\msex.exe

teile uns das Ergebnis der Überprüfung mit.

Zitat:

Und wie bekomme ich diesen Backdoorvirus weg

durch formatieren. -->Beachte hierzu den Rat von Cidre:

Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

-->und Lutz' Datensicherung

Entfernung von Schädlingen und Kompromittierung unvermeidbar?

SD

Danke schon mal für die Hilfe!

Ähm, Shadowdance meinte, mein System sei nicht mehr vertrauenswürdig! Beziehst du dich darauf, dass evtl. schon ordentlich Informationen von mir an den "Ersteller" des Backdoortrojaners geflossen sind?

Problem ist nämlich, dass mein Brenner z.Zt. ein paar Probleme macht, ich aber Daten sichern müsste, bevor ich formatieren kann. Gibt es keine andere Möglichkeit, diesen Trojaner wegzubekommen, evtl. auch mit gewissem Risiko?

Dann zu dem anderen: Da ich z.Zt. an der Uni bin, kann ich die Scans der Dateien noch nicht durchführen, werde dies dann heute Abend nachholen.

Als Hinweis (ich weiß nicht, ob das irgendwie wichtig ist): Ich benutze ein normales 56k-Modem, also nix DSL oder so ähnliches...

@ BBK,

ich warte das Ergebnis der Scans ab, aber ich befürchte, dass es nicht gut ausfallen wird.

SD

Am Sonntag kommt ein Kumpel bei mir vorbei, der will sich den mal selber anschauen...deswegen wird es vorerst von mir keine Neuigkeiten geben!

Vielen Dank schon einmal für die Hilfe!