Hi!
Habe seit geraumer Zeit nur Probleme mit meinem Rechner! Ich habe den Bloodhound.exploit.6 Trojaner drauf! und noch 2-3 andere!!

Norton upgedatet aber der erkennt sie nur wenn sie aktiv werden aber beim scannen kann er sie nicht mal sehen!!

Ich kann seit ca 2 Wochen keine Mails mehr empfangen...weiss nicht ob das damit zusammenhängt.
Hier mein LOG

Logfile of HijackThis v1.98.2
Scan saved at 21:01:37, on 22.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\l0ad.exe
C:\bar.exe
C:\WINDOWS\System32\IExplore32b.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
D:\PROGRA~1\NoRTON\navapw32.exe
C:\Program Files\Internet Optimizer\actalert.exe
D:\PROGRAMME\NORTON\IAMAPP.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\??plorer.exe
D:\PROGRAMME\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uabh.exe
D:\PROGRAMME\NoRTON\navapsvc.exe
D:\PROGRAMME\NORTON\NISUM.EXE
D:\PROGRAMME\NORTON\SymProxySvc.exe
D:\PROGRAMME\NORTON\NISSERV.EXE
D:\PROGRAMME\NORTON\ATRACK.EXE
G:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...ount_id=154393
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.de.dr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=154393
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.searchmiracle.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.amarprithibi.com/bar.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 54.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem302.dll
O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 54.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [suckme] C:\l0ad.exe
O4 - HKLM\..\Run: [suckmy] C:\bar.exe
O4 - HKLM\..\Run: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NoRTON\navapw32.exe
O4 - HKLM\..\Run: [iamapp] D:\PROGRAMME\NORTON\IAMAPP.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKCU\..\Run: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKCU\..\Run: [Waqbszoe] C:\WINDOWS\System32\??plorer.exe
O4 - HKCU\..\Run: [Steam] "e:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Dwal] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uabh.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\PROGRAMME\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.37.5:80/iex/ofile.exe?...0/rdgDE298.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...47fc1a7f1aedfb
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/diamond.cab

Danke für die Hilfe!!

EDIT: habe vergessen zu erwähnen, dass sich beim Straten auch 2 Seiten automatisch öffen über den Explorer!?!
Meine Firewall scheint manchmal einfach loszulegen, also sie ist aktiv, aber ich bin beim onlinezoggen und auf einmal lähmt sie den Pc!! Obwohl das Spiel schon seit längerem freigegeben ist und nie Probs gemacht hat!
Also die Resourcen werden fast komplett benutzt, d.h. mein rechner scheint dann nur noch für die Firewall da zu sein... im Taskmanager benutzt die IAMAP oder so ca 90% der PC-Resourcen. Dann muss ich die Datei über den Taskmanager schliessen sonst kann ich den rechner vor sich hinarbeiten lassen...
Helft mir Bitte! Dieses sch... Norton findet nix!!

@LimiT
das wundert mich nicht
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

update bitte erst mal den IE und das system
welche 2 - 3 andere sind noch oben?
chaosman

Du hast vom porn dialer bis zur ISTBar so ziemlich alles an Surfschrott drauf.
Der bloodhound exploit ist ein Daueraufschrei von Norton; wahrscheinlich zieht der ihn an...
Wenn du Dein System upgedated hast, dann lade dir mal AdAware SE runter und laß es laufen. Ebenso Spybot S & D 1.3 und laufen lassen.
Dann neues Logfile posten.

Außer der Spy- und Adware, die in diesem Fall nebensächlich sind, laufen noch härtere Kaliber auf deinem System mit, wie z.B. der Backdoor Rbot.gen!

Von daher kannst du dir das Scannen nach Ad- und Spyware sparen und sogleich mit dieser Anleitung fortfahren, da dein System in keinster Weise mehr vertrauenswürdig ist.
http://www.trojaner-board.de/showpos...28&postcount=2

Speziell Backdoor Rbot.gen, siehe http://www3.ca.com/securityadvisor/v....aspx?id=39437 oder auch http://www.trojaner-board.de/showpos...8&postcount=12

Boah!! Danke für die Antworten!
heisst das, dass ich alles nochmal neu machen darf?!
Habe erst vor 3 Wochen neu installiert gehabt!

Gibt es denn keine andere Möglichkeiten?!?!
Habe Sicherungsdatei vom Sytem bevor es infiziert war und alle Programme die ihr mir gesagt habt.

Habe die auch durchlaufen lassen und die haben so ziemlich alles mögliche gefunden! Gibt es denn keine Möglichkeit das System zu reparieren ohne neu zu installieren?!!? Egal was...ich versuch alles!

Meint ihr die Updates bringen noch was ???
Die hab ich enen gesaugt... naja....
Ich hoffe ihr habt noch nen anderen Lösungsvorschlag ausser alles neu.
Danke trotzdem!

@LimiT
da hilft nur neu aufsetzen
Speziell Backdoor Rbot.gen, siehe http://www3.ca.com/securityadvisor/...s.aspx?id=39437 oder auch http://www.trojaner-board.de/showpo...08&postcount=12
hier ein paar tips
(Zitat von Cidre)
Es sieht so aus, als wären viele Backdoor Trojaner auf diesem System aktiv gewesen, daher lautet meine Empfehlung bei dieser derartigen Durchseuchung: Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.d...compromise.html


chaosman

Zitat:

Habe erst vor 3 Wochen neu installiert gehabt!

Dann hast du dein System nicht dementsprechend VOR der ersten I-net Verbindung abgesichert!

Zitat:

Gibt es denn keine andere Möglichkeiten?!?!

Nein!
Die sicherste und vertrauenswürdigste Lösung ist Neuaufsetzen.

Zitat:

Habe Sicherungsdatei vom Sytem bevor es infiziert

Wieso bist du dir so sicher, dass dieses Backup nicht auch kompromittiert ist?!
Kennst du den genauen Zeitpunkt der Kompromittierung? Hast du dein Backup verifiziert?

Zitat:

Habe die auch durchlaufen lassen und die haben so ziemlich alles mögliche gefunden!

Siehe http://oschad.de/wiki/index.php/Virenscanner und http://www.mathematik.uni-marburg.de...c-removal.html

Zitat:

Meint ihr die Updates bringen noch was ???

Nein, reine Zeitverschwendung.

Zitat:

Ich hoffe ihr habt noch nen anderen Lösungsvorschlag ausser alles neu.

Es gibt keine andere Lösung.

@ll
wenn er sich nicht vorher aktuelle software (sp2 von einer heft-cd, antivirensoftware mit aktueller vdf, eine firewall, einen alternativen browser und ein mailprogramm) besorgt und dies nicht ordentlich konfiguriert, wird er sehr bald wieder hier nachfragen und welche antwort bekommen format:c

Hi! Danke für die Tips!
Ok ich glaube ich habe verstanden was mir jeder sagen möchte...
Hätte das nicht von Würmern gedacht aber... man lernt nie aus. Das heisst also, egal wie sauber mein System ist, es kann immer eine Backdoor geben....

Kann ich solche backdoors ausfindig machen mit nem middle Knowhow???
Wenn ja, wie??

Zu der Sicherungsdatei, die hab ich ja schon nach Neuinstallation vom betriebssystem vor ca 3-4 Wochen gemacht...
Aber die könnte ja eigentlich auch schon befallen sein oder???

Ok! Neuinstallation muss wohl sein! Aber bevor ich das tue...könntet ihr mir meine neue LOG auslesen??

Nur aus Neugier ob irgendwas geholfen hat!
Hier:

Logfile of HijackThis v1.98.2
Scan saved at 20:58:06, on 23.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\l0ad.exe
D:\PROGRA~1\NoRTON\navapw32.exe
D:\PROGRAMME\NORTON\IAMAPP.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\PROGRAMME\Logitech\MouseWare\system\em_exec.exe
D:\PROGRAMME\NoRTON\navapsvc.exe
D:\PROGRAMME\NORTON\NISUM.EXE
D:\PROGRAMME\NORTON\SymProxySvc.exe
D:\PROGRAMME\NORTON\NISSERV.EXE
D:\PROGRAMME\NORTON\ATRACK.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
D:\ANTIVIREN\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.de.dr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.searchmiracle.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.amarprithibi.com/bar.html
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ANTIVI~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [suckme] C:\l0ad.exe
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NoRTON\navapw32.exe
O4 - HKLM\..\Run: [iamapp] D:\PROGRAMME\NORTON\IAMAPP.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [Waqbszoe] C:\WINDOWS\System32\??plorer.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\PROGRAMME\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAE4CCAD-E41D-4D64-8BBB-6C12CE3E7D9B}: NameServer = 217.237.150.141 217.237.150.97

Das neue Betriebssystem mit SP2 bekomm ich die nächsten 2 Wochen....

Achso!!!
Ich habe mehrere Partitionen...Das Betriebsystem habe ich auf C und den rest verteilt.
Kann ich das Betreibssytem (C)neu drauf machen oder muss ich alles formatieren??
Habe auch nie irgendwas in irgend einer anderen Partition gefunden...immer nur in C.


Und diese Einträge habe ich auch immer im SpyBot

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

@
DSO exploit ist bekannt, kannst du nicht löschen.
"Kann ich solche backdoors ausfindig machen mit nem middle Knowhow???
Wenn ja, wie??"
hier kannst du nachlesen
http://www.mathematik.uni-marburg.de...ompromise.html
http://www.ntsvcfg.de/linkblock.html
http://www.datenschutzzentrum.de/sel...sie/config.htm
http://www.blafusel.de/ie.html


chaosman

O4 - HKLM\..\Run: [suckme] C:\l0ad.exe
O4 - HKCU\..\Run: [Waqbszoe] C:\WINDOWS\System32\??plorer.exe


Das sind nach wie vor vorhandene Schädlinge.