Virus? Trojaner? Was das???

Hallo,
habe seit einiger Zeit ein Virus Problem.. Glaube ich zumindest.
Ich habe WinXP Home, als Firewall habe ich die von Zone Alarm, dann noch ANtiVir usw...
Hatt vor einiger Zeit ja ein Fenster beim Starten von XP gehabt, welches ich aber mitlerweile abschalten konnte.
Obwohl ich nicht im Netz bin, zeigt Zone Alarm einen Auschlag an, hab mal irgendwo was von Telent.exe oder so gesehen...
Hab auch schon HijackThis und Coolwebshredder drüber laufen lassen, aber nichts gefunden... Hatte es irgendwie schon mal wegbekommen, allerdings war es beim neuen booten wieder da?!

Hat jemand vieeliecht ne Ahnung wie ich das wegbekommen kann?

Vielen Danj für Tipps..

Best Greetz
Torben

Poste doch bitte mal ein Logfile von HiJackThis.

Hier das Logfile:
Logfile of HijackThis v1.97.7
Scan saved at 21:49:24, on 07.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\soundman.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Torben Wyrwinski\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.kontor.cc/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] C:\Programme\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Secure&Surf] C:\PROGRA~1\BaqSoft\WIBSaS\wibsas.exe /hidden
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra->Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A9F4CF8-335F-4FBA-B8A0-B35479B5A715}: NameServer = 217.237.150.225 194.25.2.129

Greetz

Kann da nichts finden.
vielleicht sehen ja andere noch was,

PS: Hast Du eine Realtek-Soundkarte?

C:\WINDOWS\soundman.exe
O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

Zum Vergrößern anklicken....

Wenn nicht, dann mal folgendes lesen
http://www.sophos.de/virusinfo/analyses/w32agobotjs.html

Hi,

habe einen Medion PC mit ner Onboard Soundkarte.. Glaub das ist eine Realtek..
Habe die jetzt allerdings nicht mehr drinnen, da ich mir die abgeschossen habe.. Habe jetzt nen Soundblaster Live...

Greetz
Torben

Kannst ja mal die soundman.exe im folgenden link scannen lassen

http://www.kaspersky.com/de/remoteviruschk.html

PS: Hast Du die alten Soundtreiber nicht entfernt?

Kein Virus gefunden...
Ne, hab ich nicht entfernt.. Jetzt wo du es sagst..

O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab

könnte der hier http://www.sophos.de/virusinfo/analyses/appfrgreeta.html sein, fixen

zusätzlich würde ich das noch fixen

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.kontor.cc/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

oder bist du in dem forum.kontor.cc mitglied?

dann hab ich dir noch einen tip, da du ja auch das modem verwendest

Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run findet man mit dem RegEdit einen Schlüssel 2kadiras=2kadiras.exe - den kann man einfach löschen - dann ist Ruhe mit neu angelegten Verbindung zu AT-AR215-Shortcuts. Das Programm 2kadiras.exe liegt übrigens unter C:\Windows. Dort findet man auch das zugehörige adiras.ini (mal reinschauen) in dem der Login-Name und das Passwort UNVERCHLÜSSELT abgelegt sind. Also weg damit (für Ängstliche reicht vielleicht auch ein Verschieben der Dateien irgendwo anders hin)!

vielleicht ist das etwas leichtsinnig, wenn deine daten unverschlüsselt in der adiras.ini abgelegt werden ...

greetz

hugo

hp schrieb:

zusätzlich würde ich das noch fixen

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.kontor.cc/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

Zum Vergrößern anklicken....

??? Wieso das dennn? Nix davon beißt. Im Gegenteil.

C:\Programme\Internet Explorer\iexplore.exe

Zum Vergrößern anklicken....

Der soll geschlossen bleiben, wie jedes andere Programm, wenn das Log erstellt wird.


Zeigt dir denn ZA nicht an, welche Applikation den Ausschlag verursacht? Das würde mich sehr wundern.

hp schrieb:

O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab

könnte der hier http://www.sophos.de/virusinfo/analyses/appfrgreeta.html sein, fixen

Zum Vergrößern anklicken....

gehört (gehörte) zu iSearch Toolbar ??? http://toolbar.isearch.com/uninstall/

zusätzlich würde ich das noch fixen

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.kontor.cc/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

Zum Vergrößern anklicken....

wieso denn das? ???
Das ist die Google-Toolbar, Spybot Search & Destroy, Adobe Reader und eine normale Startseite

pan_fee ???

hab mal eine anleitung zu hijackthis gelesen, da wurde emphohlen, alle (no name) einträge zu fixen. in dem fall sinds in der tat keine gefährlichen einträge, kann man also ungefixt lassen. bei dem forum.kontor.cc wie gesagt, hab ich ja auch gefragt, ob das so gewollt ist...

greetz

hugo

Hi,

also erstmal schonmal danke für die ganzen Antworten.. Leider besteht das Prob immer noch.. Und ja, ich bin im Kontor Forum..
Hat sonst vielleicht noch jemand ne Idee??

Greetz

als letztes würde mir noch die deaktivierung der systemwiederherstellung und dadurch das löschen der wiederherstellungspunkte einfallen. da könnte natürlich der bösewicht, falls noch vorhanden, drinstecken. wenn du einen trojaner auf dem system haben solltest, lade dir mal den syscleaner von trendmicro mit der neusesten virendeffinitionsdatei runter, deaktivier wie gesagt die systemwiederherstellungsfunktion, starte im abgesicherten modus, gib dem system volume informatin ordner zugriff für den administrator, dann start den syscleaner. wenn du einen bösewicht haben solltest (außer spyware/adware) dann findet der syscleaner den auch. das teil kannst du hier http://www.trendmicro.com/download/dcs.asp downloaden und zwar das sysclean package, die virendeffinitionsdatei findest du hier http://www.trendmicro.com/download/pattern.asp

greetz

hugo