Trojaner/backdoor!!

[Philipp5]

Hi, ich mein freund wollte mir ein 500 MB großen film schicken, von seinm urlaub, deshalb hat er es bei rapidshare.com upgeloeaden.
Aber da man bei dne einzelnen parts warten muss, und ich net warten wollte, fragte ihc ihn, wie ich irgendiwe die wartezeit überspringen kann und dann schickte er mir eine exe, aber er hat die noch net probiert, also er wusste net ob sie funktionierne würde oder net also er sagte damit kann man bei rapidshare.com einen premium acc gratis machen.
Ich zweifelte, ob es ein virus war, nahm aber und und scannte die exe anschließen, doch ES WURDE NICHTS GEFUNDEN. Dann, mit sichheit öffnete ich sie und dann erst meldete sich Avira mit der Meldung Trojaner, enthält backdoor signaturen,... und dann klickte ich auf löschen. Ist er jetzt weg?

Avira zeigte mir an: haZl0oh.exe im Windows oder im/system32 ordner.

Also hab die exe im win verzeichnis dann mit avira (hoffentlich gelöscht, also es kam keine fehlermekldung dasses net ging.)

Aber ist der trojaner / backdoor jetzt weg, wenn nein wie kann ich ihn sicher entfernen ohne neu zu formatieren?
Ich scane gerade meinen Lappi mit Avira und meld mich dann wieder...

[Speedy]

verwende mindestens 3 der hier verlinkten onlinescanner, poste die erhaltenen logfiles.

[Ruby]

Avira zeigte mir an: haZl0oh.exe im Windows oder im/system32 ordner.

Unbekannte Dateien von Freunden kann man auch online bei Virustotal, virscan oder bei jotti scannen lassen.

Zu einer "haZl0oh.exe" finde ich leider keine Angaben.
Welchen Namen hat der Backdoor Trojaner denn?
Zeige uns bitte das Logfile von AntiVir und die Angaben aus dieser Anleitung:

• Lies bitte unseren Beitrag Neu hier? Bitte abarbeiten...
• arbeite die dort angegebenen Anleitungen in allen Schritten ab
• zeige uns die angeforderten Daten in vB Code.

[Philipp5]

Wenn ich zB kaspersky auswähle steht beim IE, dass es activex oder sowas braucht.. was soll cih da machen?

Und, den namen des Trojaners weiß ich nicht mehr, da ich gleich auf löschen geklickt habe. Ob das Logfile noch vorhanden ist weioß ich net, aber wo kann cih das nachschauen?

Und in ein paar minuten folgen das HTJ logfile...



SO, also hab bei "guard" bei letzte infizierte datei das gefunden:
Letzte betroffende datei:
C:\WINDOWS\haZl0oh.exe
und name des viruses:
BDS/Bifrose.Gen

Es folgt gleich die filelist und das HJT

[Philipp5]

So also wie der virus heißt hab ich ja beim obrigen post geshcrieben...

hier das HJT Logfile:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 00:50:02, on 28.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\1_99_1\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pruepiperphoebepaige.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{165E9A68-B946-408E-A29D-156FCD87DE59}: NameServer = 217.199.1.1,217.199.0.250
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

ich hoffe dass nichts all zu schlimmes auf meinem lappi ist.

[Speedy]

hi, wie groß ist die *exe ?

versetze mit hilfe der systemwiederherstellung (gilt nur für win me, win xp und vista) den rechner in einen früheren zustand (als das system noch in ordnung war ), sollte man damit keinen erfolg erzielt habe, kann man diesen vorgang wieder rückgängig machen.

Die Systemwiederherstellung wirkt sich auf Windows-Systemdateien, Programme und Registrierungseinstellungen aus. Es können auch Änderungen an Skripts, Batchdateien und anderen Typen von ausführbaren Dateien auf dem Computer vorgenommen werden. Die Systemwiederherstellung hat keine Auswirkung auf persönliche Dateien, wie z. B. E-Mails, Dokumente oder Fotos, sodass damit keine gelöschten Dateien wiederhergestellt werden können. Wenn Sie über Sicherungen der Dateien verfügen, können Sie diese Dateien aus einer Sicherung wiederherstellen.

[Philipp5]

Wie groß was die *exe ??

Und soll ich filelist auch noch machen?

[Speedy]

aber zuerst zurückstellen, dann die filelist

[Philipp5]

ber den virus hab cih doch mit avira gelöscht was bringt dann die systemwiederherstellung?
Aber wenn du willst, kann ich gernen eine systemwiederherstellung machen.
Und ich weiß nicht mehr, wie groß die exe war. Sorry, zu schnell gelöscht
Soll cih dann eine systemwiederherstellung machen oder net?

Danke schon im Vorraus

[Speedy]

hi, weil der tag noch so jung ist, nocheinmal: das system zurückstellen, dann ein filelist.bat erstellen und posten.

das kannst du auch gleich sanieren

C:\Programme\Java\j2re1.Y.X_XX\bin\jusched.exe
dein java ist nicht aktuell, deinstalliere die alte version über
start->programmzugriff und standards->programme ändern oder deinstallieren
J2SE Runtime Environment ......
wiederhole diesen vorgang, sollten noch mehrere alte versionen am rechner sein!
lösche nun folgende ordner und leere den mistkübel

• C:\Programme\JAVA
• C:\Windows\Sun
• C:\Dokumente und Einstellungen\*Profil1*\Anwendungsdaten\Sun
• C:\Dokumente und Einstellungen\*Profil2*\Anwendungsdaten\Sun

Achtung: nicht C:\Windows\Java
download nun java von SUN (Windows Offline Installation, Multi-language) durchführen, installieren.