Hallo zusammen,

habe mir einen (oder mehrere) Trojaner eingefangen, die meine Internetverbindung auf einen zwielichtigen Server in der Ukraine umleiten bzw . umleiten wollen.

Obwohl die Trojaner TR/Small.fb.2 sowie TR/Dldr.Agent.UJ von Antivir bzw. BitDefender erkannt und (angeblich) gelöscht wurden, taucht bei jeder neu aufgebauten Internetverbindung folgendes bei einem Scan mit HijackThis auf, was dort offenbar nicht hingehört:

O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19

Die IP's gehören zu dem besagten ukrainischen Server.

Meine Fragen:
1. Wie groß ist das Risiko, dass trotz ZoneAlarm und DSL sämtliche meiner Passwörter munter in der Ukraine gelesen werden?
2. Bringt es was, wenn ich die besagte Datei in der Registry einfach lösche? (oder wo steckt der eigentliche Übeltäter?)

Vielen Dank für jeden Tipp!
Ändru

Hallo,
poste mal bitte das gesammte HijackThis Logfile(1.99.1), dann kann man ev. mehr sagen.

Grüße Wildone

Hi, danke für die schnelle Antwort.

So sieht das komplette LogFile aus:

Scan saved at 18:27:28, on 04.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Andreas\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19

Gruß
Ändru

Hallo,
scheint bis jetzt alles sauber (bis auf den O17er), aber du scheinst den unteren Teil vergessen zu haben (O23 Einträge...), reiche den mal noch nach.


Grüße Jasager

Hi, das irritiert mich ja etwas. Unter 017 kommt nämlich tatsächlich nix mehr.

Gruß
Ändru

Dann setzt du eine uralte HJT Version ein - aktuell ist 1.99.1.