Du hast leider mehr und viel gefährlicheres auf deinem Rechner wie die von dir genannten Dateien, nämlich einen Trojaner der Familie ZBot.
Erkennbar an diesem Registry-Eintrag:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,

Das bedeutet für Dich bzw. deinem Rechner den GAU.
Gehe nach wie folgt vor => Neuaufsetzen
Führe die genaue Anleitung aus, am besten schwierige oder komplett alles ausdrucken.
Nebenbei sollst du:
- Den infizierten Rechner physikalisch vom Netz trennen
- Alle Passwörter und Zugangsdaten von einem sauberen Rechner aus ändern
- Konten, wie PayPal, ebay, Online Banking etc. sperren lassen
- Verbindung mit deiner Bank aufnehmen

Für weitere Fragen bzw. Unklarheiten steh ich gern zur Verfügung

mfg

Zitat:

Zitat von Dark Viruz

Du hast leider mehr und viel gefährlicheres auf deinem Rechner wie die von dir genannten Dateien, nämlich einen Trojaner der Familie ZBot.
Erkennbar an diesem Registry-Eintrag:

Das bedeutet für Dich bzw. deinem Rechner den GAU.
Gehe nach wie folgt vor => Neuaufsetzen
Führe die genaue Anleitung aus, am besten schwierige oder komplett alles ausdrucken.
Nebenbei sollst du:
- Den infizierten Rechner physikalisch vom Netz trennen
- Alle Passwörter und Zugangsdaten von einem sauberen Rechner aus ändern
- Konten, wie PayPal, ebay, Online Banking etc. sperren lassen
- Verbindung mit deiner Bank aufnehmen

Für weitere Fragen bzw. Unklarheiten steh ich gern zur Verfügung

mfg

Hallo,


danke für die Antwort.

Kumpel lässt fragen.

Ob man irgendwie rausfinden kann von wo man sich dieses DIng eingefangen hat? (Jetzt nicht nur den Dropper, sondern die viel schlimmeren Sachen)

Und welche Auswirkungen kann es geben bezüglich Bank etc? Muss man da die Passwörter etc. von der Bank aus ändern lassen?

In welchen Daten kann das Ding drin stecken?
Denn er hat sehr viel am PC, Musik usw.
Kann man die noch backupen? Oder gar nicht mehr? Denn wir / ich wissen ja nicht wo das nun alles drinnen steckt bzw versucht ist?

Also in welcher ART von Dateien steckt so ein ZBOT Virus?

Zitat:

Ob man irgendwie rausfinden kann von wo man sich dieses DIng eingefangen hat? (Jetzt nicht nur den Dropper, sondern die viel schlimmeren Sachen)

Den ZBot findet man häufig in ausführbaren Email-Anhängen, die von einer Fake-Firma kommen, häufig Sparkasse.

Zitat:

Und welche Auswirkungen kann es geben bezüglich Bank etc? Muss man da die Passwörter etc. von der Bank aus ändern lassen?

Es könnte schlimmstenfalls sein das dein Konto innerhalb kurzer Zeit leer ist, wie gesagt, es könnte so sein, aber muss nicht.
Du solltest deine Bank fragen, was diesbezüglich zu tun ist, ob sie verdächtige Veränderungen festgestellt haben, etc.
Sie werden dich in dem Fall bestimmt aufklären, was genau zu tun ist.

Zitat:

In welchen Daten kann das Ding drin stecken?
Denn er hat sehr viel am PC, Musik usw.

Klicke auf den Link in meiner Signatur, dann weißt du wo er sich überall einnistet. Bilddateien, Musikdateien und Textdokumente sind definitiv nicht betroffen. Bei allen ausführbaren Dateien ist die ganze Sache heikel zu betrachten.

Zitat:

Kann man die noch backupen? Oder gar nicht mehr? Denn wir / ich wissen ja nicht wo das nun alles drinnen steckt bzw versucht ist?

Ja, könnt ihr. Wie gesagt, keine ausführbaren Dateien. Backups macht ihr am besten mit einer Live CD wie Knoppix. In Zukunft kann man auch regelmäßig Images vom System erstellen um auf einen solch brisanten Fall vorbereitet zu sein. Dies geht gut mit z.B. Acronis True Image 11

Zitat:

Also in welcher ART von Dateien steckt so ein ZBOT Virus?

Um richtig zustellen, handelt es sich bei ZBot nicht um einen Virus, sondern um einen Trojaner.
Dieser öffnet Hintertüren (sog. Backdoors) auf deinem PC und installiert seinen Rootkit. Diesen Rootkit erkennt man an dem angelegtem Ordner wsnpoem und die darin enthaltenen Dateien audio.dll und video.dll.
Der Trojaner selbst ist die ntos.exe.

Ich hoffe, das ich alle Fragen erschöpfend beantworten konnte

mfg

Hi,

ich bins, der Kumpel vom Opfer. Das andere war sein Account.
Hab mich neu registriert.
Wollten euch nur mitteilen dass wir neu formatiert haben und jetzt wieder alles okay ist.

Nur zur SIcherheit hier noch ein neuer HijackThis Logfile.:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:34, on 23.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3121 bytes