So hab mich mal bei euch registriert, weil ich ein sehr merkwürdiges problem hab. seit gestern is mir aufgefallen das meine firewall immer abbricht. habe versucht sie neu zu installieren, nix. das kam mir spanisch vor. dann antivir drüber laufen lassen, bricht auch ab.
das stinkt doch nach einem virus oder? bitte helft mir.
benutze folgende programme:
antivirxp (kostenlos)
personal firewall 4 von kerio (kostenlos)
spybot
firefox.

finde auch teilweise unbekannte programme im taskmanager. wie kann ich so einen log machen und damit ich den mal posten kann?
grüsse Jan

Poste ein Log von HijackThis: http://filepony.de/download-hijackthis/

in etwa so?

Logfile of HijackThis v1.98.2
Scan saved at 12:37:51, on 03.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\windows\system32\msiexec16.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\FIREFOX\FIREFOX.EXE
C:\Programme\ICQLite\ICQLite.exe
D:\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
F0 - system.ini: Shell=Explorer.exe C:\windows\system32\msiexec16.exe
F1 - win.ini: run=C:\windows\system32\msiexec16.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [GLSetIT32] C:\windows\system32\msiexec16.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF449344-002F-4559-814C-DD67B9805403}: NameServer = 217.237.150.33 217.237.151.161

C:\windows\system32\msiexec16.exe

Sende diese Datei mal an partytime-germany.ice@web.de

Du hast post! tausend dank schon mal
gruss Jan

son mist. is der auch dafür verantwortlich das ich keinen virusscan mehr ausführen kann? ich hatte den die ganze zeit laufen. krieg ich das teil nicht anders runter als mit formatieren? firewall kann ich ja auch nicht mehr installieren.
is die datei sehr gefährlich?
gruss Jan

Dies ist ein Optix-Backdoor.

Den hat dir irgendjemand untergejubbelt.
Ein Virenscanner hätte ihn wahrscheinlich zuvor erkannt.

Ich würde dies machen:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Die Datei ist für diese Missstände verantwortlich.

Hier findest du Infos zum BKDR_OPTIX.133

Zitat:

Backdoor Capabilities

It attempts to connect to a remote target machine using port 3410 and allows a malicious user to perform the following backdoor functionalities through its client component:

* Compatibility with older server versions
* Client SOCKS 4/5 support
* Server SOCKS 4/5 support
* Power options (logoff, suspend, restart or shutdown machines)
* Server information (includes builder settings)
* File Manager, Process Manager, Windows Manager, Registry Manager, FTP Manager application
* Remote IP scanner
* Port/application redirection
* Error message box display
* Matrix chat (Client-2-vic), Client-2-Client chat
* Obtain system information (passwords for RAS/Cached on 9x and AIM machines)
* Obtain keystrokes/window titles
* Capture screen with left-click mouse manipulation and via cam
* Keyboard manipulation
* SendKeys (old version of SendKeys for older servers)
* Humor normals (flash keyboard lights, monitor on/off, disable keyboard/mouse etc.)
* Humor screen printer and print text to their screen

Quelle: http://www.trendmicro.com/vinfo/viru...BKDR_OPTIX.133

so hab den prozess beendet und direkt mal virusscan drüber laufen lassen. er hat ihn direkt gefunden... verstehe das nicht. wurde jetzt gelöscht. reicht das oder kommt der wieder? werd gleich die firewall wieder drauf spielen.
gruss Jan

Nein, das reicht nicht. Dieser Backdoor Trojaner ermöglicht einen Fernzugriff auf dein System und damit ist es für den Angreifer fernsteuerbar, d.h. du teilst dein System mit jemand anderes.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Zitat:

reicht das oder kommt der wieder? werd gleich die firewall wieder drauf spielen.

siehe http://oschad.de/wiki/index.php/Virenscanner

Wenn der Virenscanner den gelöscht hat sollte der eigentlich weg sein.
Außer du führst du Server noch mal aus...

//edit: Würde an deiner Stelle alle Passwörter ändern...

uargh dann werd ich mich wohl mal dransetzen . danke euch schon mal.

guten tach, alle beisammen!
ich bin neu hier und hab auch gleich maln problem mit warscheinlich genau diesem virus. ich hab nur nich kapiert, ob man diesen trojaner jetzt irgendewie per hand löschen kann, oder ob ich windows gleich neu draufbügeln kann. bei mir wird die sachen noch erschwert, da ich keine exe-dateien mehr ausführen kann, seit ich diesen troijaner auf meim pc hab(deshalb schreib ich deshier grad auch mir konoppix)
ich hoffe mir kann hier jemand weiterhelfen, das wäre sehr geil