Hilfe bei W32/backdoor
 

Hallo, nachdem ich ab und an mal hier gelesen habe, benötige ich heute mal Hilfe.

F-Prot zeigte mir heute Trojaner an: W32/backdoor.aekl

diesen hat f-prot dann auch entfernt, die datai habe ich gelöscht. f-prot hat nach einem erneuten scan nichts mehr gefunden, ebenso spybot search and destroy.
so hier nun mal mein hijachthis log

Logfile of HijackThis v1.99.1
Scan saved at 13:14:37, on 02.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Ahead\InCD\InCDsrv.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\tcpsvcs.exe
F:\WINDOWS\system32\svchost.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
F:\PROGRA~1\Versatel\Versatel.exe
D:\tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wdr.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000003} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] F:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "F:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [updateMgr] "F:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7
O4 - HKCU\..\Run: [AnyDVD] F:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{042E679E-ACCC-4B8C-9345-5968EB5EA112}: NameServer = 62.220.18.8 62.72.64.237
O17 - HKLM\System\CS2\Services\Tcpip\..\{042E679E-ACCC-4B8C-9345-5968EB5EA112}: NameServer = 62.220.18.8 62.72.64.237
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software - F:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - F:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

Nun bitte ich um eure Hilfe, wer kennt diesen trojaner, was macht er? habe schon gegoogelt und nichts gefunden. Wie sieht meine log datai ausß
Vielen Dank, vorab.

Weißt du noch wo F-Prot den gefunden hat? Ansonsten bedeutet der Name backdoor nie was gutes ;)

ich hatte mal ein programm bekommen, was ich immer mal ausprobieren sollte. (zonealarm) habe es getan und dann wieder deinstalliert, hatte damals aber nicht die installations exe gelöscht und beim durchsuchen der gesamten festplatten, tauchte das w32 in der datai auf. diese habe ich aber nach erfolgreichem löschen des w32 durch fprot ebenfalls gelöscht.
vielen dank schon mal wieder vorab

Dann würde ich mal ganz schwer auf Fehlalarm tippen ;)

fehlalarm:Boogie:
wie sicher kann ich denn da sein, bzw gibt es noch etwas wie man das herausfinden kann?
danke :party:

Dein Log sieht sauber, aus und da es sich um die Installationsdatei einer Sicherheitsvorkehrung handelt ist das ziemlich unwahrscheinlich das die verseucht ist, aber zur Sicherheit könntest du einen eScan machen. Anleitung im FAQ-Bereich.

na das läßt ja hoffen, werden mir die anleitung von escan durchlesen und das dann noch machen,
vielen dank nochmal. melde mich dann wieder :aplaus: