TR/Lowzones.A brauche Unterstützung

#1 Huhu!

Ich hab´mir da was nettes eingefangen!!!

Kann mir hier vieleicht jemand helfen dieses Ding wieder loszuwerden!

Antivir zeigt an:

9.3.2005,18:13:55 [WARNUNG] Ist das Trojanische Pferd TR/Lowzones.A!
C:\RE11.REG.001

Hab schon versucht das ganze im abgesicherten Modus zu löschen, geht nicht. Sobald ich wieder ins Netz gehe entpackt sich das Ding aus einer MTU Datei.

Hier der Hijack Logfile


Logfile of HijackThis v1.99.1
Scan saved at 18:20:31, on 29.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msnupdate.exe
C:\Programme\Outlook Express\msimn.exe
C:\outlookupdate3779.exe
C:\outlookupdate3778.exe
C:\PROGRA~1\MOZILLA1.5\MOZILLA.EXE
C:\Dokumente und Einstellungen\David - Petra\Eigene Dateien\David\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MediaFace Integration] C:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1C57900-9BBF-451C-830B-AE518B935B8E}: NameServer = 217.237.150.97 217.237.149.161
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke für die Hilfe . . . !!!

David

#2 Hallo,

überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis:
C:\WINDOWS\System32\msnupdate.exe
C:\outlookupdate3779.exe
C:\outlookupdate3778.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\SYSTEM32\reset5.dll

Beende zuvor die o.g. Prozesse im Task Manager.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 Danke!

Das Ging ja schnell mit der Hilfe!

Hier die Ergebnisse!

Ich versteh ja nicht viel von der Materie, aber sieht nicht so gut aus, oder?


Datei: msnupdate.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PE_PATCH.MORPHINE, MORPHINE, PE_PATCH, UPX

AntiVir
Keine Viren gefunden (1.10 Sekunden)
Avast
Keine Viren gefunden (1.97 Sekunden)
AVG Antivirus
IRC/Backdoor.SdBot.162.BS (1.57 Sekunden)
BitDefender
Backdoor.RBot.UM (1.65 Sekunden)
ClamAV
Keine Viren gefunden (1.80 Sekunden)
Dr.Web
Win32.HLLW.MyBot.based (2.89 Sekunden)
F-Prot Antivirus
Keine Viren gefunden (0.21 Sekunden)
Fortinet
Keine Viren gefunden (1.41 Sekunden)
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen (5.12 Sekunden)
mks_vir
Trojan.Rbot.Gen (0.38 Sekunden)
NOD32
probably unknown NewHeur_PE (mögliche Variante) (1.53 Sekunden)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* **Locates window "NULL [class mIRC]" on desktop.
* Creating several executable files on hard-drive.
* File length: 94208 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\msnupdate.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "MS Unix Binary"="msnupdate.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "MS Unix Binary"="msnupdate.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "MS Unix Binary"="msnupdate.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Sets value "restrictanonymous"="
" in key "HKLM\System\CurrentControlSet\Control\Lsa".

[ Network services ]
* Looks for an Internet connection.
* Connects to "xtreme-misfitz.biz" on port 7029 (TCP).
* Connects to IRC Server.
* Attempts to delete share named "IPC$" on local system.
* Attempts to delete share named "ADMIN$" on local system.
* Attempts to delete share named "C$" on local system.
* Attempts to delete share named "D$" on local system.

[ Process/window information ]
* Creates a mutex Nug3.
* Will automatically restart after boot (I'll be back...).
* Enumerates running processes.
* Enumerates running processes several parses.... (19.11 Sekunden)

Statistik
Zuletzt gefundene Malware war Trojan.Agent.Bi in javagq32.exe, gefunden von:

Scanner Name der Malware Dauer
AntiVir TR/Agent.BI 0.39 Sekunden
Avast Win32:Trojano-1079 1.53 Sekunden
AVG Antivirus X 0.55 Sekunden
BitDefender Trojan.Agent.BI 0.53 Sekunden
ClamAV Trojan.Agent-40 0.61 Sekunden
Dr.Web X 0.92 Sekunden
F-Prot Antivirus W32/Agent.MD 0.09 Sekunden
Fortinet X 0.49 Sekunden
Kaspersky Anti-Virus Trojan.Win32.Agent.bi 1.05 Sekunden
mks_vir Trojan.Agent.Bi 0.22 Sekunden
NOD32 X 0.48 Sekunden
Norman Virus Control X 2.95 Sekunden



Datei: outlookupdate3779.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
UPX

AntiVir
TR/Lowzones.A (0.52 Sekunden)
Avast
Win32:LowZones-K (3.06 Sekunden)
AVG Antivirus
Keine Viren gefunden (3.18 Sekunden)
BitDefender
Trojan.WinREG.LowZones.A (3.45 Sekunden)
ClamAV
Keine Viren gefunden (2.39 Sekunden)
Dr.Web
Trojan.LowZones (1.78 Sekunden)
F-Prot Antivirus
REG/LowZones.A (0.75 Sekunden)
Fortinet
W32/STARTPGE.AK-tr (0.86 Sekunden)
Kaspersky Anti-Virus
Trojan.WinREG.LowZones.a (2.09 Sekunden)
mks_vir
Trojan.Winreg.Lowzones.A (0.82 Sekunden)
NOD32
Keine Viren gefunden (0.63 Sekunden)
Norman Virus Control
Keine Viren gefunden (2.50 Sekunden)

Statistik
Zuletzt gefundene Malware war W32/DLoader.AV in javabg32.exe, gefunden von:

Scanner Name der Malware Dauer
AntiVir TR/Dldr.Agent.AP.3 1.55 Sekunden
Avast Win32:Trojan-gen. 3.01 Sekunden
AVG Antivirus Downloader.Agent.2.Q 0.57 Sekunden
BitDefender Trojan.Downloader.Agent.AP 1.18 Sekunden
ClamAV Trojan.Downloader.Agent.AP.3 1.81 Sekunden
Dr.Web Trojan.Feat.2 2.81 Sekunden
F-Prot Antivirus W32/Agent.U@dl 0.18 Sekunden
Fortinet W32/IEFeat.H-tr 1.34 Sekunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.ap 3.26 Sekunden
mks_vir Trojan.Downloader.Feat 0.56 Sekunden
NOD32 Win32/TrojanDownloader.Agent.AP2 1.31 Sekunden
Norman Virus Control W32/DLoader.AV 0.56 Sekunden


Datei: outlookupdate3778.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
UPX

AntiVir
TR/Lowzones.A (0.53 Sekunden)
Avast
Win32:LowZones-K (1.52 Sekunden)
AVG Antivirus
Keine Viren gefunden (0.61 Sekunden)
BitDefender
Trojan.WinREG.LowZones.A (0.63 Sekunden)
ClamAV
Keine Viren gefunden (0.65 Sekunden)
Dr.Web
Trojan.LowZones (0.99 Sekunden)
F-Prot Antivirus
REG/LowZones.A (0.36 Sekunden)
Fortinet
W32/STARTPGE.AK-tr (0.46 Sekunden)
Kaspersky Anti-Virus
Trojan.WinREG.LowZones.a (1.09 Sekunden)
mks_vir
Trojan.Winreg.Lowzones.A (0.56 Sekunden)
NOD32
Keine Viren gefunden (0.63 Sekunden)
Norman Virus Control
Keine Viren gefunden (1.48 Sekunden)

Statistik
Zuletzt gefundene Malware war W32/Ciadoor.1_21 in Backdoor.Win32.Ciadoor.logger.zip, gefunden von:

Scanner Name der Malware Dauer
AntiVir TR/IllNotifier.C.2 1.20 Sekunden
Avast CiadoorLogger 6.03 Sekunden
AVG Antivirus X 1.02 Sekunden
BitDefender Backdoor.Ciador.102.PHP 1.51 Sekunden
ClamAV Trojan.NetDevil.Log-1 0.78 Sekunden
Dr.Web BackDoor.Generic.586 2.05 Sekunden
F-Prot Antivirus CGI/Remotelog 0.50 Sekunden
Fortinet W32/Cruint-tr 1.99 Sekunden
Kaspersky Anti-Virus Backdoor.Win32.Ciadoor.logger 2.12 Sekunden
mks_vir Trojan.Ciadoor.121 0.71 Sekunden
NOD32 Win32/Ciadoor.121.Logger 0.65 Sekunden
Norman Virus Control W32/Ciadoor.1_21 4.75 Sekunden


Datei: srvany.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PECOMPACT

AntiVir
Keine Viren gefunden (0.39 Sekunden)
Avast
Keine Viren gefunden (1.51 Sekunden)
AVG Antivirus
Keine Viren gefunden (0.55 Sekunden)
BitDefender
Keine Viren gefunden (0.54 Sekunden)
ClamAV
Keine Viren gefunden (0.61 Sekunden)
Dr.Web
not a virus Program.SrvAny (0.92 Sekunden)
F-Prot Antivirus
Keine Viren gefunden (0.16 Sekunden)
Fortinet
Keine Viren gefunden (0.48 Sekunden)
Kaspersky Anti-Virus
Keine Viren gefunden (1.02 Sekunden)
mks_vir
Keine Viren gefunden (0.23 Sekunden)
NOD32
Keine Viren gefunden (0.51 Sekunden)
Norman Virus Control
Keine Viren gefunden (0.77 Sekunden)

Statistik
Zuletzt gefundene Malware war W32/Ciadoor.1_21 in Backdoor.Win32.Ciadoor.logger.zip, gefunden von:

Scanner Name der Malware Dauer
AntiVir TR/IllNotifier.C.2 1.20 Sekunden
Avast CiadoorLogger 6.03 Sekunden
AVG Antivirus X 1.02 Sekunden
BitDefender Backdoor.Ciador.102.PHP 1.51 Sekunden
ClamAV Trojan.NetDevil.Log-1 0.78 Sekunden
Dr.Web BackDoor.Generic.586 2.05 Sekunden
F-Prot Antivirus CGI/Remotelog 0.50 Sekunden
Fortinet W32/Cruint-tr 1.99 Sekunden
Kaspersky Anti-Virus Backdoor.Win32.Ciadoor.logger 2.12 Sekunden
mks_vir Trojan.Ciadoor.121 0.71 Sekunden
NOD32 Win32/Ciadoor.121.Logger 0.65 Sekunden
Norman Virus Control W32/Ciadoor.1_21 4.75 Sekunden


Datei: resetservice.exe
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme:
PECOMPACT

AntiVir
Keine Viren gefunden (0.39 Sekunden)
Avast
Keine Viren gefunden (1.51 Sekunden)
AVG Antivirus
Keine Viren gefunden (0.55 Sekunden)
BitDefender
Keine Viren gefunden (0.64 Sekunden)
ClamAV
Keine Viren gefunden (0.61 Sekunden)
Dr.Web
Keine Viren gefunden (0.92 Sekunden)
F-Prot Antivirus
Keine Viren gefunden (0.13 Sekunden)
Fortinet
Keine Viren gefunden (0.47 Sekunden)
Kaspersky Anti-Virus
Keine Viren gefunden (2.08 Sekunden)
mks_vir
Keine Viren gefunden (0.55 Sekunden)
NOD32
Keine Viren gefunden (0.50 Sekunden)
Norman Virus Control
Keine Viren gefunden (0.68 Sekunden)

Statistik
Zuletzt gefundene Malware war W32/Ciadoor.1_21 in Backdoor.Win32.Ciadoor.logger.zip, gefunden von:

Scanner Name der Malware Dauer
AntiVir TR/IllNotifier.C.2 1.20 Sekunden
Avast CiadoorLogger 6.03 Sekunden
AVG Antivirus X 1.02 Sekunden
BitDefender Backdoor.Ciador.102.PHP 1.51 Sekunden
ClamAV Trojan.NetDevil.Log-1 0.78 Sekunden
Dr.Web BackDoor.Generic.586 2.05 Sekunden
F-Prot Antivirus CGI/Remotelog 0.50 Sekunden
Fortinet W32/Cruint-tr 1.99 Sekunden
Kaspersky Anti-Virus Backdoor.Win32.Ciadoor.logger 2.12 Sekunden
mks_vir Trojan.Ciadoor.121 0.71 Sekunden
NOD32 Win32/Ciadoor.121.Logger 0.65 Sekunden
Norman Virus Control W32/Ciadoor.1_21 4.75 Sekunden


Datei: reset5.dll
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PECOMPACT

AntiVir
Keine Viren gefunden (0.40 Sekunden)
Avast
Keine Viren gefunden (1.51 Sekunden)
AVG Antivirus
Keine Viren gefunden (0.55 Sekunden)
BitDefender
Keine Viren gefunden (0.54 Sekunden)
ClamAV
Keine Viren gefunden (0.61 Sekunden)
Dr.Web
Keine Viren gefunden (0.92 Sekunden)
F-Prot Antivirus
Keine Viren gefunden (0.30 Sekunden)
Fortinet
Keine Viren gefunden (0.49 Sekunden)
Kaspersky Anti-Virus
Keine Viren gefunden (1.02 Sekunden)
mks_vir
Keine Viren gefunden (0.24 Sekunden)
NOD32
Keine Viren gefunden (1.19 Sekunden)
Norman Virus Control
Keine Viren gefunden (0.36 Sekunden)

Statistik
Zuletzt gefundene Malware war W32/Argentino.2_0 in Backdoor.Win32.Argentino.20.zip, gefunden von:

Scanner Name der Malware Dauer
AntiVir BDS/Argentinia.20 0.42 Sekunden
Avast Win32:Trojan-gen. {VB} 1.53 Sekunden
AVG Antivirus X 0.53 Sekunden
BitDefender Backdoor.Argentino.2.0 0.54 Sekunden
ClamAV X 1.67 Sekunden
Dr.Web BackDoor.Argentino.20 2.92 Sekunden
F-Prot Antivirus security risk or a "backdoor" program 0.76 Sekunden
Fortinet X 0.49 Sekunden
Kaspersky Anti-Virus Backdoor.Win32.Argentino.20 1.02 Sekunden
mks_vir Trojan.Argentino.20 0.24 Sekunden
NOD32 Win32/Argentino.20 0.48 Sekunden
Norman Virus Control W32/Argentino.2_0 0.24 Sekunden

#4 Schicke bitte diese Dateien (gezippt und mit Passwort versehen) zur Dateianalyse an virus@rokop-security.de :
reset5.dll
resetservice.exe

Zitat

Backdoor.Win32.Rbot.gen (5.12 Sekunden)

Aufgrund des aktiven [url="http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=39437
"]Win32.Rbot.gen[/url] wäre es sinnvoller, wenn du dein System zur deiner eigenen Sicherheit neu aufsetzt, siehe den Link in meiner Signatur.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#5 So ein Sch...!

Dann werd´ ich wohl mal Format C: spielen!

Trotzdem vielen Dank + einen schönen Abend

Gruss

David

#6 Bitte, gern geschehen und ebenso einen schönen Abend.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung