Hallo miteinander, ich bin nicht besonders fit an meiner Kiste, deswegen kann es sein, dass ich mich jetzt ziemlich blamiere, aber etwas stimmt nicht.

Seit heute mittag bemerke ich folgenden Vorgang auf meiner Kiste (XP prof):
Ich wähle mich via Modem ins Internet ein und starte den Netscape Messenger (alte Version 4.75). Dann schließe ich den Messenger wieder. Ich verwende keine andere Anwendung. Anschließend dauert es etwa eine halbe Minute, bis irgendetwas von meinem Rechner auf das Netz zugreift und relativ große Datenmengen sendet und empfängt. Wobei etwa das Dreifache der empfangenen Menge versendet wird.

Ich habe aktuelle Virenprogramme drüberlaufen lassen und auch ein paar Trojaner-Programme probiert, half nichts. Dann habe ich die laufenden Prozesse gecheckt. Dabei ist mir einer aufgefallen, der heißt defragfatx.exe. Über den hab ich im Internet nur auf einer einzigen französischen Seite etwas gefunden - im Zusammenhang mit Trojanern. Und was passiert? Sobald ich diesen Prozess beende, endet auch der Datenaustausch. Und wenn ich den Prozess schon im Vorfeld (also vor Aufruf des Messengers) beende, kommt es erst gar nicht zu dem Datenaustausch.

Ich habe mal HighJackThis laufen lassen, heraus kommt folgendes:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Netscape\Communicator\Program\netscape.exe

der defragfatx.exe taucht hier nicht auf, den hab ich vorher beendet

Und ich habe im Internert bei besagter französischer Seite folgendes entdeckt (für den der es versteht - ich leider nicht):


Bonjour,

W2000 SP4 - IE6.0
AVG Free Edition
pas de connection internet permanente, ni firewall.

ce matin, AVG se met à jour (pas uniquement la base des virus mais
aussi nouvelle version de certains composants) et depuis des trucs
bizarres :

- AVG trouve ensuite un trojan (trojan irc/BackDoor.SdBot.93.I) dans
un fichier TFTP1104 sous WinNT/System32. J'ai viré aussi winexec32.exe
mais depuis je retrouve des fichiers TFTPxxxx qui sont périodiquement
recréés.

- redémarrage en mode sans échec : un scan avec clrav.com et
stinger.exe ne donne pas de résultat. Le rapport de HijackThis.exe
paraît net (rien d'autres que les services standards). Un coup d'AVG :
tout semble propre.

- redémarrage et connection à internet : j'envoies beaucoup plus de
données que j'en reçois. Je coupe. Et là je vois defragfatx.exe en
cours (lancé par une clé sous HKML/.../Run qui n'existait pas
jusqu'àlors). C'est quoi ce defragfatx ?

- redémarrage en mode sans échec : idem ...

- sauf qu'un processus svchost.exe consomme pratiquement toute les
ressources.

Quelqu'un aurait-il des infos sur ce qui se passe ?
D'avance merci.





Weiß jemand Rat? Ich hab Angst, dass da was ziemlich schief läuft

Danke schonmal

sternchen2

hallo, sternchen2,
die französische Seite beschreibt einen Backdoor-Trojaner.
Um mehr zu erfahren, bitte ich Dich, das ganze Logfile incl. Kopfzeile zu posten.
cacatoa

Hallo Cacatoa, dake schonmal, hier das ganze Ding:

Logfile of HijackThis v1.99.0
Scan saved at 16:56:10, on 13.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Netscape\Communicator\Program\netscape.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zaruba-ist.net/
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.de"); (C:\Programme\Netscape\Users\mmmm\prefs.js)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfatx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{270703A2-18D2-4926-8BA0-635B681C57E4}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe


Grüße sternchen2

Hallo, sternchen2
bitte die Datei C:\WINDOWS\system32\defragfatx.exe mal bei Jotti online scannen lassen, bin gespannt was der dazu sagt. Poste bitte das Ergebnis (sind 10 Zeilen verschiedener Virenscanner). Ich beschäftige mich derweil mit der franz. Seite weiter.
Bis gleich
cacatoa

This is the result of the jotti jury: twelve points!!!!!!!

File: defragfatx.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (0.17 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.46 seconds taken)
ClamAV No viruses found (0.47 seconds taken)
Dr.Web Win32.HLLW.Shepher (0.52 seconds taken)
F-Prot Antivirus No viruses found (0.21 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.PoeBot.d (0.72 seconds taken)
mks_vir Trojan.Poebot.B (0.22 seconds taken)
NOD32 No viruses found (0.43 seconds taken)
Norman Virus Control No viruses found (1.04 seconds taken)

Was heißt das für mich?

Sternchen2

Oh, je, sternchen,
das kann der Poebot:
Teilnehmen an Distributed-Denial-of-Service (DDoS)-Attacken
Packetsniffing
Stehlen von Software-Produktregistrierungsdaten
Starten eines FTP-Servers
Missbrauchen von FTP-Client-Software
Starten eines Portscanners
Auflisten/Beenden von Systemprozessen und -Diensten und noch etwas mehr...
Du weißt nicht, was er bereits angerichtet hat; Dein System ist kompromittiert
Deshalb hilft wirklich nur eines: System neu aufsetzen
Beachte alle tipps!
Dur wirst jetzt fragen, warum du nicht einfach die Datei löschst und alles ist weg? Das ist ja eben das Problem - wir wissen nicht, was bereits geschehen ist. Deshalb diese Antwort von mir.
Tut mir leid.
cacatoa

@ sternchen2

die Sophos-Virusinformation zu W32/Poebot-D:

# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Führt die System-Sicherheit zurück
# Installiert sich in der Registry

Das bedeutet leider, dass Du Dein System formatieren solltest, entsprechend Cidre's Rat und Lutz Tipps zur Datensicherung.

Ich noch mal:
So funktionieren die DDoS-Attacken: Lies hier.

O Du lieber Gott!!!!!!!!

Helft mir bitte. Ich werde jetzt sofort meine Passwörter bei ebay und bei meiner Bank ändern. Das sind die wichtigsten.

Am Wochenende mache ich den Rechner platt (zwei Tage Neuinstallation, ich kenne das ja....)

Was kann der noch angerichtete haben? Muss ich irgendwelchen Freunden aus meinen Mailordnern (Sent, Inbox) Bescheid geben, als Warnung??

Wo kommt der Virus eigentlich her? Mail? Irgendeine unsichere Seite?

Danke und Grüße

sternchen2

Ach ja, wie kann man sich vor so einem Monster schützen???
Mein Antivir reicht da wohl ja nicht....

sternchen2 (erschrocken und traurig....)

Der Poebot ist ein typischer IRC Trojaner; verbreitet sich bevorzugt über messenger....
Lies mal hier.
Halte dich beim Neuaufsetzen genau an die verlinkten tipps. Lies unbedingt das.

cacatoa