Hallo,

schätze ich hatte mir My Doom eingefangen, nachdem ich blöderweise einen Email Anhang geöffnet habe, den ich besser hätte löschen sollen...Denn nachdem ich die Datei geöffnet habe, wurde Norton deaktiviert und ließ sich auch nicht mehr neu installieren...Das waren doch die Merkmale von My Doom, richtig???
Der Virusscan funktionierte allerdings noch und hat beim Durchsuchen in System32/FirstReboot.exe einen Trojaner angezeigt, der sich nicht löschen aber irgendwie anders beseitigen ließ, weiß leider nicht mehr genau was Norton angezeigt hat.
Hatte sowieso vor meinen Rechner mal wieder einem Format C zu unterziehen und habe das dann auch getan.
Nur merkwürdiger Weise wurde dieser Trojaner auch nach einem format C und der Neuinstallation von Windows immer noch angezeigt, als ich Norton nun wieder installieren wollte und Norton das System vor der Installation geprüft hat.
Wie kann das sein?
Hat diese FirstReboot.exe überhaupt was mit My Doom zu tun oder sind das zwei unterschiedliche Geschichten?
Norton hat dann wieder angezeigt, das es den Trojaner nicht löschen aber irgenwie anders beseitigen kann.
Na auf jeden Fall konnte ich Norton dann wieder komplett installieren und zum Laufen bringen.
Aber schlauer bin ich leider immer noch nicht.
Hoffe ihr habt die eine oder andere Antwort für mich.

MfG

Zorro

@Zorrrrro
wenn du schon neu formatieren willst, dann mache es richtig.
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2

DateienZurückspielenNachInfektion
Du solltest die Dateien, die Du benötigst auf eine CD (RW) brennen und nachdem Du Dein System neu installiert und die '10-Punkte-Liste' abgearbeitet hast mit einem Virenscanner scannen. Da Du eScan schon hast, solltest Du die heruntergeladene Datei mwav.exe auf jeden Fall ebenfalls sichern und auf bekanntem Wege auf dem neuen System 'installieren' und aktualisieren. Danach scannst Du mit eScan die komplette CD, bevor Du auch nur eine einzige Datei auf den Rechner zurück kopierst. Wenn eScan auf der CD keine infizierte Datei findet, kannst Du einigermaßen(1) sicher sein, dass die CD sauber ist.
Findet eScan etwas auf der CD, diese Datei(en) auf keinen Fall auf den Rechner kopieren.
ZitatLutz


chaosman

Was genau ist denn mwav.exe???
Also kann es durchaus sein, daß selbst nach einem format C , der Wurm bzw. Trojaner immer noch auf dieser Partition vorhanden ist?
Und was ist mit dieser FirstReboot.exe? Ist das tatsächlich diese MyDoom Geschichte? ein Trojaner?

MfG

Zorro

Zitat:

Zitat von Zorrrrro

Was genau ist denn mwav.exe???

Ist eine Datei von Escan-Free eScan Antivirus Toolkit Utility.Im Moment auch nicht weiter wichtig für dich.

Zitat:

Also kann es durchaus sein, daß selbst nach einem format C , der Wurm bzw. Trojaner immer noch auf dieser Partition vorhanden ist?

Solltest du die Partitionen vorher gelöscht , diese dann neu erstellt und abschliessend neu formatiert haben.Dann ist das eher unwahrscheinlich.

Zitat:

Und was ist mit dieser FirstReboot.exe? Ist das tatsächlich diese MyDoom Geschichte? ein Trojaner?

Poste doch einfach mal einen Log mittels Hijackthis und um ganz sicher zu sein schickste noch einen Log von Escan hinterher (http://www.trojaner-info.de//hijacker/escan).
Jetzt kommst du aber wieder mit der mwav.exe in Berührung. ;-)

Habe die Partition gelöscht, neu erstellt und formatiert...Und wie oben beschrieben hat Norton beim Prüfvorgang vor der Installation wieder diese First.Reboot exe gefunden.
Das ist dann ja ziemlich merkwürdig.

ogfile of HijackThis v1.98.2
Scan saved at 00:27:49, on 08.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Install\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Install\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Install\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\MAIL.EXE
F:\DOWNLOAD\HijackThis\1.98.2\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deesc.netfirms.com/mob/lan
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Install\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Install\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Install\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Install\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Install\FlashFXP\IEFlash.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Install\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Install\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Install\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Install\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Install\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{50759655-DD91-4D4F-9E80-8FE324ED4514}: NameServer = 217.237.150.225 217.237.150.141


Und e scan hat nichts gefunden.

Deswegen mal mit Escan checken.
Norton ist nicht unbedingt berühmt wegen seiner Qualität!