Hallo!

Hatte vor kurzem seru32.exe per McAfees stinger.exe gefunden und beseitigt. Das Programm wollte auch ins Internet, was mein ZoneAlarm aber verhindert hat. Jetzt habe ich heute wieder ein suspektes Programm entdeckt, was ins Netz wollte, und zwar windrive32.exe. im Verzeichnis c:\winnt\system32\windrive32.exe. Da ich mich nicht so gut auskenne, bin ich mir hier jetzt nicht so sciher, ob es sich tatsächlich um einen Schädling oder ein normals Systemprogramm handelt.

Außerdem bekomme ich des öfteren Meldungen (aber erst seit seru32.exe aufgetaucht ist!), daß irgendein Registryeintrag geändert wurde, und zwar seltsamerweise im Antivir-Verzeichnis. Kann das etwas böses sein?

Für hilfreiche Hinweise wäre ich sehr dankbar!

MfG
Tara


Logfile of HijackThis v1.99.1
Scan saved at 00:24:38, on 08.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\Antivir Personal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
D:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
D:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\windrive32.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
D:\Programme\Antivir Personal\AVGUARD.EXE
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.099\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Antivir Personal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C749912-AD4E-4C04-8108-231FD745FCEC}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C02A30FC-2B7F-4E6E-8BAE-B21B11B24EF3}: NameServer = 195.50.140.250 145.253.2.203
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Antivir Personal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Antivir Personal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe

Lass folgende Datei mal bei :

http://www.malwareupload.com/

überprüfen

C:\WINNT\system32\windrive32.exe

.Böse ist sie in jedem Fall.

Teile uns das Ergebnis mit

Habe die Datei schon hochgeladen. Mal abwarten, wann das Ergebnis kommt. Was kann ich denn bis dahin tun zwecks Datenrettung und Sicherung?

Hab ich glatt vergessen: meine Firewall verhindert zumindest die offensichtlichen Zugriffsversuche von windrive32.exe. Kann ich damit jetzt noch halbwegs sicher im Netz rumhängen, ohne daß alles in die Weiten des Internets rausposaunt wird und ich noch andere PCs infiziere?

Vielen Dank für die Antowerten zu so später Stunde!

Und was mich ja noch verwirrt: ich hab weder irgendwelche Anhänge aufgemacht noch mich sonst unvorsichtig verhalten. Woher hab ich den Scheiß? und warum kann ich den Prozeß nicht über die Systemsteuerung beenden?

(Irgendwie komme ich mir gerade zu dauig fürs Netz vor. )

Zitat:

Zitat von tara

Und was mich ja noch verwirrt: ich hab weder irgendwelche Anhänge aufgemacht noch mich sonst unvorsichtig verhalten. Woher hab ich den Scheiß?

Hast Du alle Windows-Updates?

Gruß
Yopie

Klingt nach Sasser...und den gab es eigentlich per Mail.

Zitat:

Zitat von tara

Und was mich ja noch verwirrt: ich hab weder irgendwelche Anhänge aufgemacht noch mich sonst unvorsichtig verhalten. Woher hab ich den Scheiß? und warum kann ich den Prozeß nicht über die Systemsteuerung beenden?

Da du ja u.a. den Firefox nutzt sehe ich 2 Möglichkeiten:
Du hast einmal zuviel geklickt, obwohl der Firefox ne Warnung ausgesprochen hat, oder du hast bis vor kurzen den IE Standartmäßig genutzt.

Zitat:

Zitat von Feierfox

Klingt nach Sasser...und den gab es eigentlich per Mail.

Nö.
http://securityresponse.symantec.com...sser.worm.html

Gruß
Yopie

Hab jetzt mit TuneUps Hilfe geschafft, das Programm zu beenden. In den Papierkorb, sicher gelöscht mit Norton (ja, ich weiß, aber mir fiel nix besseres ein). Inner Registry gesucht, und nix mehr gefunden. Mal schauen, was jetzt passiert. Lade mir gerade dasmwav-Programm, mal sehen. Mein AntivirXP findet nix, und AdAware und Spyware-Blaster auch nicht. Hm.

Zitat:

Zitat von Yopie

Nö.
http://securityresponse.symantec.com...sser.worm.html

Gruß
Yopie

Glaub ich auch nicht, den müßten doch meine Proggies finden. Glaub da eher an ein fehlendes Windows-Update, aber der Explorer ist mir auch gerade dreimal beim Update-Versuch abgeschmiert. Börks.

(IchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzsei nIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzsei nIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzsei nIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzsei nIchwerdeniewiedereinesekundeohnefirewallimnetzsein

Ich hab keine Firewall.Nur mal so btw

Zitat:

Zitat von cronos

Ich hab keine Firewall.Nur mal so btw

Hm, dann wäre es sehr lieb, wenn du mir sagst, wie mensch sich effektiv gegen so nen Mist schützen kann. (Bzw. auf welchen Link muß ich klicken ?)Immerhin warnt mich aber meine Firewall noch davor, wenn das Kroppzeugs ins Internet kommunizieren will.

1. http://www.mathematik.uni-marburg.de...ompromise.html

2. http://www.ntsvcfg.de/



alternativ für Link 2

www.dingens.org

Ausserdem hier mal ne Installationsanleitung von Cidre:

http://www.trojaner-info.de/report_i...nleitung.shtml

Da steht eigentlich alles wichtige erstmal drin

Zitat:

Nö.

Ich weiss, aber hier war ein indirekter Zusammenhang:
http://www.mcse.ms/message652545.html

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html