Hallo zusammen,

seit 3 Tagen nervt mich o.g. Datei, die sich immer wieder erneut einträgt.
Löschen im regedit hat nichts gebracht. eScan, CWShredder, Antivir, Spybot, sysclean brachten leider keinen Erfolg.

Vielleicht kann mir einer Helfen. Vielen Dank

Logfile of HijackThis v1.99.1
Scan saved at 12:41:55, on 11.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\SFIRM32\SFAutomat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\FRITZ!\FriFax32.exe
C:\WINDOWS\System32\javaw.exe
C:\Programme\Microsoft Office\Office\EXCEL.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wftestb.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\taskmgr.exe
D:\Daten\download\internet\Viren software\hijackthis_199\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Daten/www/startseite/_index.htm
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [WFFT Test] wftestb.exe
O4 - HKLM\..\RunServices: [WFFT Test] wftestb.exe
O4 - HKCU\..\Run: [WFFT Test] wftestb.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: PowerISDNMonitor 4 (Autostart).lnk = C:\Programme\PowerISDNMonitor\pimjava.exe
O4 - Global Startup: SFIRM32 Automat.lnk = C:\SFIRM32\SFAutomat.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CBDF37A-BB11-4178-9153-502A6BC6D531}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

versuch mal bite mit dem programm bitdefender das sit im forum unter antivirenprogramme lad dir das trial und lass es mal laufen bei mir hat es merh als 2000 infizierte viren gefunden XD

Hallo a.weber,

lass diese Datei mal hier online-scannen:

http://virusscan.jotti.org/de

Teile dann das Ergebnis mit.

@Zohrab,

Zitat:

versuch mal bite mit dem programm bitdefender das sit im forum unter antivirenprogramme lad dir das trial und lass es mal laufen bei mir hat es merh als 2000 infizierte viren gefunden XD

Da wäre ich mir nicht so sicher, dass alles gefunden wurde.

dartus

Datei: wftestb.exe
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

Ich habe die Datei gestern schon überprüfen lassen, mit gleichem Ergebniss.

Wenn ich den Rechner starte und online gehe, versucht die Datei auf irgendwelche Server (oder so) zuzugreifen. Das Tool tcpview überschlägt sich förmlich. Nach ein paar Min. hängt sich dann der Rechner auf und nix geht mehr.

Schick die Datei bitte zunächst gepackt und mit Passwort versehen (Passwort natürlich in der Mail angeben) an newvirus@kaspersky.com und warte die Antwort ab. Trenn dein System in der Zwischenzeit am besten vom Netz. Zum Abrufen der Mails musst du wohl oder übel trotzdem ins Internet.

BTW: Du kannst sie auch noch bei www.virustotal.com überprüfen lassen.

Bingo!

Antivirus Version Update Result
AntiVir 6.30.0.12 05.11.2005 no virus found
AVG 718 05.10.2005 no virus found
BitDefender 7.0 05.10.2005 no virus found
ClamAV devel-20050501 05.10.2005 no virus found
DrWeb 4.32b 05.11.2005 no virus found
eTrust-Iris 7.1.194.0 05.11.2005 no virus found
eTrust-Vet 11.9.1.0 05.11.2005 no virus found
Fortinet 2.51 05.11.2005 no virus found
Ikarus 2.32 05.10.2005 no virus found
Kaspersky 4.0.2.24 05.11.2005 no virus found
McAfee 4488 05.10.2005 no virus found
NOD32v2 1.1092 05.10.2005 no virus found
Norman 5.70.10 05.10.2005 no virus found
Panda 8.02.00 05.10.2005 W32/Sdbot.DEV.worm
Sybari 7.5.1314 05.11.2005 no virus found
Symantec 8.0 05.10.2005 no virus found
VBA32 3.10.3 05.11.2005 no virus found


Kann mir da jemand ein Tool empfehlen?

Ich hab's mir eigentlich gedacht. Normalerweise sollte man sich nicht auf einen Scanner verlassen, aber in diesem Fall schon.

Zitat:

Panda 8.02.00 05.10.2005 W32/Sdbot.DEV.worm

=> Als einzig vernünftige Lösung bleibt dir nur das:
"System neu aufsetzen und vor der ersten Internetverbindung absichern".

Wenn du ganz sicher gehen willst, kannst du natürlich auch noch die Antwort von Kaspersky abwarten.


P.S.: Die Datei müsste jetzt eigentlich von virustotal.com auch an die anderen AV-Hersteller geschickt werden.

Ende der Durchsage

Meine liebe Bettina,

Zitat:

Zitat von bourbon

Hallo Haui45!

Also deine Lösung ist für jemand der alles weiß echt mies!!!

wenn du den Link in meiner Signatur angeklickt hättest, wüsstest du, dass damit die Suchmaschine "Google" gemeint ist.
btw: Für dein erstes Posting ist das ganz schön frech!

Zitat:

Zitat von bourbon

Ich weiß wohl noch mehr.

Nein, bitte weiterlesen.

Zitat:

Zitat von bourbon

Hatte diesen Trojaner auch.

Es ist kein Trojaner...

Zitat:

Man muss ihn manuell löschen! Man weißt du viel! *g*
Man geht wie folgt vor: erst im Taskmanager den Prozess wftestb.exe ausschalten. Dann unter C:/Windows/system32 den Trojaner wftestb.exe löschen. Wichtig, der Prozess muss vorher beendet sein da er sich sonst nicht löschen lässt. Dann unter Start, Ausführen bitte den Befehl regedit eingeben. Dort unter bearbeiten, suchen folgendes eingeben: wftestb.exe und dann auf weitersuchen klicken. Dort dann alles was er markiert weglöschen (mit rechter Maustaste). Mit F3 dann weitersuchen und immer alles was markiert wird löschen. Selber aber immer schauen ob in der markierten Zeile das Suchwort vorkommt(wftestb.exe). Solange mit F3 weitersuchen bis die Meldung kommt das die Suche beendet ist. Dann nochmal auf bearbeiten und suchen gehen und rnd eingeben. Alle Ordner und Schlüssel die er findet wieder löschen. Danach mit hijack auch noch mal prüfen und evtl. dort, wenn Eintrag vorhanden, haken setzen und löschen. PC-Neustart und ihr seid den Trojaner los!

Nun aber zu deiner äußerst stümperhaften "Lösung":
Bei dem o.g. Schädling handelt es sich um einen Wurm (falls du dir mit der Unterscheidung 'Wurm - Trojaner' schwer tust, Google ist dein Freund) mit Backdoorfunktionalität! => ein Fremder hat unbegrenzten Zugriff auf das System. => weitere Schädlinge, wie z.B. Rootkits (-> Google) können installiert werden. => das System ist nicht mehr vertrauenswürdig und sollte neu aufgesetzt werden.

=> Es empfiehlt sich immer, die Links durchzulesen und sich erst dann ein Urteil zu bilden.

Zitat:

Zitat von bourbon

Gruß Bettina , ich weiss noch mehr!

Gruß Haui, der dir leicht das Wasser reichen kann und absichtlich auf eine ausführlichere Erklärung verzichtet hat, weil man das alles im Forum nachlesen kann.

Ende der Durchsage

Zitat:

Zitat von bourbon

Ja ich kenne den Unterschied zwischen Wurm und Trojaner.

Sowas hört man gerne, eine Frau vom Fach sozusagen...

Zitat:

Trotzdem DANKE für die Aufklärung!

Bitte!

Zitat:

Mein System ist sicher!

Wenn du das sagst


Mittelteil von mir weggelassen.

Zitat:

Aber keine Angst in diesem Forum werde ich nichts mehr posten.

Das ist höchst bedauerlich!

Zitat:

Es ist ja ein Spezialist da!

Nicht nur einer.

Zitat:

Da sich der Satz "ich weiß fast alles" auf google bezieht, entschuldige ich mich für meine "freche" Art.

Entschuldigung zur Kenntnis genommen!

Zitat:

Ansonsten wünsche ich Dir ein schönes Leben.

Wünsch' ich mir auch.


Gruß Haui

BTW: Viel Spaß mit deinem Router, der die Malware daran hindert nach Hause zu telefonieren


P.S.:

-->EOD<--