Hallo liebe Helfer,

habe folgendes Problem mit meinem Rechner:

Anfang dieser Woche wurde mein Rechner, wenn ich mit dem Internet verbunden
war, in unregelmäßigen Abständen einfach neu gestartet.
Vorher erschien eine Box mit folgender Meldung, die ich nicht schließen konnte:

Das System wird heruntergefahren. Speichern Sie alle Daten und melden Sie sich
ab.
Alle Änderungen, die nicht gespeichert werden gehen verloren. Das
Herunterfahren wurde von NT-AUTORITÄT\SYSTEM ausgeführt.
Der Systemprozess C:\WINNT\System32\services.exe wurde unerwarteterweise mit
dem Statuscode 128 beendet. Das System wird heruntergefahren und neu gestartet.


Daraufhin habe ich im Internet recherchiert und habe herausgefunden, dass die
Viren W32.Sasser und W32.Blaster ähnliche Wirkung zeigten.
Ich habe mir von der Symantec-Homepage die Programme
FixBlast.exe und FxSasser.exe heruntergeladen und über mein System laufen
lassen - ohne Erfolg.

Zwischenzeitlich habe ich auch die neuesten Hotfixes von Microsoft installiert
und auch den neuesten Stand meines Antivirenprogrammes geladen und mein System
gescannt - wieder ohne einen Virus zu finden.

Mittlerweile, wenn ich mich im Internet befinde, meldet mein Norman-
Antivirenprogramm ab und zu den Angriff des Virus W32/Esbot.B. Allerdings
werden die Daten in Qurantäne gestellt.

Trotzdem fährt der Rechner in unterschiedlichen zeitlichen Abständen immer
wieder herunter (wie oben beschrieben).

Seit neuestem (gestern) meldet das Antivirenprogramm einen Virus
W32/Suspicious_M.gen.
Zu diesem Virus habe ich im Internet noch nicht viel gefunden.

Ich habe das Programm stinger.exe auf mein System angesetzt - wieder ohne
Erfolg.

Als letztes habe ich HijackThis.exe (Version 1.99.1) gestartet.

Die generierte HijackThis.log-Datei sieht folgendermaßen aus:

Logfile of HijackThis v1.99.1
Scan saved at 00:04:38, on 21.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norman\bin\ZANDA.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\Programme\Norman\bin\ZLH.EXE
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Norman\Nvc\BIN\NIP.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\PROGRAMME\NORMAN\Nvc\BIN\nvcoas.exe
C:\PROGRAMME\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\PROGRAMME\NORMAN\Nvc\BIN\nipsvc.exe
C:\Programme\Norman\bin\NJEEVES.EXE
C:\Programme\Norman\Nvc\bin\cclaw.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5E4C5902-893C-A504-7374-F00B6901675B} - C:\WINNT\system32\diwavus.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Norman ZANDA] C:\Programme\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Foto Service Sued\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - https://www.plaxo.com/down/latest/PlaxoInstall.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C480745F-4171-4277-8648-CF9DBEDBFE0B}: NameServer = 217.237.150.97 217.237.151.33
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\PROGRAMME\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Programme\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Programme\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\PROGRAMME\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\PROGRAMME\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)


Wer kann mir einen Tip geben wo sich ein Virus oder Trojaner verbirgt?


Vielen Dank im Voraus

Uli
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

Hallo,

dein System wurde vermutlich zu spät mit den aktuellen Patches versorgt. Lediglich diese Einträge wiesen auf eine einst aktive Malware hin:

Zitat:

O2 - BHO: (no name) - {5E4C5902-893C-A504-7374-F00B6901675B} - C:\WINNT\system32\diwavus.dll (file missing)
O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)

Ich weiß nicht, was du bis dato schon alles verändert oder gelöscht hast. Deshalb solltest du mit eScan AntiVirus im abgesicherten Modus scannen und uns anschließend die Virus Log Information posten.