Hi!

Ich habe seit einiger Zeit ein grösseres Problem mit einem Virus (oder Wurm?).
Dieser verändert meine mp3-Dateien indem er kurze andere Musikstücke hineinschneidet und somit die mp3 unbrauchbar macht. Man hört nur noch eine Abfolge verschiedener Titel. Die mp3-Datei wird aber als nicht geändert angezeigt.
Ich habe schon viel im Netz gesucht und bin dann auf folgenden Beitrag gestossen
http://www.trojaner-board.de/archive...p/t-16600.html

Dieser beschreibt genau mein Problem. Allerdings habe ich nach längerem Stöbern nichts mehr weiteres darüber gefunden. Falls man diesen Virus oder was auch immer losbekommen kann wäre ich sehr dankbar für eine Hilfestellung.

Mfg,
Blasebalg

Moin,
kann es sein, dass du Kazaa benutzt oder dich auf irgendeinem anderen Filesharingportal rumtreibst ? Was benutzt du für einen Virenscanner ?
Was für ein Betriebssystem benutzt du ?
Hast du auf deinem BS alle Updates installiert die für dein System zur Verfügung stehen ?
Anleitung Hijack this
Guckst du hier http://www.trojaner-board.de/showthread.php?t=17493
Anleitung escan
Dann hier http://www.trojaner-board.de/showthread.php?t=17492
Gruß
riesurf

Hi und danke schonmal soweit.

Mein Betriebssystem ist ein Windows XP (noch nicht mit SP2).
Als Virenscanner verwende ich
- avast!
- AntiVir
Treibe mich ab und an auf einem Filesharer rum (DC++).

Das HiJacker-Programm hat folgendes ausgespuckt:

Logfile of HijackThis v1.99.1
Scan saved at 01:01:47, on 14.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\HDD Thermometer\HDD Thermometer.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\system32\drivers\KodakCCS.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\WINDOWS\explorer.exe
D:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMJB.EXE
D:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Dokumente und Einstellungen\*Mustermann*\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\vpkjt.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\vpkjt.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32\vpkjt.dll/sp.html#93256
R3 - Default URLSearchHook is missing
O2 - BHO: CleanMyPC Popup Blocker - {7A9BC6B1-7F27-47c6-A66D-13582E81E537} - D:\Programme\CleanMyPC Popup Blocker\CleanBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - D:\Programme\CleanMyPC Popup Blocker\CleanBar.dll
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] D:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [RealTray] D:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [yaemu.exe] D:\WINDOWS\System32\yaemu.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] D:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [WareOut] "D:\Programme\WareOut\WareOut.exe"
O4 - Global Startup: ScanPanel.lnk = D:\ScanPanel\ScnPanel.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = D:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: E&xport to Microsoft Office Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: *.sxload.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://update.microsoft.com/w...?1124282114088
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://h**p://download.zonelabs.com/...anner37240.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAFD8C98-2130-4479-9914-2168E7047031}: NameServer = 69.50.161.130,85.255.112.13
O17 - HKLM\System\CS2\Services\Tcpip\..\{4DA94FC9-5BB0-404B-9614-13B388040CB5}: NameServer = 69.50.161.130,85.255.112.13
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - D:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe

...garg, hab die beiden httm-Seiten zu editieren übersehen

hallo,

ich habe exakt das gleiche problem. bei mir tritt es seit ungefähr einer woche auf. bei mir zeigt winamp keine zeit des tracks mehr an und es ist nur ein lautes rauschen und mehrere hinterlegte hintergrundstimmen, bzw. musik.
habe mich ebenfalls tot-gegooglt und nichts gefunden.
habe w2k mit sp4 und allen aktuellen ms updates.
antivirenprogramme: bis gestern antivir und seit heute noch zusätzlich avg. beide haben bei einem check nichts gefunden.
firewall: zonealarm.

hijackthis zeigt auch nichts bedrohliches.

weiterhin habe ich alle partitionen (ntfs) defragmentiert und scandisk laufen lassen. auch alles ohne probleme.
festplattendefekt ist nahezu auszuschließen, da es eine relativ neue maxtor platte ist, die ich auf der arbeit schon lange ohne probleme nutze.

was mir aufgefallen ist, nachdem ich die beschädigten mp3s vorgestern gelöscht habe und funktionierende! vom backup zurückgespielt habe, sind heute morgen wieder zwei aus dem backup defekt. das backup ist in ordnung, da schon älter (ca 2 jahre).

würde mich mit blasebalg, den ich mal mit einschließe, freuen, wenn uns jemand weiterhelfen könnte, bzw. hinweise im www findet.

Moin Blasebalg,
also kein SP2 ist immer schlecht und dann Tauschbörsen besuchen ist auch immer schlecht. Wobei man Tauschbörsen generell nicht empfehlen kann.
also du hast den hier drauf http://www.sophos.de/virusinfo/analyses/w32rbotez.html.

W32/Rbot-EZ ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht.

W32/Rbot-EZ verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehl von einem remoten Anwender erhalten hat.

W32/Rbot-EZ kopiert sich als IEXPLORE.EXE in den Windows-Systemordner und erstellt die folgenden Einträge in der Registrierung, so dass er beim Systemstart aktiviert wird:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
$WindowsRegKey%update = IEXPLORE.EXE

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
$WindowsRegKey%update = IEXPLORE.EXE

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
$WindowsRegKey%update = IEXPLORE.EXE

W32/Rbot-EZ kann außerdem die folgenden Registrierungseinträge ändern:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM= N
HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous = 1
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = 1

und dann schau mal hier unter WareOut.exe.

http://www.wintotal.de/Spyware/index.php?Filter=W

Ich würde das System platt machen und neu installieren.
Nimm einen anderen Browser zb. Firefox Mozilla oder Opera
Spiel das Service Pack 2 auf am besten von CD
Du sagst du benutzt 2 virenscanner nimm nur einen.
Vermeide Tauschbörsen im Internet.
Noch ein Tip
Es gibt Programme zu kaufen mit denen du Internetradio aufnehmen kannst.
Die sind nicht teuer und du setzt dich keiner Gefahr aus. Guck mal bei Google.
Gruß
riesurf

@riesurf,

nu mal langsam. Einen RBot seh ich da absolut nicht!
Schau Dir bitte nochmal genau die Registry-Einträge an.

O4 - HKLM\..\Run: [IEXPLORE.EXE] D:\Programme\Internet Explorer\IEXPLORE.EXE <-- LOG

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
$WindowsRegKey%update = IEXPLORE.EXE <-- RBOT

dartus

Hm, okay, ich schau heute Nacht nochmal genauer drüber.

Soweit erstmal vielen Dank.

Sollte ich das System plattmachen und neu installieren, ist dann der Wurm gekillt, oder hängt der auf meine eingerichteten Felstplatte mit meine Musikdateien noch rum?