Hallo Zusammen,

Bekomme seit einigen Tagen von meinem Virenscannprogramm von Avast nach jedem Systemstart die Meldung, dass sich in der Datei C:\msdos.exe der Backdoortrojaner Win3:Hacdef:F (Trj). Mögliche Aktionen daraufhin sind "Löschen" und "in den Container verschieben", was ich beides schon mehrere Male probiert habe, mit dem Resultat, dass beim nächsten Systemstart die Meldung + der Datei msdos.exe nur wieder auftaucht, das löschen bzw. das in den Container verschieben also nix gebracht hat.
Habe daraufhin mal wieder Antivir installiert, der mir auch prompt den Backdoortrojaner Win3:Hacdef:F (Trj) entdeckt hat, und ihn beim nächsten Systemstart löschen wollte. Antivir hat zumindest diesbezüglich keine Meldung mehr gebracht und auch ein kompletter Scan hat keine Meldung mehr bezüglich Win3:Hacdef:F (Trj) gebracht, dafür aber eine Menge (ca.20 - soll ich die Reportdatei auch mal posten) )anderer Virenmeldungen gebracht, zumeist von irgendwelchen Exe-Dateien im Windows-Systemordner, bei denen ich mir beim besten Willen nicht erklären kann, wie die ale auf meinen Pc gekommen sind.
Habe nun nach mehreren Scans mit Antivir, die alle nichts mehr endeckt habe, noch mal mir Avast die Datei msdos.exe durchsucht, worauf hin gleich wieder altbekannte Meldung mit Win3:Hacdef:F (Trj) kam. Zumindest scheint die Datei im Moment aber dauerhaft gelöscht bzw im Container zu sein.

Trotzdem habe ich die Befürchtung, mein System ist alles andere als sauber, auch wenn derzeit beide Virenscanner die klappe halten. Grund für diese Annahme ist der zweifache Eintrag wkssvc.exe in meinem Autostart (msconfig), die auch nach Entfernung der Häckchen nach jeden Neustart wieder aktiviert sind. Hier ist deswegen mal mein Ergebnis nach einen HijackThis-Scan und hoffe ihr könnt mir sagen, ob ich mein System neu aufsetzen muss, oder ob es noch andere Rettung gibt:

Logfile of HijackThis v1.99.1
Scan saved at 10:32:30, on 08.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Security\Antivir\AVGUARD.EXE
D:\Programme\Security\Avast Antivirus\aswUpdSv.exe
D:\Programme\Security\Avast Antivirus\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
D:\programme\player\Quick Time 6\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Nützliches\Tuning-Tools\Icon Saver\IconSaver.exe
D:\Programme\Security\Antivir\AVGNT.EXE
D:\Programme\Nützliches\Backup-Programme\Alcohol 120%\Alcohol\Alcohol 120\Alcohol.exe
D:\Programme\Nützliches\Backup-Programme\Anti-Blaxx\Anti-Blaxx.exe
D:\Programme\Security\Antivir\AVWUPSRV.EXE
D:\Programme\Brenn-Software\Nero RW Ahead\InCD\InCDsrv.exe
D:\Programme\Security\Keiro Firewall\Personal Firewall 4\kpf4ss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Nützliches\Backup-Programme\Alcohol 120%\Alcohol\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Security\Keiro Firewall\Personal Firewall 4\kpf4gui.exe
D:\Programme\Security\Keiro Firewall\Personal Firewall 4\kpf4gui.exe
D:\Programme\Security\Avast Antivirus\ashMaiSv.exe
D:\Programme\Security\Avast Antivirus\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\Security\Antivir\AVWIN.EXE
D:\Programme\Security\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\Internetprogramme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat Reader 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\PROGRA~1\NTZLIC~1\TUNING~1\Ashampoo WinOptimizer Platinum Suite\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\NTZLIC~1\TUNING~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat Reader 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\Programme\Internetprogramme\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\Internetprogramme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat Reader 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\player\Quick Time 6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IconSaver] D:\Programme\Nützliches\Tuning-Tools\Icon Saver\IconSaver.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Security\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows Workstation Service] wkssvc.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Alcohol.exe Autorun] D:\Programme\Nützliches\Backup-Programme\Alcohol 120%\Alcohol\Alcohol 120\Alcohol.exe /startup
O4 - HKLM\..\Run: [Anti-Blaxx Manager] D:\Programme\Nützliches\Backup-Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\RunServices: [Windows Workstation Service] wkssvc.exe
O4 - HKCU\..\Run: [Windows Workstation Service] wkssvc.exe
O4 - HKCU\..\RunServices: [Windows Workstation Service] wkssvc.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\Internetprogramme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit Net Transport herunterladen - D:\Programme\Internetprogramme\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit Net Transport herunterladen - D:\Programme\Internetprogramme\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internetprogramme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internetprogramme\ICQLite\ICQLite.exe
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - h**p://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - h**ps://img.web.de/v/aktenkoffer/activex/upload_1115.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - h**ps://www1.pc-sicherheit.web.de/ols/fscax.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - h**p://ccon.futuremark.com/global/msc34.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Security\Antivir\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Security\Avast Antivirus\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Security\Avast Antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Security\Avast Antivirus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Security\Avast Antivirus\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Security\Antivir\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Imapi Helper - Alex Feinman - D:\Programme\Nützliches\Backup-Programme\Iso Recorder\ImapiHelper.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - D:\Programme\Brenn-Software\Nero RW Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Programme\Security\Keiro Firewall\Personal Firewall 4\kpf4ss.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Nützliches\Backup-Programme\Alcohol 120%\Alcohol\Alcohol 120\StarWind\StarWindService.exe


Was mir als Laie diesbezüglich aufgefallen ist:
1. wkssvc.exe, die immer mitgestartet wird.
2. einige andere Programme, die mir nichts sagen und die im Hintergrund mitlaufen, z.B.: smss.exe
3. es steht verdamm oft googletoobar, ICQ oder MSN drinnen, obwohl ich ICQ und MSN gar nicht laufen lassen hatte
4. die Internetseiten, die sich hier drinnen finden, sind mir zwar alle bekannt wurden aber das letzte Mal vor ewigkeiten besucht. Warum tauchen die dann in einem soclehn Scan auf??

Meine Frage, wenn ich mein System neu aufsetzen müsste:
Ich habe 3 Partitionen: Reicht es, wenn ich die Windowspartition formatiere und Windows neu installiere, os dass meine Musik, Eigenen Dateien, etc. auf den anderen Partitionen erhalten bleibt.
Wenn ich meine komplette Platte platt machen muss, wie rette ich am besten meine Bilder, Lieder und eigenen Dateien?? Ich wollte das alles auf meine USB-Festplatte auslagern, oder kann ich davon ausgehen, dass die auch schon verseucht ist, weil ich sie in den letzten Tagen immer mal angeschlossen hatte.
Meine Idee war, alles wichtige auf die USB Platte, C:, D:, und E: komplett löschen und formatieren und neu partitionieren bei der Windows neu installation. Eigene Dateien und Musik wieder von der USB-Platte auf die richtige. Einen neuen hijack-Scan durchführen und wieder posten.

Noch eine letzte Sache. Ein bis 2 Tage nach dem mir der Virus das erste mal aufgefallen ist, bekomme ich beim Start verschiedenster Programme die Windows-Fehlermeldung:
"Die Anweisung in "0x667ab86b" verweist auf Speicher in "0x009fc000". Der Vorgang "read" konnte nicht durchgeführt werden."
Kann diese Fehlermeldung damit zusammenhängen, dass mein Trojaner das gleiche Speichersegment, auf das das Programm zugreifen will, im Hintergrund schon belagert?

Ich weiß, das war alles ein bisschen ausführlich und viele Probleme auf einmal. Trotzdem Danke für eure Hilfe

iLu

Hallo,

du musst das System leider neu aufsetzen. Eine sehr gute Anleitung findest du hier.
Grund ist dieser Wurm, der außerdem dieses Rootkit ablegt.

Meist reicht es aus die Systempartition zu formatieren, aber am sichersten ist es alle Partitionen zu formatieren.
Nicht ausführbare Dateien (Musik, Filme etc.) kannst du relativ gefahrlos sichern, jedoch wäre es angebracht, die externe Platte vor dem Zurückspielen der Daten z.B. mit eScan zu überprüfen. Auf ausführbare Dateien würde ich ganz verzichten.

Zitat:

die Internetseiten, die sich hier drinnen finden, sind mir zwar alle bekannt wurden aber das letzte Mal vor ewigkeiten besucht. Warum tauchen die dann in einem soclehn Scan auf??

Das sind irgendwelche alten ActiveX-Objekte.

Hallo und vielen Dank für deine Hilfreiche Antwort.
Eine Frage habe ich aber noch. Habe Passwörter für email und Co in meinem IE als Cookies gespeichert (in zukunft werd ich Mozilla nehmen), sind diese jetzt alle als bekannt anzusehen und sollte ich sie ändern, sobald mein System wieder sauber ist?
Und für die Zukunft: Welche (kostenlose) Firewall und Virenscanner empfiehlst du (bisher war ich unschlüssig bei den Virenscannern zw. Avast und Antivir, bei der Firewall habe ich vor längerem Zonealarm gegen Keiro eingetauscht)

Also Danke nochmal und schönen Sonntag

@iLuVaTaR-Wue
Habe Passwörter für email und Co in meinem IE als Cookies gespeichert (in zukunft werd ich Mozilla nehmen), sind diese jetzt alle als bekannt anzusehen und sollte ich sie ändern, sobald mein System wieder sauber ist?
Ja, siehe auch Punkt 9 der Anleitung zum Neuaufsetzen

Welche (kostenlose) Firewall und Virenscanner empfiehlst du
Viele hier nützen kein FW, ein Virenscanner zu empfehlen würde eine heisse Diskussion auslösen zwischen rot und gelbe Schachtelanhänger.
Lese die Links von der Anleitung durch, dort findest du sehr viele Infos.

chaosman