Hallo!

Seit letzter Woche Donnerstag hab ich ein Problem mit einem Trojaner/Virus. Bin normalerweise durch Norton Anti Virus geschützt, aber da scheint was durchgekommen zu sein. Mir ist das Ding aufegfallen als ich eines meiner Spiele starten wollte und die Tastatur/Maus verzögert reagiert hat. Ich hab den Taskmanager geöffnet und habe keine ungewöhnlichen Prozesse gesehen die mitlaufen, hatte aber immer eine CPU Auslastung von 50%. Ich habe dann alle möglichen Antivieren Tools und Ad-Aware laufen lassen, aber keines konnte den Störenfried beseitigen. Nun ist mir aufgefallen das wenn ich das ein oder andere Programm starte bzw. schliesse ein Prozess mit 50% CPU Auslastung kurzzeitig auftaucht. Die Namen: 1111a.exe oder 1111b.exe oder 1111c.exe. Wenn ich schnell genug bin und den Prozess anhalte/stoppe läuft mein Rechner wieder normal. Keines der Programme taucht aber im Windows oder system 32 Ordner auf. Ich habe etliche Programme versucht um dem Miststück auf die Spur zu kommen. Trojancheck zeigt mir auch die Pfade in der regestry an: C:\WINDOWS\System32\1111a.exe. Auch in der system.ini ist was: explorer.exe C:\WINDOWS\System32\1111c.exe
Nur leider komm ich nicht dahinter wo sich der Virus aufhält.
Norton Antivirus Corporate edition löscht mir beispielsweise immer nach einem Neustart einen Wurm Namens: W32.Dumaru.Gen@mm in: C:\windows\prntsvr.dll, aber das Problem besteht trotzdem weiterhin. Ich habe auch schon spezielle Tools benutzt um den Dumaru wurm zzu entfernen, aber nix tut sich....
Hab das Hijack tool ausprobiert das ihr hier verlinkt habt.
Dabei kam folgendes raus:

Logfile of HijackThis v1.97.7
Scan saved at 22:27:21, on 04.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Timo\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
F0 - system.ini: Shell=explorer.exe C:\WINDOWS\System32\1111c.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\1111c.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe...0/dexDE639.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...033.0670833333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CB4F7E-3819-480A-8AC8-ABEC1B253F8B}: NameServer = 212.185.248.84 194.25.2.129


Ich hoffe das ihr mir helfen könnt, bin mit meinem Wissen und meinen Möglichkeiten am ende angelangt.

Auf dem ersten Blick (weiteres mag folgen)

Fixe F0 und F2 in HijackThis

O16 - DPF: {11111111-1111-1111-1111-111111111111} - ... kommt mir äusserst suspekt vor, da wird aus unbekannter quelle eine exe geladen - fixen!

Bringe Windows und Internetexplorer auf einen aktuellen Stand!
Lade AdAware und Spybot S&D herunter (quelle siehe meine Signatur unten),jeweils installieren, starten updaten und durchlaufen lassen.

[ 05. April 2004, 09:48: Beitrag editiert von: Shadow ]

@ shadow - kannst du bitte auch mal dieses anschauen - danke [img]smile.gif[/img]

Logfile of HijackThis v1.97.7
Scan saved at 11:42:30, on 05.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Hab es editiert *

[ 05. April 2004, 13:27: Beitrag editiert von: Nangie ]

Danke für deine schnelle Hilfe!
Hab alles gemacht wie von dir beschrieben (bis auf die Windows updates, dafür war meine Mittagspause zu kurz) Aber es bleibt mir nachwievor alles erhalten. Spybot und Adaware konnten ihn nicht entfernen. Die stellen hab ich mit hijack gefixt, aber sie sind wieder aufgetaucht.

Neues Log:

Logfile of HijackThis v1.97.7
Scan saved at 12:54:38, on 05.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Timo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
F0 - system.ini: Shell=explorer.exe C:\WINDOWS\System32\1111c.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\1111c.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\1111a.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...033.0670833333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CB4F7E-3819-480A-8AC8-ABEC1B253F8B}: NameServer = 217.237.151.33 194.25.2.129

@ Glueck: such mal über Start = > Ausführen => msconfig in der system.ini nach 1111 Einträgen und deaktiviere sie
Oder einfach "edit c:\windows\system.ini" und 1111-Einträge löschen

Mit HijackThis fixen:
F0 und F2
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\1111a.exe

Ich persönlich würde ja die Registry nach 1111 durchsuchen, da sollte man aber wirklich (hoffen zu) wissen was man macht. Ein falscher Buchstabe in der Registry zu viel (oder gelöscht) und schon mag die Kiste nicht mehr so...

@Nangie:
was ist bei dir das Problem?

Kommt Dein PC nicht ins Internet?
Ansonsten:
Du bist Yahoo-Nutzer, besitzt ein Sony-Notebook (mit ATI-Grafikchip.
Windows, IE, Hijackthis sind auf aktuellem Stand, Du hast einen Lexmarkdrucker (oder Multifunktionsgerät), eine Logitechmouse (oder kompatibel), benutzt intensiv Yahoo, AOL und schaust auch bei Ebay vorbei. a² ist on

Dein Problem könnte mit NOD32 zu tun haben.

</font><blockquote>Zitat:</font><hr /> @Nangie:
was ist bei dir das Problem?
</font>[/QUOTE]Räusper - hüstel .....@ Shadow - ich habe kein Problem ,auch nicht mit NOD32

Dachte so bei mir - lieber einmal zuviel als zu wenig schauen

Danke dir [img]graemlins/daumenhoch.gif[/img]

</font><blockquote>Zitat:</font><hr /> Du bist Yahoo-Nutzer, besitzt ein Sony-Notebook (mit ATI-Grafikchip.
Windows, IE, Hijackthis sind auf aktuellem Stand, Du hast einen Lexmarkdrucker (oder Multifunktionsgerät), eine Logitechmouse (oder kompatibel), benutzt intensiv Yahoo, AOL und schaust auch bei Ebay vorbei. a² ist on
</font>[/QUOTE]And the Winner with 100 Points is.....Shadow

@Nangie: Ja, solange ein PC nicht im lokalen Netzwerk unterwegs ist, verrät das Log-File noch nicht allzuviel
(meines würde ich NIE ungekürzt veröffentlichen )
Bin aber nicht unbedingt DER Log-File-Experte.


Irritiert hatte mich nur diese Zeile:
O10 - Broken Internet access because of LSP provider 'imon.dll' missing.
Zuerst habe ich nur IMON.DLL =&gt; NOD32 herausgebracht, die Zeile dürfte aber absolut in Ordnung sein.
</font><blockquote>Zitat:</font><hr />
If anyone looking in a HijackThis log sees an entry for
O10 - Broken Internet access because of LSP provider 'imon.dll' missing

check whether the user is using NOD32 as their antivirus. If so DO NOT FIX IT and if using LSP fix also do not remove any entries for imon.dll

Imon.dll is an essential part of NOD32 antivirus, but because of the way HJT & LSPfix work they see it as missing and the cure destroys the email protection part of NOD32.</font>[/QUOTE]Auf Deutsch und kürzest übersetzt. Wenn Du NOD32 nutzt ist diese Zeile in HijackThis normal

</font><blockquote>Zitat:</font><hr /> (meines würde ich NIE ungekürzt veröffentlichen )
</font>[/QUOTE]Ich auch nicht mehr ....

</font><blockquote>Zitat:</font><hr /> Auf Deutsch und kürzest übersetzt. Wenn Du NOD32 nutzt ist diese Zeile in HijackThis normal
</font>[/QUOTE]Na prima - hab eben einen kompletten Check gemacht - ALLES OK - was will ich mehr [img]graemlins/huepp.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:

O16 - DPF: {11111111-1111-1111-1111-111111111111} - ... kommt mir äusserst suspekt vor, da wird aus unbekannter quelle eine exe geladen - fixen!
</font>[/QUOTE]dexDE639.exe: das ist laut AVPE, YAW und KAV
ein Dialer -&gt; nächste Telefonrechnung prüfen & ggfs. anfechten.
Hast du das Ding noch zur Beweissicherung (bzw den entsprechenden Eintrag im Backup von Hijackthis) ?

[ 05. April 2004, 14:24: Beitrag editiert von: Who Cares ]

</font><blockquote>Zitat:</font><hr />Original erstellt von Who Cares:
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:

O16 - DPF: {11111111-1111-1111-1111-111111111111} - ... kommt mir äusserst suspekt vor, da wird aus unbekannter quelle eine exe geladen - fixen!
</font>[/QUOTE]dexDE639.exe: das ist laut AVPE, YAW und KAV
ein Dialer -&gt; nächste Telefonrechnung prüfen & ggfs. anfechten.
Hast du das Ding noch zur Beweissicherung (bzw den entsprechenden Eintrag im Backup von Hijackthis) ? </font>[/QUOTE]Zur Not hat er ja noch den Eintrag hier im Forum, dürfte genauso beweiskräftig sein (beides kann man sehr sehr leicht fälschen, aber die Uhrzeit im Forum ist sogar fälschungssicherer).

</font><blockquote>Zitat:</font><hr />kommt mir äusserst suspekt vor, da wird aus unbekannter quelle eine exe geladen - fixen!</font>[/QUOTE]da habt Ihr mir beim Denken zuschauen könne

Nu hab ich das alles nochmal durchgekaut. Den Eintrag:O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\1111a.exe
sollte man erst fixen wenn der Prozess im Taskmanager beendet worden ist(Beschreibung von O4 hier im Forum) Auch das hab ich gemacht. Die anderen 2 einträge gefixt und in [system.ini][boot]shell den eintrag: "explorer.exe C:\WINDOWS\System32\1111c.exe" so editiert das alles hinter explorer.exe weg ist.

Und im Moment taucht bei mir im Taskmanager der Prozess: 1111b auf.

Ach so, und wegen dem Dialer mach ich mir keine Sorgen mit DSL. wenigstens mal was positives....

Edit: Habe gerade "C:\windows" eine Textdatei gefunden:"prntc"

Inhalt:
Objmocgo.exe
Dlkjomjg.dll
Dlkjomjg.dll
Dlkjomjg.dll
1386dsj4r0pmb9qj69j0nbj0nu0
Objmocgo.exe
prntsvr.dll
C:\WINDOWS\System32\1111a.exe
M2KD98

[load32]
load32
edit c:\windows\system.ini


Weiß langsam echt nicht mehr weiter! Ich lösche und mache und tue, aber das Ding bleibt hartnäckig.

[ 05. April 2004, 17:30: Beitrag editiert von: Glueck ]

</font><blockquote>Zitat:</font><hr />
Bin normalerweise durch Norton Anti Virus geschützt...
</font>[/QUOTE]*LOL*. Geschützt ist man nur durch sein anständiges Verhalten und Maßnamen, die die Risiken zu einem Minimum zusammenführen, so wie die nicht notwendigen Dienste abzuschalten...
</font><blockquote>Zitat:</font><hr />
Norton Antivirus Corporate edition löscht mir beispielsweise immer nach einem Neustart einen Wurm Namens: W32.Dumaru.Gen@mm
</font>[/QUOTE]..alles Anderes zu posten hatte deinerseits einfach keinen Sinn: "Format c:\" ist das einzige Mittel. Lese mal The Ten Immutable Laws of Security (Link in meiner Signatur): "If a bad guy...".