Hallo,
heute hab ich eine exe Datei von nem Kumpel bekommen und auch geöffnet, da ich dachte der schickt nichts schlimmes.
Nach dem öffnen traten seltsame Sachen auf, auf dem Desktop die Symbole waren verschoben, im Firefox war eine andere Startseite..
Nach dem Neustarten war scheinbar alles wieder normal. Aber nach dem durchsuchen der Festplatte stellte ich fest, dass seltsame Dateien genau zu der Zeit erstellt wurden. Zb.: taskmgr.exe-2056c55.pf, svchost.exe-38a14a50.pf und noch weitere solcher merkwürdigen Dateien. Noch zwei weiter Datei sind: tmp.edb und die mich am meisten stutzig macht: eine versteckte Datei direkt auf c, SysPr.prx
Ich habe gleich mal HJT drüberlaufen lassen, unten ist der logfile.
Nun wollte ich wissen ob ich die Person von nunan als Erzfeind sehen muss oder ob es nur ein "kleiner" Scherz war.

Logfile of HijackThis v1.99.1
Scan saved at 12:08:23, on 03.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\TOSHIBA\Ezbutton\EzButton.EXE
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\FIREFOX\FIREFOX.EXE
C:\Dokumente und Einstellungen\M***\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\TOSHIBA\Ezbutton\EzButton.EXE
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [startkey] C:\svchost.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [startkey] C:\svchost.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117549408437
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

@harfner

Zitat:

O4 - HKCU\..\Run: [startkey] C:\svchost.exe

Bitte die Datei C:\svchost.exe bei KAV-Online überprüfen, Ergebnis hier Posten.

AU Backe:
Zu überprüfende Datei: svchost.exe
svchost.exe Infiziert: Backdoor.Win32.Bifrose.aa

Statistiken:
Bekannte Viren: 179867 Updated: 03-03-2006
Größe der Datei (Kb): 71 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

P.S. Ich habe den betroffenen PC sofort vom Internet getrennt, um schlimmers zu verhindern.

Hallo
hab grad mal Ad-Aware drüberlaufen lassen, da wurde ebenfalls der Trojaner win32.trojaner.downloader gefunden.

Hallo Harfner,
deine Sammlung an Feinden ist um den Faktor eins vergrößert worden........
Du weißt was nun zu tun ist ?
Hier auf der Startseite ist unter "Anleitungen,FAQ,Links" eine Anleitung zum Neuaufsetzen.Die kann man nur wärmstens empfehlen und hiermit sei sie auch dir ans Herz gelegt.
Irrlicht

Das hab ich mir gedacht


Dann werd ich wohl in den sauren Apfel beißen und neuaufsetzen

Zitat:

Zitat von harfner

Hallo,
heute hab ich eine exe Datei von nem Kumpel bekommen und auch geöffnet, da ich dachte der schickt nichts schlimmes.

Harfner, ich wuerde deinen Kumpel auf jedenfall informieren, vielleicht wurde er auch infiziert, und ein netter email wurm hat sich sein Adressbuch zunutze gemacht.