Hallo zusammen,

hatte das zweifelhafte Vergnügen, bei Freunden ein total verseuchtes, älteres System (bis dato ohne Firewall) zu untersuchen.

Betriebssystem: Win98.

Symptome:
-System wirkt insgesamt langsam. Die Dame des Hauses beklagt Probleme mit best. Internetseiten (Banking, ebay...)
-Installiere ein erstes Tool (AdAware). AntiVir meldet dabei plötzlich TR/Hijack.Cop.5. Dieser wird gelöscht (eine TMP-Datei).
-AntiVir findet bei der normalen Virensuche nichts.
-AdAware lässt sich nicht installieren. System stürzt öfters ab (schwere Ausnahmefehler)
-ZoneAlarm installiert.
-SpyBot installiert. Div. Malware, Adware, Spyware gelöscht.
-System wird nicht stabiler. Versucht unvermittelt, sich mit dem Internet zu verbinden.
-AntiVir uninstall & IE6 Neuinstall. Aber: Norton lässt sich nicht installieren, hängt sich bei der Installation auf.
- Weitere Abstürze, weitere unerklärliche Verbindungsversuche mit dem Netz.

Leider habe ich eben erst von Hijack.This erfahren. Werde gern morgen ein Log nachliefern.

Gibt es vielleicht schon jetzt sachdienliche Hinweise? Habe im Netz NICHTS zu diesem Trojaner gefunden?!! Ist davon auszugehen, dass der mit AntiVir gelöscht ist? Oder kann er weiter unentdeckt im Hintergrund sitzen und nur eine Kopie gelöscht worden sein?

Welche weiteren Maßnahmen sollte ich ergreifen? Welche Tools nutzen?
Oder sollte ich gleich format c: bzw. die Mülltonne empfehlen?

Ich danke allen Experten herzlich im Voraus!
Herzlichen Gruß, RWN

Hallo,

wo wird dieser Virus gefunden?
Poste ein HiJackThis Logfile, editiere es bitte wie beschrieben.

Gruß

Schrulli

Zitat:

Zitat von Schrulli

Hallo,

wo wird dieser Virus gefunden?
Poste ein HiJackThis Logfile, editiere es bitte wie beschrieben.

Gruß

Schrulli

Danke für die schnelle Antwort. Logfile liefere ich nach.

Aus dem Gedächtnis: der Virusalarm kam anscheinend durch das AntiVir-Überwachungstool (kenn das Teil weniger, hatte sonst Norton), als ich einige Tools runtergeladen hab (AdAware bei lavasoftusa.com) oder kurz danach, auf jeden Fall meine ich, dass ich online war. Der normale AntiVir Durchlauf hat wie gesagt 0 Resultate erbracht.

Der Virus hatte einen kryptischen Namen (im Stile 0dabc.tmp). Das Verzeichnis müsste C:/Temp gewesen sein. In diesem befand sich auch erstaunlich viel Mist, ebenso in D:/Temp, was mich sehr überrascht hat. An die 200 .tmp & .log-Dateien (manche mit 0 Byte) und einige vom selben Tag.

Jedenfalls ein ganz merkwürdiges System. Hab schon dem ein oder anderen Kollegen helfen können, aber hier war ich bis jetzt mit meinem Latinum am Ende.

Hallo zusammen,

ich habe seit gestern exakt das gleiche Problem mit diesem Trojaner auf einem XP-Professional System mit gerade zurück gesichertem Image wegen Festplattendefekt.
Es scheint ein völlig neuer Trojaner zu sein, denn ich habe auch noch nichts darüber im Internet bzw. hier gefunden.
Gefunden hat ihn Antivir in der neuesten Version beim Versuch der Installation eines Datenbank-Programms (Vereinsverwaltung) von CD (Vorgang wird dann abgebrochen).
Die Datei lag im normalen Temp-Verzeichnis und lies sich problemlos löschen, kam aber bei jedem weiteren Installationsversuch wieder.
Eine sofortige Suche mit Adaware und AntiVir ohne Befund. Beide Programme waren bereits installiert.
Das Diskettenlaufwerk liest seit dem nicht mehr.
ZoneAlarm ist aktiv, meldet aber nichts.
Da ich vorher mehrere Updates (Firefox, ZoneAlarm, Antivir, Adaware, Windows) aus dem Netz gezogen habe, könnte er dabei gewesen sein.
Mit dem Taskmanager konnte ich bisher keinen Prozeß identifizieren, werde aber mit den Infos aus diesem Forum noch mal suchen.
Antivir richtet jedenfalls nichts aus bzw. beseitigt ihn nicht final.
Ich poste später noch das logfile von Hijack.this

Gruß
Peter Michel

Hallo,

hier ist das versprochene Logfile.

Ich hoffe, irgendjemand kann heute noch dazu was sagen. Wäre sehr nett!


Logfile of HijackThis v1.99.1
Scan saved at 21:00:52, on 03.08.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\VCONTROL.EXE
C:\WINDOWS\SYSTEM\EUSEXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\TELEDAT\IWATCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hebammen.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ASUSNBHK] C:\WINDOWS\VCONTROL.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SBMX] C:\WINDOWS\SYSTEM\sbmx.exe
O4 - HKLM\..\Run: [ICH Synth] eusexe.exe
O4 - HKLM\..\Run: [COMSMDEXE] comsmd.exe -on
O4 - HKLM\..\Run: [FinePrint Dispatcher] C:\WINDOWS\SYSTEM\fpdisp3a.exe
O4 - HKLM\..\Run: [DU Meter] C:\PROGRAM FILES\DU METER\DUMETER.EXE
O4 - HKLM\..\Run: [AudioHQ] C:\PROGRAM FILES\CREATIVE\SBLIVE\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .asp: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} -
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253

Hi,
Ich habe das Problem auch,
allerdings habe ich es beim Deinstallieren von einem AMD Prog gehabt.
AMD Power-Setup und Powermonitor
Mein System ist:
Winschrott XP SP2
AMD64//3800
AsRock 939/Dual-SATA
1 Gig ram
IE hab ich benutze aber FireFox 1.5.0
Installierte Progs:
AntiVir,BF2,EA Downloader,ATi tool
System wird sehr langsam bei Spielen und im I-Net surfen holt es
auch keine Wurst mehr vom Teller.


hier noch der Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 23:29:34, on 03.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATITool\ATITool.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\HiJack\HijackThis.exe

O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AMD_Display] C:\Programme\AMD\AMD Power Monitor\AMD_PwrMon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RMClock] "C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Alt\21706\............................\2170611\RMClock.exe"
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent
O4 - HKCU\..\Run: [SF] C:\Programme\SpeedFan\speedfan.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\HijackThis.exe /startupscan
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E69F86F-CAB7-4670-9833-9F9F35092D8B}: NameServer = ..........................
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

Hallo zusammen,

Gott sei Dank, ein Fehlalarm von AntiVir.

http://forum.antivir-pe.de/thread.php?postid=91151#post91151

Hab mir sowas schon gedacht, da er bei mir am nächsten Tag und nach neuem Update von Antivir nicht mehr auftrat.

Gruß
Peter Michel

Zitat:

Zitat von PeterMichel

Hallo zusammen,

Gott sei Dank, ein Fehlalarm von AntiVir.

http://forum.antivir-pe.de/thread.php?postid=91151#post91151

Hab mir sowas schon gedacht, da er bei mir am nächsten Tag und nach neuem Update von Antivir nicht mehr auftrat.

Gruß
Peter Michel

Danke für den Hinweis!

Ich hatte auch schon an den Zusammenhang AdAware/AntiVir gedacht, da wir ja beide gerade mit den Progs zu tun hatten!

Was für ein blöder Zufall: Ich checke das System, installiere AdAware zum Helfen, mache den Leuten nach der Fehlermeldung wenig Hoffnungen - und dann ist ausgerechnet in dem Moment ein Zusammentreffen von AntiVir und AdAware schuld!

Hallo,

@Mogens: Bitte erstelle einen neuen Thread.
@RWN: Es ist durchaus nicht unüblich, dass sich zwei AV Prorgamme beharken. Der Sinn und Zweck erschlißt sich mir da auch nicht so ganz...

Gruß

Schrulli

Mich hatts au erwischt!!!!
Jetz grad, ich habe antivir 7 und zonealarm druff und ad-aware SE!!
Alle programme sind auf neusten stand!!!
Und habe erst seid 3 tagen das win neu gemacht und hatte erst alle programme mit aktuellsten stand druff, und dan bin ich erst ins internet!!!
Ich nehme die hacker dieser welt sehr ernst
Und ich hatte nix laufen, nur aufeinmal kamm die meldung und dan nach 1 min noch ne mailware!

Guten Abend,

Zitat:

Zitat von Wahnsinn

Mich hatts au erwischt!!!!
Jetz grad, ich habe antivir 7 und zonealarm druff und ad-aware SE!!
Alle programme sind auf neusten stand!!!
Und habe erst seid 3 tagen das win neu gemacht und hatte erst alle programme mit aktuellsten stand druff, und dan bin ich erst ins internet!!!
Ich nehme die hacker dieser welt sehr ernst
Und ich hatte nix laufen, nur aufeinmal kamm die meldung und dan nach 1 min noch ne mailware!

Erstelle bitte einen neuen Thread und erstelle und Poste ein Hijacktis Log.
Alles dazu gibzs hier .
Aus Deiner Beschreibung werde ich net ganz schlau......

Aber dies im anderen Thread!


Gruß Mellosun

Zitat:

Zitat von Schrulli

@RWN: Es ist durchaus nicht unüblich, dass sich zwei AV Prorgamme beharken. Der Sinn und Zweck erschlißt sich mir da auch nicht so ganz...

Gruß

Schrulli

Naja, nun sind AntiVir und AdAware ja zwei relativ unterschiedliche Progs. AdAware ersetzt doch keinesfalls ein Anti-Viren-Programm, schon wegen der residenten Überwachungsfunktion. Andersherum findet man mit Anti-AdWare und SpyWare-Progs immer noch jede Menge Zeugs, was die Anti-Viren-Programme nicht finden. Als kleines Extra bekommt man diese RecentFile Listen gelöscht, was ich immer relativ angenehm finde.

Oder würdest du Anti-Adware/Spyware Progs wie AdAware/Spybot als nutzlos einstufen? Das könnte ich nicht nachvollziehen.