Hallo,

nachdem unglücklicherweise gestern meine 1. von 2 Festplatten abgeraucht ist (monatelang Viren- und Trojanerfrei) musste ich notgedrungen die 2. HDD formatieren und mit Windows beglücken.
Alles lief normal, auch hatte ich Windows SP 2 installiert. Nach der Installation aber blockierte es mir das Internet. Allerdings nicht vollständig, so konnte ich beispielsweise IRC starten und auch verbinden. Nach dem Entfernen von SP 2 lief alles wieder richtig. Die Virenmeldungen fingen daraufhin schnell, und ich war gezwungen wieder neu aufzusetzen.
Diesmal direkt SP1 (hatte ich noch auf CD) installiert. Aber auch hier kamen nach dem herunterladen von AntiVir und dem ersten Update unverzüglich die ersten Meldungen, woraufhin ich mich entschied ein 3. Mal Neuaufzusetzen, dieses Mal strikt mit Absicherung.

Vorbereitung: Service Pack 2, sowie einige aktuelle Sicherheitsupdates und Antivir über 2. Rechner gedownloadet und gebrannt.

Ich ging also wie folgt vor: Habe zuerst formatiert und eine Systempartition partitioniert auf die ich WinXP installiert habe. Nach der Installation kam unmittelbar das ServicePack 2 auf den Rechner, mit sämtlichen vorbereiteten Updates (Netzwerkkabel mit Internetverbindung über Router erst nach SP2 wieder eingesteckt!). Nach dem Neustart meldete die neue Firewall direkt den verdächtigen Prozess WinIogon (großes i, wie Ida), was auf den ersten Blick wie winlogon (mit l, wie Ludwig) aussieht welcher ja ein Windows Prozess ist. habe trotzdem blockiert. Aber leider blockierte das SP 2 auch jetzt wieder mein Internet, sodass mir weitere Microsoft Updates verwehrt bleiben. Nach Installation von AntiVir gingen die Virenmeldungen direkt los.

Bin jetzt wirklich ratlos, wie die Quälgeister so schnell auf meinen Rechner kommen, sodass ich absolut nichts dagegen tun kann:

habe HiJack This laufen lassen:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 15:38:45, on 22.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\FrameWork.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\qomlmjk.dll
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\system32\winIogon.exe
O4 - HKLM\..\Run: [FrameWork 2.5] FrameWork.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [FrameWork 2.5] FrameWork.exe
O20 - Winlogon Notify: qomlmjk - C:\WINDOWS\SYSTEM32\qomlmjk.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

Mir fällt dabei selber schon auf, dass O2, wie drei der O4 auf die Prozesse WinIogon wie auch FrameWork (FrameWork wurde auch von der WindowsFirewall geblockt) hindeuten.

Die genannte .dlls
\System32\qomlmjk.dll
Taucht auch gerne in AntiVir Meldungen auf, hierbei in Verbindung mit dem Wurm TR/Crypt.XPACK oder so. :-)

Bin ratlos, was tun?

Hallo,

wenn du tatsächlich vor der Neuinstallation deine Systempartionionneu partitioniert und formatiert hast, dann ist diese garantiert virenfrei.
Kann es sein, dass du in deinen Installationsquellen bereits eine Infektion hast?

Kann ich mir nicht vorstellen.
Habe beim letzten Aufsetzen wie gesagt nur Windows CD, die gebrannte CD mit den heruntergeladenen Sicherheitsupdates (incl. SP2 und AntiVir), sowie die Mainboard Treiber CD verwendet.
Nach der SP2 Installation hatte ich das Netzwerkkabel ja auch wieder eingesteckt, und danach Antivir installiert, was direkt Meldungen ergab.

Allerdings kam ja auch direkt nach der Service Pack 2 Installation der Prozess WinIogon, der durch Windows Firewall geblockt wurde auf. Nur kann ich mir nicht vorstellen, wie ich dagegen vorgehen soll, bzw. wie das überhaupt passiert.

Hier ist zweierlei möglich

1. Teile Deiner Daten sind beim Brennen befallen worden
2. Teile Deiner anderen Daten sind immer noch befallen

Wenn Du Zugang zu einem anderen Rechner hast, würde ich Dir das c´t offline Update empfehlen, dort die Updates downloaden, brennen und damit den Rechner neu installieren.

Ggf. schafft ein Scannen der bisher verwandten CDs Klarheit.

Bata

Mit welchem Programm sollte ich die verwendeten CD's am Besten scannen?
Reicht AntiVir für einen guten test aus?

Das c´t Offline Update werde ich einmal herunterladen, aber zuerst mal versuchen bezüglich der CD's Klarheit zu verschaffen.

Zitat:

Reicht AntiVir für einen guten test aus

ja gehe aber vorher in die konfiguration/expertenmodus und stelle die heuristik der suche hoch ein.

Gruß
Gerd

Hier eine kurze Anleitung dazu.

Bata

Habe jetzt zuerst nur die Heuristik wie von Gerd_R beschrieben hoch gesetzt.
Und tada, er wurde fündig.
Windows CD und selbst gebrannte CD waren zum Glück sauber.

Aber die Mainboard Treiber CD... naja hier mal das AntivirLog:

Zitat:

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpabaln.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FrameWork.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system32\FrameWork.exe'
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'FrameWork.exe' wird beendet
C:\WINDOWS\system32\FrameWork.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '472d58fc.qua' verschoben!

Es wurden '20' Prozesse mit '19' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '5' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\' <CD v1_2S>
D:\Utility\Recovery Genius\Eng\RecoveryGenius\SIMCOM.DLL
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.NY
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
D:\Utility\Recovery Genius\Eng\RecoveryGenius\YZDLL32.DLL
[FUND] Ist das Trojanische Pferd TR/LaSta.A.18
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!


Ende des Suchlaufs: Mittwoch, 22. August 2007 17:55
Benötigte Zeit: 16:46 min

Der Suchlauf wurde vollständig durchgeführt.

723 Verzeichnisse wurden überprüft
4356 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
2 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
4350 Dateien ohne Befall
416 Archive wurden durchsucht
2 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden

Den oberen Teil des Berichtes habe ich mal heraus gelassen, da stehen ja nur unwichtige Informationen über mich, denke ich.

Die gefundenen Trojaner passen aber nicht zu den Meldungen, die AntiVir sonst aussendet, dabei handelt es sich vorrangig um TR/Crypt.XPACK.gen
Hatte bei vorigen Installaitonen aber auch schon viele andere, wie z.B. Vundo.Gen oder K.Klone.20 oder so Ähnlich.

Mein Plan wäre jetzt System Neuaufsetzen mit der Offline Patch (ist bereits vorbereitet) und dann die Treiber bereits im Vorfeld manuell neu aus dem Internet laden, und die infizierte CD durchbrechen, verbrennen und Daniel K. schicken. :-)
Oder gibt es bessere Vorschläge?

Hat funktioniert, bisher kein Befund. :-)
Vielen Dank für den tollen Tipp!

Trotzdem merkwürdig, wie die Trojaner auf eine CD kommen...