Ich habe seit kurzem eine Problem ohne feststellbaren Grund, nagut ich war mal vor kurzem für paar stunden ohne Firewall unterwegs aber ich denke mal nicht das es Ausschlaggebend war ^^ naja hier meine Probleme
Wenn ich meinen Pc starte scheint alles normal zu sein ohne besondere Ereignisse aber nach ner zeit wirds wirklich komisch, programme reagieren erst sehr spät ich kann links in trillian usw. nich klicken
Ich kann meine hauptfestplatte nicht öffnen, da steht irgendwas mit svajsvjasvj.exe nicht gefunden oder so Naja.
Wenn ich Taskmanager öffne seh ich das 100% der CPU ausgelastet sind ..
weil oxocmxteb.exe den ganzen Speicher benutzt, als ich vorhin geguckt habe hieß die exe fhgfhgh.exe oder so
Naja einfach beenden kann ich das programm nicht es öffnet sich einfach wieder
Ich hab schon einen AVG scan gemacht hab aber nach 70000 dateien abbrechen müssen weils einfach nicht weiterging wegen der Auslastung, würde es was bringen im abgesicherten Modus zu scanen?Ein Ad-aware scan hat auch nix gebracht hat nix gefunden...
Ich hatte schonmal so einen ähnlichen wurm oder was immer das auch ist den wurde ich ganz elcih mit AVG + Ad-aware los aber der scheint irgendwie komplizierter zu sein
und ttAntiVir findet das ding! Aber irgendwie kann ich es nicht löschen mit diesem typischen AntiVir popup.. ich werde mal nen scan über die nacht starten.. es sagt es ist das Trojanische Pferd "TR/Crypt.FKM.Gen"Komischerweiise kann ich meine festplatte nicht öffnen mit ner fehlermeldung das "Datei" fehlt oder so..

###########################################

Logfile of HijackThis v1.99.1
Scan saved at 8:46:17 PM, on 9/2/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\DiSs™\Desktop\LWT\LWT.exe
C:\WINDOWS\System32\oxocmxteb.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Warcraft III\W3GMaster.exe
C:\WINDOWS\Integrator.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\DiSs™\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/neW2moSjusngBFTYQfr1YMUrCnoR5NqTeqXtvfpIlQrSaw0xg4azhw$$/http://www.prosieben.de/iws/xtraz/planet/planet.uin
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Lescos Warcraft Toolkit] "C:\Dokumente und Einstellungen\DiSs™\Desktop\LWT\LWT.exe" -minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\oxocmxteb.exe
O4 - Startup: Hare.lnk = C:\Programme\Dachshund Software\Hare\Hare.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: W3GMaster.lnk = C:\Programme\Warcraft III\W3GMaster.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D1C94F3-81AC-4360-80F5-65EBBBF856D4}: NameServer = 217.237.149.142 217.237.150.205
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



würde mich über hilfe sehr freuen mfg Sentenze.

Checke die Datei

C:\WINDOWS\System32\oxocmxteb.exe

bei VirusTotal - Free Online Virus and Malware Scan und poste das Ergebnis mit allen Informationen (Hash etc.) hier, dann sehen wir weiter.

Bata

Ok, habs gefunden war vorher in Quarantäne bei Antivir, aber trotzdem war das problem nicht beseitigt, habs erstmal auf desktop gezogen fürn Test und das sind die Ergebnisse:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.1.0 2007.09.03 -
AntiVir 7.4.1.66 2007.09.03 TR/Crypt.FKM.Gen
Authentium 4.93.8 2007.09.02 W32/Ircbot.1!Generic
Avast 4.7.1029.0 2007.09.03 -
AVG 7.5.0.485 2007.09.03 IRC/BackDoor.SdBot3.RQX
BitDefender 7.2 2007.09.03 GenPack:Generic.Sdbot.838D661D
CAT-QuickHeal 9.00 2007.09.01 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.03 Exploit.DCOM.Gen
DrWeb 4.33 2007.09.03 BACKDOOR.IRC.Trojan
eSafe 7.0.15.0 2007.09.02 suspicious Trojan/Worm
eTrust-Vet 31.1.5105 2007.09.03 Win32/Rbot!generic
Ewido 4.0 2007.09.03 Heuristic.Win32.Exploit
FileAdvisor 1 2007.09.03 -
Fortinet 3.11.0.0 2007.09.03 -
F-Prot 4.3.2.48 2007.09.02 W32/Ircbot.1!Generic
F-Secure 6.70.13030.0 2007.09.03 Backdoor:W32/IRCBot.BOK
Ikarus T3.1.1.12 2007.09.03 Backdoor.Win32.SdBot.UF
Kaspersky 4.0.2.24 2007.09.03 -
McAfee 5110 2007.08.31 -
Microsoft 1.2803 2007.09.03 Backdoor:Win32/Rbot.gen!A
NOD32v2 2499 2007.09.03 probably a variant of Win32/Rbot
Norman 5.80.02 2007.09.02 W32/Malware
Panda 9.0.0.4 2007.09.02 Suspicious file
Prevx1 V2 2007.09.03 -
Rising 19.39.02.00 2007.09.03 Backdoor.SdBot.wkz
Sophos 4.21.0 2007.09.03 Mal/IRCBot-B
Sunbelt 2.2.907.0 2007.08.31 -
Symantec 10 2007.09.03 -
TheHacker 6.1.9.175 2007.09.02 -
VBA32 3.12.2.3 2007.09.01 suspected of Malware.Agent.23
VirusBuster 4.3.26:9 2007.09.02 Worm.RBot.Gen.21
Webwasher-Gateway 6.0.1 2007.09.03 Trojan.Crypt.FKM.Gen


weitere Informationen
File size: 80384 bytes
MD5: ca879944fd61e3f1b109a68eae9b8625
SHA1: b71b93e56d48a572d78626292e6f7060f2822ca5
packers: UPX
packers: UPX
packers: UPX
norman sandbox: [ General information ]<br /> * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.<br /> * Anti debug/emulation code present.<br /> * **Locates window \"NULL [class Shell_TrayWnd]\" on desktop.<br /> * File length: 80384 bytes.<br /><br /> [ Changes to filesystem ]<br /> * Creates file C:\woot.wink.<br /> * Creates file C:\WINDOWS\SYSTEM32\xagwxzyrx.exe.<br /> * Deletes file C:\woot.wink.<br /><br /> [ Process/window information ]<br /> * Creates a mutex sh0w-m3-wh4t-y0u-g0t-l1l-m4m4-9.<br /> * Creates a mutex sh0w-m3-wh4t-y0u-g0t-l1l-m4m4-6.1.<br /> * Creates a mutex sh0w-m3-wh4t-y0u-g0t-l1l-m4m4-7.<br /> * Creates a mutex sh0w-m3-wh4t-y0u-g0t-l1l-m4m4-7.1.<br /> * Creates a mutex sh0w-m3-wh4t-y0u-g0t-l1l-m4m4-8.<br /> * Modifies other process memory.<br /> * Creates a remote thread.<br /><br />

Dein Rechner ist von einem Backdoor befallen, der Befehle via IRC empfängt.

Daher lies hier weiter und setzt das beschriebene um.

Sorry für die schlechten News.

Bata