Hallo,

ich habe das Forum schon ein bißchen durchforstet. Ich habe oder hatte den startdrv.exe auf meinem PC.
Laut Anleitung habe ich über Virustotal nach folgenden Dateien gesucht:

C:\Programme\mrotazwn\yrenozcx.dll
C:\WINDOWS\avp.exe
C:\WINDOWS\Temp\startdrv.exe
C:\WINDOWS\system32\nnnljgg.dll
C:\WINDOWS\SYSTEM32\igfxsrvc.dll
C:\WINDOWS\SYSTEM32\winmfu32.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dkxezatq.dll
C:\WINDOWS\system32\userinit.exe

folgende wurde auch gefunden:
C:\WINDOWS\Temp\startdrv.exe

die Meldung dazu:

MD5: 424147fd6f568e3e2026dbd0a94b2ce6
Date: 2007.11.27 15:34:23 (CET) [<1D]
Results: 16/32
Permalink: resultado.html?e2b3babf7f3ce7d0804a823899eaca17

Was hat das zu bedeuten?
Ich habe die startdrv.exe aus meinem Temp gelöscht und den PC neu gestartet.
Nach dem Neustart die Fehlermeldung:
startdrv.exe hat einen Fehler verursacht. Bitte starten sie das Programm neu. Es wird ein Fehlerprotokoll erstellt.

Ich habe mit OK bestätigt. Die startdrv.exe ist aber wieder in meinem Temp Verzeichnis. Wie kriege ich die weg? Wo steht es, daß sie sich immer in mein Temp schreibt?

Anbei noch das log vom Hijack Programm:

Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\F-Secure\Common\FSAA.EXE
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programme\F-Secure\Common\FSGK32.EXE
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINNT\System32\internat.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\mmbin.exe
C:\WINNT\System32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\mmgr.exe
C:\WINNT\mmregalka.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
D:\Eigene Dateien\Software\Viruserkennungsdatei\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.salzburg.com/
F3 - REG:win.ini: run=C:\WINNT\mmall.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Microsoft all2] C:\WINNT\mmall2.exe
O4 - HKLM\..\Run: [Microsoft all] C:\WINNT\mmall.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft all2] C:\WINNT\mmall2.exe
O4 - HKCU\..\Run: [Microsoft all] C:\WINNT\mmall.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Programme\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE

--
End of file - 4133 bytes

Dort ist sie nicht aufzufinden. Habe ich da noch etwas anderes "gefährliches drinnen.

Ich hoffe ihr könnt mir weiterhelfen!!
Danke einstweilen.
Grüße

Hallo famdamo,

bei der "startdrv.exe" handelt es sich um diesen hier Troj/DropRk-A - Trojaner - Sophos Bedrohungsanalyse.

Das ist ein Rootkit-Trojaner. Auch wenn der "nur" in einer Temp- Datei gefunden wurde (zumal er laut Deiner Aussage dort nach Löschen und Neustart wieder vorhanden ist) würde ich den PC neuaufsetzen.

Und bei diesem Patch- Stand

Zitat:

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

erübrigen sich eigentlich sowieso alle weiteren Diskussionen. Warum ist das SP4 nicht installiert ???


Gruß

Jaipur

Hallo Jaipur,

danke für die schnelle Antwort.
Gestern habe ich nach meinem Eintrag noch schnell die Registry durchsuchen lassen, ihn da gefunden und gelöscht.
Weiß nicht ob das viel geändert hat.
SP4 versuche ich schon dauernd zu installieren. Er bricht immer während der Installation ab. Während des Downloads der Patchdatei startet er einfach den PC neu und das wars dann.

Also wenns denn wirklich keine bessere Möglichkeit gibt, muß ich ja wohl neu aufsetzen.
Zum Schluß eine "dumme" Frage noch. Hätte ich den Trojaner verhindert, wenn ich ein neueres BS auf meinen PC gehabt hätte?
Wenn ich neu installiere würde ich nämlich wieder Win2000 nehmen. Genügt an sich für meine Zwecke.

Grüße
famdamo

Hallo famdamo,

Zitat:

Hätte ich den Trojaner verhindert, wenn ich ein neueres BS auf meinen PC gehabt hätte?

Kann man nicht einfach mit "Ja" oder "Nein" beantworten. Wichtig ist, dass Du dein System immer auf dem neusten Patch- Stand hältst.

Ob Du eine Infektion mit einem Trojaner vermeiden kannst hängt natürlich auch entscheidend von Deinen Surf- und Downloadgewohnheiten sowie von der Benutzung eines eingeschränkten Benutzerkontos ab.

Zitat:

Wenn ich neu installiere würde ich nämlich wieder Win2000 nehmen. Genügt an sich für meine Zwecke.

Kannst Du bedenkenlos machen. Aber eben bitte immer aktuell gepatcht. Der Extended Support (= sicherheitskritische Updates) für W2k läuft meines Wissens nach noch bis Juli 2010.

Beste Grüße

Jaipur