Hi an alle,

ich versuche das Problem so gut es mir möglich ist zu schildern, mit den wenigen Informationen die ich habe. Es geht also um folgendes:

Eine Freundin bat mich nach ihrem Rechner zu sehen, weil sie ein Virus vermutete. Sie verwendet Windows XP Home Edition und wie ich feststellen musste verfügt sie weder über eine Firewall, noch über einen Virenscanner.

So weit, so schlecht. Ich habe nun die letzte Stunde im Internet rumgesucht, habe aber hierzu rein gar nichts gefunden.

Der Virus/Wurm äussert sich nun wie folgt beschrieben:

Beim Systemstart wird eine exe gestartet mit scheinbar wirrem Namen (z.B. lbzbrwx.exe) und diese verursacht auch gleich folgende Fehlermeldung:

"Legen Sie einen Datenträger in Laufwerk \Device\harddisk#\Dr# ein" wobei # für wechselnde Zahlen steht, die sich verändern sobald man versucht die Meldung wegzudrücken (als Optionen stehen einem "Abbrechen", "Weiter" und "Wiederholen" zur Verfügung).

Über den Arbeitsplatz lassen sich ebenfalls keine Laufwerke (z.B. "C:") öffnen. Hier erscheint die Meldung: z.B. "lbzbrwx.exe wurde nicht gefunden" und die Möglichkeit ein alternatives Programm zum öffnen des Laufwerks auszuwählen.

Zunächst habe ich auf gut Glück versucht Antivir zu installieren und zu schauen was passiert. Antivir hat sich installieren lassen, hat auch gleich den Virus "lbzbrwx.exe" gefunden und als ich jenen von Antivir löschen lassen wollte, ist dieses mit einer Fehlermeldung fehlgeschlagen.

Fortan hat sich Antivir weder starten lassen, noch neu installieren lassen, da laut Antivir-Fehlermeldung die CRC-Summe der Antivir-Setup-File möglicherweise durch einen Virus verändert wurde.

Als nächstes ging ich auf die Suche nach dieser File (lbzbrwx.exe) und fand sie auch als versteckte Datei im Windows/system32-Ordner. Löschen konnte ich diese natürlich nicht, da der Prozess aktiv war. Den Prozess beenden konnte ich auch nicht im Taskmanager, da er sich sofort wieder startete. Auch das löschen der Einträge bezüglich "lbzbrwx.exe" in der Registry brachte nichts, da sie umgehend neu erzeugt wurden.

Ich startete im abgesicherten Modus und hoffte so die Datei löschen zu können, was tatsächlich funktioniert hatte. Jedoch war das selbe Problem wieder vorhanden als ich nach einem Neustart über den Arbeitsplatz auf das Laufwerk C zugreifen wollte (man konnte für Sekundenbruchteile sehen, das genau indiesem Moment was installiert wurde).

Diesmal hieß die Datei anders, aber mit ähnlichen wirren Buchstabenkombinationen (z.B. reseifrbh.exe). Ich habe das Spielchen mit dem abgesicherten Modus noch ein paarmal gemacht, jedoch immer mit dem selben Ergebnis. Jedesmal wurde eine Datei erzeugt die wirre Buchstabenkombinationen als Namen hatte und o.g. Probleme verursachte.

Das eine Neuinstallation sinnvoll ist denke ich mir, aber sie hat auf ihrem Rechner über 3 GB an Bildern von ihren Kindern über die letzten Jahre angesammelt und möchte diese auf keinen Fall verlieren, da sie ja das Aufwachsen dokumentieren und sonst auch nirgends mehr vorhanden sind. Auch Dinge geschäftlicher Natur sind am Rechner gespeichert.

Die Frage die ich mir stelle ist nun, ob diese Files evtl. infiziert sind, so das es nicht ratsam wäre diese extern zu sichern und auf das neue System zurückzukopieren. Natürlich würde es mich auch interessieren mit was genau ich es hier zu tun habe.

Wenn also jemand weiß welcher Wurm/Virus hier unterwegs ist, würde ich mich über hilfreiche Antworten freuen.

Vielen Dank fürs Lesen :-)

Zwei - hoffentlich hilfreiche - Rückfragen:

1. Existiert das Logfile von AntiVir noch? Üblicherweise findet es sich im Ordner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\LOGFILES; der Unterordner "Anwendungsdaten" ist standardmäßig versteckt. Wenn es noch da ist, poste es.

2. Kannst du HijackThis ausführen? Evtl. nach Umbenennen der HijackThis.exe in abc.com? Wenn ja, poste das Logfile.

Außerdem ein Scan mit Blacklight, bitte. Auch hier das Logfile posten.

Danke für die Antwort vorweg.

Ich werde das alles prüfen, dementsprechend handeln und melde mich wieder sobald ich Neues zu berichten habe.

Huhu Ihr,

hier nun die gewünschten Logfiles:


19.03.2008,17:52:31 ---------------------------------------------------------
19.03.2008,17:52:33 Lizenzdatei enthält eine gültige Lizenz. Der Avira AntiVir PersonalEdition Classic Dienst läuft als uneingeschränkte Vollversion!
19.03.2008,17:52:33 AntiVir Guard version: 7.00.00.81, engine version 7.6.0.15, VDF version: 7.0.0.2
19.03.2008,17:52:34 Start Filter Device.
19.03.2008,17:52:34 Der Avira AntiVir PersonalEdition Classic Dienst wurde erfolgreich gestartet!
19.03.2008,17:52:34 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Nur Dateien mit der folgender Dateierweiterung prüfen: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF
.URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP
- Laufzeitgepackte Dateien entpacken
- Aktion: Benutzer fragen
- Makrovirenheuristik: MACRO , WIN32 MITTEL
- Protokollierungsstufe: 1
19.03.2008,17:53:09 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.U.Gen!
C:\WINDOWS\System32\isnkjlybn.exe
[INFO] Die Datei wird gelöscht!
19.03.2008,17:54:47 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.U.Gen!
C:\EMGNJOOOK.EXE
[INFO] Die Datei wird gelöscht!



03/19/08 17:44:50 [Info]: BlackLight Engine 1.0.67 initialized
03/19/08 17:44:50 [Info]: OS: 5.1 build 2600 (Service Pack 1)
03/19/08 17:44:50 [Note]: 7019 4
03/19/08 17:44:50 [Note]: 7005 0
03/19/08 17:44:55 [Note]: 7006 0
03/19/08 17:44:55 [Note]: 7011 856
03/19/08 17:44:55 [Note]: 7026 0
03/19/08 17:44:55 [Note]: 7026 0
03/19/08 17:44:58 [Note]: FSRAW library version 1.7.1024
03/19/08 17:47:16 [Error]: 4028 34
03/19/08 17:47:20 [Error]: 4028 34
03/19/08 17:47:25 [Error]: 4028 34
03/19/08 17:47:28 [Error]: 4028 34
03/19/08 17:47:33 [Error]: 4028 34
03/19/08 17:47:36 [Error]: 4028 34
03/19/08 17:47:39 [Error]: 4028 34
03/19/08 17:47:43 [Error]: 4028 34
03/19/08 17:47:46 [Error]: 4028 34
03/19/08 17:47:49 [Error]: 4028 34
03/19/08 17:47:53 [Error]: 4028 34
03/19/08 17:47:56 [Error]: 4028 34
03/19/08 17:48:02 [Error]: 4028 34
03/19/08 17:48:07 [Error]: 4028 34
03/19/08 17:48:09 [Error]: 4028 34
03/19/08 17:48:11 [Error]: 4028 34
03/19/08 17:48:13 [Error]: 4028 34
03/19/08 17:48:18 [Error]: 4028 34
03/19/08 17:48:20 [Error]: 4028 34
03/19/08 17:48:25 [Error]: 4028 34
03/19/08 17:48:28 [Error]: 4028 34
03/19/08 17:48:32 [Error]: 4028 34
03/19/08 17:48:35 [Error]: 4028 34
03/19/08 17:49:57 [Error]: 4028 34
03/19/08 17:49:57 [Note]: 2000 1012
03/19/08 17:50:15 [Note]: 7007 0


Logfile of HijackThis v1.99.1
Scan saved at 17:43:26, on 19.03.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\isnkjlybn.exe
G:\prüfung.com
C:\Dokumente und Einstellungen\Andrea Ripperger\Desktop\prüfung.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dbsarticles.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R3 - URLSearchHook: (no name) - {1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\isnkjlybn.exe
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1205351576859
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{980123EE-A897-4A60-A6BA-21CCCA804785}: NameServer = 213.191.74.19 62.109.123.197
O18 - Protocol: haufereader - (no CLSID) - (no file)

Hoffe Ihr könnt mir damit etwas weiterhelfen... vielen Dank schonmal :-)

Guten Abend,

Dein Log ist nicht Aktuell...bzw. Hijackthis ist nicht die aktuelle Version!

Erstelle ein neues Log mit dieser Version!

Kannst du im abgesicherten Modus folgende Datei aus dem Stammverzeichnis kopieren?

C:\WINDOWS\System32\isnkjlybn.exe

Wenn ja, lege Sie bitte aufs Desktop, bennene sie um, z.b. in Virus.exe und Lade sie bei Jotti oder Virustotal hoch! (Link in meiner SIG)

Poste das gesamte Ergebnis, auch wenn nichts gefunden wird!