Hallo,

erstmal möchte ich mich dafür entschuldigen das ich in letzter zeit so viele Themen eröffne, aber ich kann nichts dafür das mein Pc spinnt.
Jetzt zum eigentlichen Thema:
ich habe den Verdacht das ich auf meinem Pc den Wurm W32/Brontok-DP habe. Auf diesen Verdacht bin ich gestoßen als ich mit dem integrierten Malware scanner der Comodo Firewall mein System scannen lies. Das erste mal stoppte er bei etwa 9 Minuten Suchzeit (für meinem Pc hat der Scanner normalerweise immer 12 Minuten benötigt). Ich schaute nach wie die Datei hies bei dem der Scanner so abrupt stoppte. Sie hieß Defalut.pif und liegt in C:\WINDOWS. Also ließ ich noch ein 2. mal Scannen diesmal stoppte er nach 6 Minuten wieder bei Default.pif. Genauso beim 3. und 4. aml. Er stoppt immer bei Default.pif. Also googlete ich mal nach _Default.pif da landete ich hier http://www.sophos.de/security/analyses/viruses-and-spyware/w32brontokdp.html . Hab dann mal nach den genannten Dateien: <Stamm>\autorun.inf, <Windows>\SoftWareProtector\smss_out.pr, <Windows>\winxp.inf gesucht. Gefunden wurde nur die autorun.inf allerdings in einem anderen Ordner nämlixh: C:\Dokumente und Einstellungen\mein Benutzername\Downloads\TeamViewerPortable_de. Hab dann mal bei der datei unter Eigenschaften nachgeschaut wann sie erstellt wurde und das irritierte mich dann, da steht nämlich:
Erstellt: Gestern, 2.August 2008, 13:23:47
Geändert am: Freitag, 18.Juli 2008, 11:55:40 (hä?, wusste gar nicht das man dateien ändern kann bevor es sie überhaupt gibt )
Letzter Zugriff: Heute, 3. August 2008, 14:17:46
dann stand unten noch dran: Sicherheit: Die Datei stammt von einem anderen Computer. Der Zugriff wurde aus Sicherheitsgründen eventuell geblockt.
Dann hab ich nach _default.pif gesucht. Sollte ja in C:\Windows liegen (nach dem Scanner der Firewall). da nliegt auch ne datei namens _ default aber nix von .pif. Keine Ahnung was das _default in C:\Windows ist ich tippe mal auf .bat oder so was.
Dan hab ich noch zufällig in C:\Windows eine 2. explorer.exe gefunden (name: explorer(2).exe) daneben lag die explorer.exe diese dateien (_default, explorer.exe, explorer(2).exe) wären alle am Dienstag, 28. februar 2006, 14:00:00 erstellt worden und die 2 explorer.exe wären am Montag, 14 April 2008, 07:52:46 geändert worden. Blos hatte ich diesen Pc 2006 noch gar nicht und zwischen dem 14. April und heute musste ich den schon 2 oder 3 mal wieder neuafsetzen.
Wie wenn das noch nicht alles komisch genung wäre kommen noch mehr mekrwürdige Dinge.
1. Unter C:\Dokumente und Einstellung ist ein Benutzerordner aufgetaucht mit meinem jetzigen benutzernamen aber mit _2 dahinter.
Beispiel: mein Konto: MeinBenutzername
der andere Ordner: MeinBenutzername_2
Achja. Da gabs noch ein Problem mit der Ask Toolbar. Als ich die nämlich deinstallieren wollte hab ich zuerst den Eintrag unter Programmzugriff und-Standards nicht gefunden. Hab dann versucht die .dlls un alees andere so zu löschen. Ging aber nicht bei der AskSBar.dll kam immer zugriff verweigert, auch mit Administrator rechten. im abgesicherten Modus konte ich sie löschen. Danach fand ich aber auch einen Eintrag unter Programmzugriff und-Standards und deinstallierte so die Toolbar.

So das ist oder besser gesagt sind meine Probleme. Ich hoffe ihr könnt mir helfen.

Hi,

es gibt eine _default.pif die standardmäßig zu Windows gehört.
Du kannst deine Version ja mal bei virustotalhochladen und das Ergebnis hier posten. (Dasselbe gilt auch für die explorer).

pif Dateien werden nicht standardmäßig angezeigt. Wenn du das unbedingt möchtest, kann man das einstellen, ist aber an sichnicht notwendig.

Die Erstelldaten sind nicht unbedingt das Datum an dem die Datei auf deinem Rechner erstellt wurde. Wenn du noch ein wenig weitersuchst, wirst du auch noch Dateien finden, die bereits 2001 oder 1999 erstellt wurden.

lg myrtille

ok

hab die _default datei un die explorer(2).exe bei Jotti hochgeladen, weil bei Virustotal wären sie angeblich schonmal hochgeladen worden. Bei allen Dateien wurde nichts gefunden. Jetzt bleiben mir nur noch die Fragen:
1. Warum stopt der scanner immer bei der _default Datei obwohl er noch gar nicht alles gescannt hat?
2. Warum hab ich 2 mal die Explorer.exe in C:\Windows?
3.Warum ist unter C:\Dokumente und Einstellungen ein Ordner der den gleichen Namen meines Benutzerkontos hat und das -> _2, dahinter steht?

ich hoffe mir kann jemand auch diese Fragen beantworten.

EDIT: Achja, mein Port80 ist auch blockiert durch irgend etwas. Hab mal gehört das könnte mit Backdoors zu tun haben.

Könnte ich die Ergebnisse sehen? Insbesondere interessiert mich die MD5

Hängt sich der Scanner auf? Oder ist er dann einfach fertig? Woher weißt du, dass der Scan noch nicht fertig ist? Finden andere Onlinescanner etwas?

Ob und wieso die Ordner in doppelter Ausführung vorhanden sind, kann dir wahrscheinlich keiner sagen.
Hat vielleicht mal jemand ein Backup erstellt und es benutzername_2 genannt?

Eventuell hast du/hat jemand mal eine Kopie des explorers erstellt? Sind die Dateien denn identisch?

Port 80 ist der Standard Port für http. Wäre der tatsächlich geblockt würdest du wahrscheinlich nicht online kommen.

Wer sagt denn, dass du geblockt werden würdest?

hallo,

Zitat:

Könnte ich die Ergebnisse sehen? Insbesondere interessiert mich die MD5

von was willst du die Ergebnisse sehen und von wo was willst du die md5?

Zitat:

Hängt sich der Scanner auf? Oder ist er dann einfach fertig? Woher weißt du, dass der Scan noch nicht fertig ist? Finden andere Onlinescanner etwas?

Der Scanner sagt das er feritg sei. Ich weis das der Scan noch nicht fertig ist weil er immer bei einer bestimmten datei aufhörte werde meinen Pc mal vom F-Secure Onlinescanner scannen lassen.

Zitat:

Ob und wieso die Ordner in doppelter Ausführung vorhanden sind, kann dir wahrscheinlich keiner sagen.
Hat vielleicht mal jemand ein Backup erstellt und es benutzername_2 genannt?

Nein ich hab kein anderes Benutzerkonto erstellt. Und wenn dann würde ich es nicht MeinBenutzername_2 nennen.

Zitat:

Eventuell hast du/hat jemand mal eine Kopie des explorers erstellt? Sind die Dateien denn identisch?

es ist nicht der Ordner, der Windows-Explorer heist, der doppelt vorhanden ist, sondern die Explorer.exe.

Zitat:

Port 80 ist der Standard Port für http. Wäre der tatsächlich geblockt würdest du wahrscheinlich nicht online kommen.

Hab ich im nachhinein auch gemerkt (siehe nächster punkt)

Zitat:

Wer sagt denn, dass du geblockt werden würdest?

Der clipinc4 player, mir ist aber gerade eingefallen das ich den selber geblockt habe

Jetzt hab ich noch eine Kleinigkeit. Weis jetzt aber nicht wie ich das erklären soll. Ich versuchs einfach mal. Wenn ich im Internet bin, dann ist der Firefox manchmal nicht mehr das Fenster im Vordergrund. Also die Titelleiste wird hellblau und ich kannnciht mehr scrollen. Es öffnet sich aber kein Fenster meistens ist das auch nur 1 oder 2 Sekunden lang dann kann ich wieder scrollen manchmal bleibt das aber so und ich muss in das Firefox Fenster klicken, dass ich weiter scrollen kann. Manche Spiele minimieren sich auch von alleine obwohl kein Fenster geöffnet wurde.

Die ergebnisse vom F-Secure Scan poste ich wenn er fertig gescannt hat.

Mit freundlichen Grüßen
Damnek

Hi,
sorry da hab ich wohl zu schnell geantwortet.

Zitat:

Zitat von Damnek

von was willst du die Ergebnisse sehen und von wo was willst du die md5?

Ich hätte gern die Auswertungen von den 3 Dateien gesehen, die du bei virustotal/jotti hochgeladen hast.
Eigentlich interessieren mich hauptsächlich die md5-Hashes.

Zitat:

Der Scanner sagt das er feritg sei. Ich weis das der Scan noch nicht fertig ist weil er immer bei einer bestimmten datei aufhörte werde meinen Pc mal vom F-Secure Onlinescanner scannen lassen.

Liegt es vielleicht an einem Update des Programms, das bewirkt, dass der Scanner jetzt anders scannt?
Was scannt Comodo denn genau? Alle Dateien? Laufende Prozesse? Noch was anderes?
Ich kenn den Scanner von Comodo nicht, kann daher auch nicht viel dazu sagen.

Wenn die anderen Scans aber sauber sind, würde ich sagen, dass das kein Anzeichen für einen Befall ist.
Erstell vielleicht auch mal ein HijackThis Log und poste es hier.

Zitat:

Nein ich hab kein anderes Benutzerkonto erstellt. Und wenn dann würde ich es nicht MeinBenutzername_2 nennen.

Nein, ich meinte auch nicht, dass ein weiteres Benutzerkonto erstellt wurde, sondern das du ein Backup erstellt hast.
Ich hatte zum Beispiel bei einer Installation mal ein Backup des Ordners C:\Dokumente und Einstellungen\Benutzer gemacht. Da hatte ich dann auch einen Ordner Benutzer_backup zusätzlich zu dem normalen Benutzerordner unter C:\Dokumente und Einstellungen.
Vielleicht lief es bei dir ja ähnlich?

Zitat:

es ist nicht der Ordner, der Windows-Explorer heist, der doppelt vorhanden ist, sondern die Explorer.exe.

Sorry, auch hier bin ich zu schnell gesprungen.
Ich hatte verstanden, dass die Datei doppelt vorhanden ist. Deswegen würd ich gern auch die MD5-Hashes der Dateien haben (siehe oben) um festzustellen ob es sich um legitime explorer.exe Varianten handelt und ob explorer.exe und explorer(2).exe identishc sind.

Zitat:

Also die Titelleiste wird hellblau und ich kannnciht mehr scrollen. Es öffnet sich aber kein Fenster meistens ist das auch nur 1 oder 2 Sekunden lang dann kann ich wieder scrollen manchmal bleibt das aber so und ich muss in das Firefox Fenster klicken, dass ich weiter scrollen kann. Manche Spiele minimieren sich auch von alleine obwohl kein Fenster geöffnet wurde.

Da kann ich auf die schnelle auch nicht viel sagen.
Einfach ins blaue geraten: Es könnte sich zb um ein Updateprogramm handeln, dass sich startet und so andere Programme lahmlegt.
Etwa das Antivirenprogramm oder Windowsupdates (würde mich wundern) oder Java, oder Adobe, oder...

Vielleicht hilft es wenn du beim nächsten Stocken mal schaust ob im Taskmanager ein Programm besonders viel Last verursacht.

lg myrtille