Hallo an die Experten,

ich weiß nicht weiter - seit einigen Wochen schlage ich mich damit herum, dass immer wieder verschiedene Viren oder Trojaner oder Würmer auftauchen, ohne dass ich die Ursache finde und ohne, dass ich neue Programme installiert hätte.

Meine aktuelle Systemkonfiguration ist folgende: Eine 160 GB Platte mit einer WindowsXP, einer Linux (Ubuntu 8.04) und einer mit NTFS formatierten Datenpartition. Dazu eine externe Festplatte.

Die Probleme (nur unter WinXP) gingen los, nachdem ich zum ersten Mal über den Zugang von Kabel Deutschland ins Netz gegangen bin. Kann es sein, dass Viren oder Trojaner auf dem Server lauern und sich aktiv von außen auf die Festplatte kopieren?

Ok, also los ging es mit merkwürdigen Fehlermeldungen von Windows XP, die mich misstrauisch gemacht haben. Außerdem ging plötzlich mIRC auf und wollte sich auf einem dubiosen channel anmelden. Ich habe daraufhin die Prozesse

clock.exe
igfxsrvc32.exe
system
system32(noch einige Zeichen - wechselnd).exe
bluesoleil.exe

im Autostart-Ordner gefunden (oder im Registry-Startup mit Regcleaner). Alle Dateien befanden sich im Verzeichnis C:\windows\system32\ und waren neu. Nach manuellem Löschen sind sie z.T. wieder aufgetaucht.

Zunächst habe ich mit F-Prot alles gescannt und desinfiziert. Nach dem Neustart waren
igfxsrvc32.exe und clock.exe wieder da. Daraufhin habe ich die Windows-Partition plattgemacht und mit Acronis Trueimage ein älteres Image der Partition aufgespielt. Auf dem Festplattenimage ist definitiv kein Virus, die Installation lief jahrelang problemlos.
Ich habe daher mit verschiedenen Online-Virenscannern (A-Squared, BitDefender, F-Prot/F-Secure, Kaspersky, Symantec) sowie Avira Antivir alles gescannt und auch den worm_sdbot.gav und irgendeinen Win32.Gen gefunden. Ok, alles desinfiziert/gelöscht, neu gestartet - beim Hochfahren konnte ich mich nicht mehr anmelden. Offenbar hatte irgendeins der Programme den Login-Vorgang verändert. Es blieb nichts weiteres übrig, als das Festplattenimage neu aufzuspielen.

Dieser Vorgang hat sich mehrfach wiederholt und es kam noch folgendes dazu: Nach einigen Neustarts kam plötzlich die Fehlermeldung "lsass.exe wurde unerwartet mit dem Code 0 beendet. Windows wird heruntergefahren." Teilweise bezog sich diese Fehlermeldung auf die Datei Temp/VRR1.tmp oder VRR2.tmp .
So, da konnte ich nichts weiter machen. Windows fuhr nach 10 Sekunden automatisch herunter. Neuanmeldung nach dieser Fehlermeldung war teilweise möglich, teilweise nicht. In den letzten Tagen kommt dazu die Meldung: "Systemdateien wurden durch neue Versionen ersetzt. Legen Sie die Windows XP System-CD ein."
Das ganze, obwohl Avira Antivir läuft und auch immer mal eine Alarmmeldung von sich gibt, worauf die entsprechende Datei gelöscht bzw. der Zugriff verweigert werden kann.

Avira hat im Laufe der Zeit noch folgende Virus/Trojanerdateien gefunden (sofort gelöscht):

in Windows\system32:
ojo.exe (DR/Delphi.Gen)
fixweb.exe

einige .exe Dateien im Verzeichnis "System Volume Information" der Datenpartition - ich habe das Verzeichnis daraufhin gelöscht und sämtliche ausführbare Dateien auf der Partition verschoben/umbenannt.

verschiedene .jpg Dateien, die ausführbaren Code enthielten (das Verzeichnis wurde nicht angezeigt)

Ok, also die Festplatten und Bootblöcke wurden x-mal gescannt. Der Master Boot Record habe ich überschrieben, indem ich einen Linux-Bootloader darauf installiert habe (auf der Festplatte ist nun auf einer dritten Partition Ubuntu installiert, von wo aus ich die Platte mit f-prot gescannt habe, um Bootblockviren keine Chance zu geben.) Die Bootblöcke der Windows-Partition und der Datenpartition sollten eigentlich keine Rolle spielen, außerdem wurden sie regelmäßig als virenfrei angezeigt.
Was ich allerdings festgestellt habe, dass ein kleiner Bereich von 7 MB plötzlich nicht mehr belegt war. Kann es sein, dass ein Trojaner/Virus sich eine eigene Mini-Partition schafft und von dort lädt? Dasselbe habe ich nämlich auf der externen, mit NTFS formatierten Festplatte festgestellt, nach deren Anschließen ein Alarm von Antivir kam und die danach öfters aktiv war, ohne dass ich aktuell darauf zugegriffen habe. Den Bereich habe ich gelöscht und einer anderen Partition angegliedert. Die externe Platte ist jetzt mit Ext3 neu formatiert und wird nur noch unter Linux verwendet.

Das war jetzt viel, also abschließend: Wo könnten die Viren/Trojaner noch herkommen? Und vor allem - was kann ich dagegen machen, ohne die Datenpartition löschen zu muessen? Verzeichnisse auf der Datenpartition sind eigentlich ausgeschlossen. Von da wird nichts automatisch geladen. Eventuell doch der Bootblock? Oder hilft nur eine Firewall? Ich brauche das Windows noch, aber eventuell könnte ich darauf verzichten, damit ins Netz zu gehen.

Schonmal vielen Dank im Voraus, bin für jede neue Idee dankbar, die mir weitere Zeit erspart, die ich da hineinstecken muss.

Uwe

Hi,
ich befürchte du wirst schonmal deine XP-CD rauskramen müssen.
Erstell aber um einen Überblick zu bekommen ein aktuelles HijackThis Logfile.

mfg

Hallo,

hier kommt das Hijackthis-Logfile. Inzwischen habe ich noch C:\Windows\system32\soundman.exe und eine weitere VRR?.tmp (VRR6.tmp diesmal) mit dem zugehörigen System-Shutdown ("lsass.exe mit code 0 beendet, Windows wird heruntergefahren...") , sowie v6s8c9k5a7q4.exe im Verzeichnis C:\ gehabt bzw. gelöscht. So ein Haufen Sch...
Es scheint sich wirklich zu vervielfachen, sobald ich ins Netz gehe. Ntvdm.exe und KernelFaultCheck in der Startup-Liste sind auch neu, aber vielleicht liegt das ja an der Hijackthis-Installation.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:46:49, on 13.08.2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

C:\Programme\Card Reader Driver v1.9e\Disk_Monitor.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

C:\Programme\D-Tools\daemon.exe

C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\BOINC\boincmgr.exe

C:\Programme\PrcView\PrcView.exe

C:\Programme\BOINC\boinc.exe

C:\WINDOWS\system32\ntvdm.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Card Reader Driver v1.9e\Disk_Monitor.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: BOINC Manager.lnk = C:\Programme\BOINC\boincmgr.exe

O4 - Startup: PrcView.lnk = C:\Programme\PrcView\PrcView.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\fswsclds.exe



--

End of file - 3890 bytes

sp1 da bekommst du die viren ganz automatisch und ganz schnell.

SP3 ist pflicht!

Hi,
dein System gehört neuaufgesetzt, schon aus dem Grund, das SP2 (ein wichtiger Sicherheitspatch gegen Netzwerkwürmern aller Art, uvm.) fehlt, sowie dem steinalten IE6.

Der Acrobat Reader 6.0 ist steinzeitlich sowie das Java.
In dem Logfile ist zwar kein Schädlingseintrag zu sehn, außer das RegEdit deaktiviert ist, was mich auch nicht wundert.

mfg

Die früheren Versionen haben den Sinn, dass die aktuellen bzw. die Servicepacks den Computer so stark verlangsamen, dass es keinen Spass mehr macht. Wozu den Acrobat Reader 8.0 oder 9.0, wenn der 6.0er alles kann, was ich benötige? Der 8.0er blockiert, wenn er geladen ist, alle anderen Prozesse so stark, dass ich z.B. zum Fensterwechseln 10 Sekunden warten muss. Der SP2 Patch gegen Netzwerkwürmer ist natürlich ein Argument, aber mit den Servicepacks ist ähnlich. Die Performance nimmt deutlich ab. Außerdem hat es mir das Windows Vista auf dem Laptop genauso zerschossen, als ich damit ins Netz bin - oder der Virus kam von der USB-Platte, das kann allerdings auch sein.
Ich hatte mit dem alten Windows bis Mai diesen Jahres nie Probleme. Allerdings hatte ich da den Computer hinter einem Router. Gestern habe ich das Festplattenimage nochmal neu aufgespielt und danach den neuen Router konfiguriert. Bis jetzt ist Ruhe in der Kiste - vielleicht ist das die Lösung.

Grüße
Uwe

Klar, das ist dein Rechner und niemand wird dich daran hindern, dein System so vernachlässigt zu lassen.

Ich denke, du wirst es spätestens dann merken, dass es ein Fehler war, wenn die grünen Freunde vor deiner Haustür stehn.
Allerdings muss eins gesagt sein, durch eine Router-Firewall werden Schädlinge und Bots keineswegs ferngehalten/aufgehalten.

mfg

Na, danke. Super Hilfe. Du merkst offenbar nicht, dass Du da verlangst, dass ich den Rechner wegschmeiße und einen neuen kaufe.

Uwe

Dir ist der Begriff von "Neuaufsetzen" wohl fremd.
Man sagt im Jargon dazu auch "Formatieren".

Diese Art von Anschuldigungen brauch ich mir nicht anhören, bzw. lesen.
Support eingestellt.