Hoi, ich bins, CC... bei meinem alten account funktioniert das passwort irgendwie nichtmehr ?! naja, werde mich später drum kümmern.

Folgendes Problem:
Ich habe windows grad gestern neu installiert und heute noch einmal (allerdings auch aus dem grund weil ich windows woanders drauf haben wollte). Etwa 20min nach erstellen der internetverbindung hab ich einen virus... SP1 hab ich, ebenso den Blaster Patch. Im Taskmanager seh ich immer neue namen wie:
cgqvoaus.exe
C4.temp.exe
wuamgrd.exe

AntiVir erkennt die dann und beseitigt die - nach dem neustart sind die wieder da. Ich habe im abgesicherten modus gescannt und registry einträge gelöscht, sodass eigentlich wirklich nichts mehr da sein sollte. Dann habe ich es mal soweit gebracht, dass direkt nach dem start von windows nichts gefunden wurde. Nach 10min waren dann myteriöse dateien wieder da, und wenn diese laufen, habe ich keinen zugriff aufs internet mehr. Das nervt mich echt ungeheuerlich...
Dann habe ich was über tftp.exe herausgefunden, nämlich dass es ein file von windows sein soll. Ok, ich habe das zwar in den letzten 2 jahren noch nie im taskmanager gesehen, aber was solls. Ich hab die datei dann umbenannt (in tftp-orig.inal oder sowas in der richtung). Denkste, gerade eben habe ich diese datei wieder im Taskmanager gefunden Und bei erstellt am: steht wie bei den anderen windows dateien 2001. Als ob nicht gewesen wäre.
Was auch sehr komisch ist: Die Dateien kommen aus heiterem Himmel. Ich mache rein gar nichts und die erstellen sich irgenswie selbst...

Hat jemand ne idee ?
Danke euch..

CC


edit, wichtig: Anscheinend wird da massig was an dateien rumgeschaufelt, das netzwerksymbol unten leuchtet fast immer, auch wenn ich nichts im netz mache...

Weiter gehts:
Es scheit Worm/Rbot zu sein, vorher noch gemischt mit sasser, aber den bin ich jetzt los. Der Wurm kommt aber immer wieder... Wenn ich netstat -a mache, sind da ungefähr 10 Verbindungen hergestellt, das is ja wohl nicht normal bei einfachem surfen. Wie bekomm ich das teil los ?


edit:

HiJackThis LOG:

Logfile of HijackThis v1.98.0
Scan saved at 20:39:36, on 30.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\TCAUDIAG.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Opera75\opera.exe
C:\Programme\ICQ\Icq.exe
D:\kram\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe



tftp.exe kommt DEFINITIV immer wieder ! Ich kann die datei umbenennen, löschen, was auch immer, es gibt wieder eine neue, die auch sofort aktiv ist...

Kann mir denn keiner helfen ?
Es gibt neue infos:

Irgendwas ist da mit der tftp.exe nich in ordnung.
Wenn ich sie lösche, ist sie nach 3sek wieder da ! Jedesmal mit 17KB. Lustig auch folgendes: Ich habe die tftp.exe gelöscht und ganz schnell eine textdatei in tftp.exe umbennant. Die Datei verändert (!) sich sofort wieder zur 17KB großen originaldatei...
Nebenbei habe ich festgestellt, dass das Virus Dateien mit namen "TFTPxxxx" erstellt, ebenfalls im ordner system32. x steht dabei für eine zahl... Die Dateien haben keine dateiendung und sind mal 91, mal 85KB groß und laut antivir mit RBot/AX befallen...

Ich weiss langsam nicht mehr weiter

PS:
Diese TFTP Dateien sind anscheinend der auslöser für verschiedene .exe Dateien. Eben war ein Prozess mit namen "cmd.exe" aktiv, nachdem Antivir Guard ein TFTP File entdeckt und in quarantäne gestellt hatte (RBot.AA) war der prozess auf einmal weg. Suchen nach "cmd.exe" bringt einmal das windows eigene cmd und "CMD.EXE-087B4001.pf" (72KB) im ordner "Prefetch". Was hat es damit auf sich ?

PPS: Rbot.94208 wird auch gefunden... irgendwie hab ich bald alle Rbots durch

Scan mal mit eScan Deinen Rechner im abgesicherten Modus den ganzen Rechner und poste, ob und ggf. was gefunden wurde.
eScan (incl. Kurzanleitung) findest Du in meiner Signatur.

Öff....

File C:\WINDOWS\system32\Explorer.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\MSU32.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\11120_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\13099_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\30348_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\31939_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\32367_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\NAVSCAN64.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\winservicess.exe infected by "Backdoor.SdBot.ni" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\DC3.EXE.VIR infected by "Worm.Win32.Padobot.n" Virus. Action Taken: File Deleted.
File C:\Programme\AVPersonal\INFECTED\mrhci.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\mrhci.VIR00 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\mrhci.VIR01 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\msconfg.VIR infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\msconfg.VIR00 infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\msconfg.VIR01 infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\SKYNET.CPL.001 infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted.
File C:\Programme\AVPersonal\INFECTED\SKYNET.CPL.VIR infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted.
File C:\Programme\AVPersonal\INFECTED\TFTP1468.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\TFTP184.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\TFTP2452.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\TFTP2800.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\TFTP412.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\wserv32.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\wserver.VIR infected by "I-Worm.NetSky.gen" Virus. Action Taken: File Deleted.
File C:\Programme\AVPersonal\INFECTED\wuam.VIR infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\wuam.VIR00 infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\wuam.VIR01 infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004443.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004444.exe infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004445.exe infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004446.exe infected by "I-Worm.NetSky.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004450.cpl infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004454.cpl infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0005443.exe infected by "I-Worm.NetSky.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0005447.cpl infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0006446.cpl infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0006454.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0006496.exe infected by "Worm.Win32.Padobot.n" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007518.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007519.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007520.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007521.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007522.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007523.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007524.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007525.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007526.exe infected by "Backdoor.SdBot.ni" Virus. Action Taken: File Renamed.


schöne plantage

Ich würde da nicht lange fakeln.
XP nochmal neu drau, XP-Firewall vor den ersten Gang ins Internet aktivieren. Nach Möglichkeit Updates und Patches von CD[1] installieren. Natürlich auch ohne vorherigen Gang ins Internet. Die meisten dieser CD's haben imho einen Patchstand von Febr./März 04. Also danach ein Besuch bei Windowsupdate und erst dann 'normal' surfen.


[1] Gibt es immer wieder in diversen Computer-Zeitschriften als Beilage

Also, das nochmal neu installieren seh ich als letzten ausweg, ich habe folgendes gemacht:

1. Systemwiederherstellung deaktiviert
2. in abgesicherten modus gegangen
3. eScan laufen lassen (2 gefundene dateien wurden umbenannt)
4. die gefundenen dateien gelöscht
5. AntiVir drüberlaufen lassen (nichts mehr gefunden)
6. HijackThis laufen lassen (einen komischen eintrag noch entfernt)
7. Selber die registry und starteinträge durchsucht
8. alle einträge entfernt
8a. tftp.exe gelöscht, neue tftp.exe erstellt und schreibgeschützt
9. erneut blaster patch eingespielt
10. wieder normal hochgefahren
11. mit eScan gescannt - nix
12. Registry durchgeschaut - nix neues drin
13. online gegangen

Bis jetzt ist mir nichts aufgefallen, sollte der kram wieder kommen, bin ich wirklich ratlos und werde ums neu formatieren nicht drumrumkommen....
Sonst noch ideen was ich noch machen kann ?