oder macht die bastellei gar keinen sinn mehr? das problem dabei ist, antivir läßt sich nicht installieren und trendmicro onlinescanner tut außer stundenlanger vorbereitung auch nix

hier mal das logfile... sind soweit wie ichs gesehen habe mindestens 3 böse sachen drin... von einigen anderen hab ich gar keine ahnung was das ist
winlogen.exe
svchost.exe
csrssc.exe


mittlerweile hängt sich auch HijackThis auf

Hi,

also wenn es nicht mal mehr möglich ist, hier ein Log zu präsentieren, weil gar nichts mehr geht, dann ist es das Beste, zu formatieren und neu zu installieren. Mein Kaffeessatz sagt mir nicht, was auf deinem System los ist und diese drei Dateinamen alleine sind auch nicht annähernd eine Information, auf der man irgendwas bauen könnte.

Gruß, Karl

so, ich hab dem virus ein paar meldungen abringen können. da ich zwei pc habe, kann ich mit dem hier wenigstens noch nach hilfe schreien. ein großes danke schonmal an die, die sich die mühe machen mir zu helfen.

nun genug der vorrede. an die arbeit

ich kann an dem pc eigentlich nix mehr machen, wenn er online geht. wenn ich ihn starte kommt folgende meldung:

Zitat:

das system wird herunter gefahren. speichern sie alle daten und melden sie sich ab. alle änderungen, die nicht gespeichert werden gehen verloren. das herunterfahren wurde von nt-autorität\system ausgelöst.

zeit bis zum herunterfahren 00:00:58

meldung
der systemprozess
c.\windows\system32\services.exe wurde unerwartet mit dem statuscode - 1073741819 beendet. das system wird heruntergefahren und neu gestartet

erfährt runter startet neu und das spielchen geht immer so weiter...

die nächste sache:

ich habe versucht antivir zu installieren... leider erfolglos: da kommt folgende meldung:

Zitat:

die crc-summe von c:\dokum....\sushi\lokale...\temp\rarsfx0\basic\setup.exe wurde verändert. die könnte von einem virus verursacht worden sein.

installation bricht ab.

habe ohne netzkabel hijachthis laufen lassen und es auch bis zum logfile geschafft. ich hoffe ich transportiere den virus jetzt nicht noch per stick hier auf den pc.

es wär gut, wenn ich ihn wieder so weit zum laufen bringen könnte, daß ich vor dem format noch ne datensicherung machen kann, in der hoffnung den virus oder was auch immer da drauf ist, mitzusichern

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:57:03, on 25.10.2003
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\NCS\Sync\NetSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\sushi\LOKALE~1\Temp\svchost.exe
C:\DOKUME~1\sushi\LOKALE~1\Temp\winlogen.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ARCORO~1\Arcor.exe
C:\Programme\wetterde\wettermelder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IrfanView\i_view32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [ascsched] C:\WINDOWS\ascsched.exe
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOKUME~1\sushi\LOKALE~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [ksjf93orkekfniw73nfdd] C:\DOKUME~1\sushi\LOKALE~1\Temp\winlogen.exe
O4 - HKLM\..\Run: [e0cbfe68] rundll32.exe "C:\WINDOWS\system32\lvtwtluv.dll",b
O4 - HKCU\..\Run: [Arcor Online] C:\PROGRA~1\ARCORO~1\Arcor.exe /inst_typ:2 /kunden_typ:bestand
O4 - HKCU\..\Run: [wetterde.newstool] C:\Programme\wetterde\wettermelder.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ksjf93orkekfniw73nfdd] C:\DOKUME~1\sushi\LOKALE~1\Temp\winlogen.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: lzwwib.dll
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O22 - SharedTaskScheduler: lksdfj98w3rmsekfnaui3rgfdgf - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\ksaf83hfd.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\SYSTEM32\GEARSEC.EXE (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\ImapiRox.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 7581 bytes

grad gesehen... in diesem logfile ist die csrssc.exe gar nicht mehr zusehen... habe aber nix bereinigt oder so, hat die sich versteckt?

Das ist ja richtig verheerend, nur weil eine Datei gerade nicht mehr zu sehen ist, wird das kein Stück besser.

Da Du aber mehrere Computer hast, hast du es sehr einfach. Sorge erstmal dafür, dass auf dem nichtinfizierten Computer ein voll aktualisierter Virenscanner ist, z.B. Antivir ist eine gute Wahl. Dann baue die infizierte Platte in den anderen Computer ein und rette deine Daten. Anschließend Platte zurück, formatieren und neuinstallieren.

Drei Punkte fallen mir dazu noch ein:

1. solltest Du keinerlei ausführbare Dateien, Programme, Installer, usw. sichern, wirklich nur reine Daten wie texte, Bilder, MP3, usw.

2. Es droht ein gewisses Risiko, dass auf der infizierten Platte in C:\ eine Datei autorun.inf angelegt wurde, die irgendeine Malware starten würde. Schau mal in dieses Verzeichnis ob es dort eine solche Datei gibt. Zusätzlich kannst du ein Verzeichnis anlegen mit diesem Namen. wenn das klappt, ist es sicher, dass es die Datei nicht gibt, da es in einem Verzeichnis nicht ein Verzeichnis und eine Datei mit dem gleichen Namen geben kann.

3. Unter der vielen Malware ist auch ein Wurm dabei, von dem beschrieben wird, dass er sich freigegebene Verzeichnisse von Filesharing-Programmen wie Emule, Torrent, Kazaa, Limewire, usw. vornimmt und die Dateien dort infiziert. Falls Du also sowas hast, sollte dort ebenfalls nichts gesichert werden.

Glatt vergessen: Wegen diesem runterfahren: Wenn das Fenster mit dem Countdown erscheint, dann schnell Start -> ausführen -> "shutdown -a" (ohne "") eingeben -> OK. Kann klappen so dass das Runterfahren abgebrochen wird, falls allerdings Windows zu sehr fertig ist, kann es auch sein, dass das nicht mehr hilft.

danke dir. das werd ich morgen in aller ruhe machen.

eine frage habe ich noch zu der datensicherung.

wie meinst du das mit der infizierten platte in den anderen pc einbauen... zuätzlich zu der, die drin ist? wenn ja, kriege ich da nicht ein problem, wenn auf beiden ein windows ist, von dem er booten kann? und die pc haben unterschiedliche winxp... der eine professional und der andere home


ich habe die platte partitioniert. reicht es, wenn ich die daten der partition c sichere und nur diese formatiere oder muß ich auch die anderen partitionen löschen? wenn ja... zuerst mit s0kill alles richtig total platt machen oder muß es so doll nicht unbedingt sein?

das ganze zeugs habe ich mir über meinen usb-stick eingeschleppt, der liegt mittlerweile in der tonne