Die heruntergeladenen Dateien sind sicher sauber und es ist extrem unwahrscheinlich, dass sie so schnell manipuliert wurden.

Wir brauchen auch nicht das komplette Log von E-Scan, die namen der gefundenen Viren genügen.

hallo mountain king,

escan findet auf meinem infizierten bs nichts mehr, ich habe aber das gefühl,das die wieder aktiv werden, sobald ich ins netz gehe...

was ich jetzt machen würde:
1.einen HijackThis log von dem system offline
dann online gehen und
2.einen online erstellen,
3.einen e-scan log von dem infizierten system aus machen, nachdem ich online war (müsste eigentlich reichen, da e-scan ja alle partitionen scant ( ODER ???? )
4.einen HijackThis log von dem vielleicht noch sauberen system erstellen.

und hier bin ich mir nicht sicher:
kann/sollte/darf ich mit dem vielleicht noch sauberen system online gehen, um auch von dort einen hjt-log zu erstellen, nachdem ich online war... ?????

das ganze poste ich dann hier (als anhang oder direkt ???)

guido.

... und noch was:
auf meinem laptop (win98se) findet e-scan folgendes:
file c:\windows\command\ebd\ebd.cab tagged as not-a-virus: tool.dos.restart no action taken

wichtig???

lg,
guido

hallo,

so, hier die logs:

zuerst noch einmal die zwei alten (zuerst offline, dann online):
dieser offline:
Logfile of HijackThis v1.98.2
Scan saved at 22:21:38, on 28.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
F:\WINDOWS\Explorer.EXE
D:\AVPersonal\AVWUPSRV.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\sys32snd.exe
F:\WINDOWS\System32\sstray.exe
F:\WINDOWS\System32\RUNDLL32.EXE
D:\AVPersonal\AVGNT.EXE
F:\Programme\Real\RealPlayer\realplay.exe
F:\Programme\SlySoft\CloneCD\CloneCDTray.exe
F:\WINDOWS\System32\rundll32.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\Real\RealJukebox\tsystray.exe
F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
F:\Programme\Cd Kopieren\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CometCursor Class - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - F:\WINDOWS\System32\COMET.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RealTray] F:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] sys32snd.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] sys32snd.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RealJukeboxSystray] F:\Programme\Real\RealJukebox\tsystray.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] sys32snd.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE

... und dieser online (beim herunterladen eines patches von microsoft):
Logfile of HijackThis v1.98.2
Scan saved at 23:13:25, on 28.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
F:\WINDOWS\Explorer.EXE
D:\AVPersonal\AVWUPSRV.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\sys32snd.exe
F:\WINDOWS\System32\sstray.exe
F:\WINDOWS\System32\RUNDLL32.EXE
D:\AVPersonal\AVGNT.EXE
F:\Programme\SlySoft\CloneCD\CloneCDTray.exe
F:\WINDOWS\System32\rundll32.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\Real\RealJukebox\tsystray.exe
F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\WINDOWS\system32\cmd.exe
F:\WINDOWS\System32\recall.exe
F:\Programme\Cd Kopieren\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CometCursor Class - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - F:\WINDOWS\System32\COMET.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RealTray] F:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] sys32snd.exe
O4 - HKLM\..\Run: [netservices] recall.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] sys32snd.exe
O4 - HKLM\..\RunServices: [netservices] recall.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe
O4 - HKLM\..\RunOnce: [netservices] recall.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RealJukeboxSystray] F:\Programme\Real\RealJukebox\tsystray.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] sys32snd.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECB30A07-E6E8-4C2B-AED0-722AE61896C2}: NameServer = 145.253.2.81 145.253.2.203

meine vermuteten infizierte dateien sind die recall.exe und die sys32snd.exe
diese tauchen aber auf den neuesten nicht mehr auf ... ????

die neuesten hjt logs hänge ich dir als anhänge an:
hijackthis3009off ist der offlinelog vom infizierten bs
hijackthis3009on ist der onlinelog vom infizierten bs
hijackthis3009offclean ist der offlinelog vom "sauberen" bs
hijackthis3009onclean ist der onlinelog vom "sauberen" bs

jetzt ist von den recall.exe und sys32snd.exe nichts mehr zu sehen.
es kommen auch keine virusmeldungen mehr...???
weder von escan noch antivir !!!
escan und antivir haben aber auch immer wieder sachen entfernt.

escan bringt noch folgende error meldungen:
1.hklm\system\currentcontrolset\services
ERROR!!! scanfile fails...
2.file c:\system volume information\*.*
ERROR!!! findfirstfile for c:\system volume information\*.* failed: reason is zugriff verweigert
3.file d:\system volume information\*.*
ERROR!!! findfirstfile for d:\system volume information\*.* failed: reason is zugriff verweigert
4.file f:\system volume information\*.*
ERROR!!! findfirstfile for f:\system volume information\*.* failed: reason is zugriff verweigert
5.file f:\system volume information\*.*
ERROR!!! findfirstfile for f:\system volume information\*.* failed: reason is zugriff verweigert

...sowie 'ne menge "having size restriction"-meldungen

seltsam ist nur, das diese meldung nicht für die partition e:\ auftaucht ....???

ich weiss, das ist 'ne menge zu lesen, aber ich weiss nicht, was wichtig ist für eine richtige beurteilung ....

schon mal im voraus einen allerbesten dank !!!!!!!!

lg,
guido

hier noch ein paar alte meldungen, die immer wieder auftauchten, jetzt aber nicht mehr:

scanning file f:\windows\system32\sys32snd.exe
process f:\windows\system32\sys32snd.exe found running in memory...
***killing infected process f:\windows\system32\sys32snd.exe...
***killing sucsessful
scanning file f:\windows\system32\recall.exe
process f:\windows\system32\recall.exe found running in memory...
***killing infected process f:\windows\system32\recall.exe...
***killing sucsessful

file f:\windows\system32\sys32snd.exe infected by "backdoor.win32.wootbot.gen"virus action taken: file renamed

scanning hklm\software\microsoft\windows\currentversion\run
***reg value software\microsoft\windows\currentversion\run\win32 usb2 driver deleted because it is infected by a virus
scanning hklm\software\microsoft\windows\currentversion\runonce

***reg value software\microsoft\windows\currentversion\runonce\win32 usb2 driver deleted because it is infected by a virus
scanning hklm\software\microsoft\windows\currentversion\runservices
***reg value software\microsoft\windows\currentversion\runservices\win32 usb2 driver deleted because it is infected by a virus
scanning hkcu\software\microsoft\windows\currentversion\run
***reg value software\microsoft\windows\currentversion\run\win32 usb2 driver deleted because it is infected by a virus
scanning hkcu\software\microsoft\windows\currentversion\runonce
***reg value software\microsoft\windows\currentversion\runonce\win32 usb2 driver deleted because it is infected by a virus
file f:\windows\system32\recall.exe infected by "backdoor.win32.wootbot.gen"virus action taken: file renamed


über die windows suche funktion finde ich:

sys32snd.exe-0280346a.pf in f:\windows\prefetch
syssnd.exe.mvt in f:\windows\system32
recall.dll in d:\programme\microsoft office\office
recall(2).dll in d:\programme\microsoft office\office
recall.exe-12b9a584.pf in f:\windows\prefetch
recall.exe.mvt in f:\windows\system32
recall.dll in f:\programme\microsoft office\office

... und in der regestry bei suche nach "win32 usb2 driver" finde ich:
unter hkey_users\default\software\microsoft\currentversion\run:
win32 usb2 driver mit dem wert sys32snd.exe
und
netservices mit dem wert recall.exe

das gleiche unter: .....\runonce

... unter: hkey_user\s-1-5-18\software\microsoft\windows\currentversion\run
und unter: ......\runonce

...laut antivir und escan hab ich bis auf diverse warnungen bei antivir (zugriff verweigert) und die geposteten error meldungen von escan ( zugriff verweigert, scanfile fails, having size restictions) keine plagegeister mehr .... komisch ... kann ich dem jetzt vertrauen ?????

lg,
guido

Hallo beteigeuze,

erstelle bitte nochmal ein neues HijackThis Logfile und poste es.

SD

Hallo, ich habe seit längerem Viren auf dem Rechner. Ich habe mehrmals formattiert. Und anfangs war es der Win32/Pinfi. Dann habe ich noch mals formattiert bin aber nicht online gegangen trotzdem hatte ich den WORM/RBOT drauf. Fand ich sehr seltsam. Mein AntiVir hat zwar den angeblich gelöscht, War dann auch online, aber meine senderate ist auf höchster aktivität, obwohl ich nichts mache. Jedesmal wenn ich online gehe, kommt sofort wieder ein virus woran liegt das?

Hier mal meine Log file:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\nkqc.exe
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Avant Browser\avant.exe
C:\Dokumente und Einstellungen\Familie\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RSPC Driver] nkqc.exe
O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe
O4 - HKLM\..\RunServices: [RSPC Driver] nkqc.exe
O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe
O4 - HKCU\..\Run: [RSPC Driver] nkqc.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{2491A434-EE75-474B-94E6-B0770D54D5BE}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{2491A434-EE75-474B-94E6-B0770D54D5BE}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Tiny Personal Firewall - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)


Hoffe ihr könnt mir weiterhelfen. Danke

Hallo @ Mot,

Zitat:

Jedesmal wenn ich online gehe, kommt sofort wieder ein virus woran liegt das?

Das liegt daran, das dein System weiterhin ungeschützt ist. Auf einen ungepatchten System sind nun mal diverse Sicherheitslücken vorhanden, die gnadenlos ausgenutzt werden und darum sollten diese von dir VOR der ersten I-net Verbindung geschlossen werden.

Formatiere abermals neu und halte dich an diese Anleitung, dann klappt es auch: http://www.trojaner-board.de/showpos...28&postcount=2

Ja das ist richtig, aber ich habe auch formattiert und ich war nicht online und dennoch hatte ich dann ein virus. Ich habe die neuste version meines Antivir und eine firewall runtergeladen und dann auf CD gebrannt im verseuchten Zustand meines Pc's, nach der Formattierung habe ich dann diese Programme installiert und ich war nicht online. Sofort hat mein Antivir ein Virus festgestellt. Finde ich komisch, aber liegt es vielleicht daran dass ich eine cd im verseuchten zustand gebrannt habe und dann benutzt habe?

Bei einem kompromittierten System sind ausführbare Dateien eben nicht mehr vertrauenswürdig. Also empfiehlt es sich, nichts aber rein gar nichts, aus einem versifften System zu kopieren und ins neue System zu integrieren. Downloads sollten stets von einem wirklich sauberen System durchgeführt werden oder alternativ eben auf Linux Distributionen kurzfristig ausweichen.
Les dir diese Seite aufmerksam durch: http://oschad.de/wiki/index.php/Kompromittierung

Hallo ,

bin neu hier im Board und musste heute feststellen , daß ich diesen Seuchenvogel auch habe . Berüchtigte CFLMON.EXE in der REG .
Step by step alles neue deinstalliert hat nichts geholfen .
Einzige Alternative zur Neuinstallation war Herstellung eines früheren Systempunktes . Bei mir Anfang August . Wunderbar , alles verschwunden ,
da Systemdateien aus dem Backpackordner nicht angegriffen wurden .
Somit nur ein paar Programme verschwunden .
Hoffentlich geht es bei euch auch .

Zitat:

Zitat von generio

bin neu hier im Board und musste heute feststellen , daß ich diesen Seuchenvogel auch habe .

Das ist bestimmt ein anderer Vogel: der letzte Beitrag in diesem Thread -22.12.2004, 18:07 . Frohe Weihnachten ....