Hallo, ich habe gerade meine Festplatte formartiert und auch sofort Norton 2004 aufgespielt. Bevor jedoch die Virendefinitionen upgedatet waren, hatte ich mir wohl schon das eine oder andere eingefangen.

folgendes habe ich gefunden:

winole.exe
qtask.exe

Wobei klar ist, daß das trojaner o.ä. (kenne mich nicht wirklich aus) sind. Die beiden Dinger habe ich auch "nach allen Regeln der Kunst" gekillt.

Dann fand ich noch

yyezhz.exe

Damit kann weder google noch symantec was anfangen. Das Erstelleungsdatum ist 2001. Bei den anderen beiden (oben) war das Erstellungsdatum = heute.

Nachdem ich winole und qtask gekilled hatte, lief der PC auch wieder flüssig.

Trotzdem liget mir yyezhz noch etwas im Magen. Ich habe das Ding per ZoneAlarm erstmal soweit stillgelegt.

Kann mir jemand sagen, was es damit auf sich hat?

Danke, Bob

Hallo, Bob2003,
Poste doch bitte ein HijackThis Logfile hier rein (Per copy & paste).
Das geht so
cacatoa

Hallo, danke für die Hilfe.

Hier das logfile


Logfile of HijackThis v1.98.2
Scan saved at 23:03:18, on 27.10.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\qtask.exe
C:\WINNT\System32\yyezhz.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\rundll32.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows Compliant] yyezhz.exe
O4 - HKLM\..\Run: [Start Upping] qtask.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\RunServices: [Windows Compliant] yyezhz.exe
O4 - HKLM\..\RunServices: [Start Upping] qtask.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Start Upping] qtask.exe
O4 - HKCU\..\Run: [Windows Compliant] yyezhz.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...39302c61fb4d2c
O17 - HKLM\System\CCS\Services\Tcpip\..\{47DB1EAA-7E37-4199-BD5E-32D37C095CBA}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7C1A70A-9862-41FF-98F3-AEFF648B93AE}: NameServer = 192.168.122.252,192.168.122.253

Oje, obwohl ich keinen Plan habe sieht das wohl nicht so gut aus, was?

svchost.exe kommt mir auch verdächtig bekannt vor. War das nicht der sasser.worm?

Und qtask.exe hab ich ja offensichtlich auch nicht wegbekommen.

Ich glaube, da formatiere ich gleich noch mal, oder was meinst Du?

Grüß, Bob

Logfile of HijackThis v1.98.2
Scan saved at 23:03:18, on 27.10.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Du musst dein System dringend updaten, aktuell sind SP4 für Windows 2000 und der Internet Explorer 6.00 SP1 www.windowsupdate.com

Jo, danke. Das wollte ich auch gerade machen, als ich merkte daß ich mir was eingefangen habe. Bekomme ich den durch das update den Mist jetzt wieder weg (der evtl. schon/noch drauf ist) ? oder besser vorher noch mal formatieren? (Wegen dieser Frage hatte ich jetzt auch mit dem update gewartet, damit ich nicht alles doppelt mache, wenn ich sowiso vorher noch mal formatieren muß.

Danke, Bob

Mache folgendes:

Zitat:

Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

Poste danach ein neues Log, dann schauen wir mal ob sich das reinigen lohnt oder ob du nochmal formatieren musst.

So, da bin ich wieder.

File C:\WINNT\System32\yyezhz.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

wurde 4 mal gefunden.

Wed Oct 27 23:54:50 2004 => File C:\WINNT\System32\IExplore32b.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken

wurde 1 mal gefunden.

Das wars.

Das blöde ist jedoch, daß ich weder "yyezhz.exe" noch "IExplore32b.exe" im System finde. Weder über die Suche, noch wenn ich den "Pfad entlang" klicke.

Ich habe mich deshalb entschieden "kurzen Prozess zumachen" und noch mal zu formatieren. Da ich das ja sowiso erst heute gemacht habe, und noch nicht wieder viel drauf habe, ist es sicher das einfachste. Ich update dann als allererstes alles und jage es dann noch mal durch "hijackthis" und "escan". Die entspr. logs poste ich dann morgen, vielleicht mögt ihr ja dann noch mal einen Blick drauf werfen.

Auf jeden Fall danke ich Euch fürs Erste und wünsche eine gute nacht

Grüße, Bob

Gehe wie folgt vor:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

So, da bin ich wieder. :-)

Habe alles so gemacht.

Ergebnis:

Thu Oct 28 11:46:16 2004 => ***** Scanning complete. *****

Thu Oct 28 11:46:16 2004 => Total Files Scanned: 11913
Thu Oct 28 11:46:16 2004 => Total Virus(es) Found: 0
Thu Oct 28 11:46:16 2004 => Total Disinfected Files: 0
Thu Oct 28 11:46:16 2004 => Total Files Renamed: 0
Thu Oct 28 11:46:16 2004 => Total Deleted Files: 0
Thu Oct 28 11:46:16 2004 => Total Errors: 36
Thu Oct 28 11:46:16 2004 => Time Elapsed: 00:19:54
Thu Oct 28 11:46:16 2004 => Virus Database Date: 2004/10/26
Thu Oct 28 11:46:16 2004 => Virus Database Count: 107503

Thu Oct 28 11:46:16 2004 => Scan Completed.


Die "errors" sind fast ausschliesslich bei symantec ordnern aufgetreten, also meinem Norten 2004. Das ist ja in Ordnung so, denke ich ?!

Danke nochmal, Bob

Hier auch noch mal die hijack-log-datei. Habe sie durch die automatische Auswertung gejagt. Ergebnis: Alles "grün/gut"

Ist echt ein tolles board hier. Ihr habt mir eine Menge Zeit und "Stochern im Nebel" gespart.

Ciao Bob

Logfile of HijackThis v1.98.2
Scan saved at 18:32:48, on 28.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\1&1INT~1\PROFI-~1\ProfiDialer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C23D5FB-22E5-434B-99B8-FB7033D23C2F}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A73B9B7F-8F55-4EAE-A16B-3A5E217256C8}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C23D5FB-22E5-434B-99B8-FB7033D23C2F}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C23D5FB-22E5-434B-99B8-FB7033D23C2F}: NameServer = 192.168.122.252,192.168.122.253

Dein Log-File sieht sauber aus.

Um die Sicherheit deines Systems zu erhöhen, solltest du noch folgende Punkte abarbeiten:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org