Hallo hier postet ein Verzweifelter.
Kurzgeschichte. Von Bekannten Rechner zur TV Karten Installation bekommen. Verdächtiges Verhalten im Internet festgestellt (mehr gesendete Daten als empfangene) netstat aufgerufen und permanente Anfragen an diverse Server im www festgestellt). Stinger (v 2.4.1.0)angeworfen viele Würmer und Trojaner gefunden und beseitigt, Antivir (v 6.28.00.0) an noch ein paar mehr gefunden. Entschieden Plattmachen mit Format C: Neuaufgesetzt nur mit Original Cds. Scans nichts zu finden, ans Netz und sofort schlägt die Guard von Antivir an. Auch Stinger meldet beim durchsuchen plötzlich SDBOT WORM!FTP . Raus und erneut Platt gemacht. Anderes BS win2000, dasselbe in Grün. Stand nach einer Linux Installation v.9 (habe ich nur zum Teilformatieren benutzt weil ich mich da nicht ganz auskenne) und einer minimal Installation von Windows XP, Meldung von SDBOT WORM!FTP nach Internetverbindung.
Besonderheiten ist ein Scaleo 600 mit 240er GB Platte und einem Sch... Windows Mediacenter als BS.
Konnte also unter 2000 und Linux nur Teile der Platte putzen, da ich aber mit XP 3x Format (einmal schnell und 2x normal) gemacht habe, müßte ich ihn erwischt haben.
Dachte ich. Im Moment läuft nur das Windows Mediacenter, Windvd 4.0 (Braucht man damit das Mediacenter läuft), web.Smartsurfer (von einem reinen Rechner geladen und mittels gebrannter CD transportiert) und die Treiber. Selbst die Virenwächhter sind noch nicht drauf. Internetverbindung (okay könnte noch DFÜ per Hand eingeben, glaube aber nicht das es daran liegt) und der Rechner geht andere Rechner abklappern. (netstat und diverse Anfragen an MS und andere Server erscheinen) Windows Update Funktion ist aus, Mediacenter holt nur manuell Daten (habe ich eingestellt und sagt auch MS). Systemwiederherstellung ist auch aus (habe ich sofort ausgestellt) und abgesicherter Modus passiert das gleiche.
Achso hihjack ausprobiert und gefixt. Nach der Minimal Installation nur 5 Einträge sind unverdächtig, denke ich, poste es aber mal mit.
Wenn jemand fragt, nein das SP2 von MS läßt sich auf diesem Rechner nicht installieren, Mediacenter bringt Teile des SP2 mit und fährt nach der Installation von SP2 nicht mehr hoch.
Hat noch jemand eine Idee? Gibt es ein Programm das die Platte anders putzt (muß 240er können) ? Hatte schon mal jemand so einen Fall? Wenn ja was hat er noch probiert und was half? Noch einen Tipp außer neue Festplatte oder Linux drauflassen? Oder den Rechner durch Firewall abschotten?
Ein Verzweifelter
Bernd
Der Trend geht immer mehr zum Zweitrechner fürs Internet.
Ps. Nach dem neuesten format und 1.CD vom Mediacenter verbiegt er die Laufwerke meine Festplatte ist auf einmal I. Escan 4.5.8 habe ich jetzt mal gestartet findet auch nix. DFÜ per Hand, kein Win dvd.
Sch.....
ES IST KEIN HOAX!!!



Logfile of HijackThis v1.97.7
Scan saved at 09:36:12, on 01.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\ehome\ehSched.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\ehome\ehtray.exe
I:\WINDOWS\System32\CTFMON.EXE
I:\WINDOWS\ehome\ehmsas.exe
G:\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ehTray] I:\WINDOWS\ehome\ehtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

Hi

Deine Version von HijackThis ist nicht aktuell.Poste bitte einen neuen Log mit der allerneusten Version.#
Bekommst du hier:http://www.trojaner-board.de/51130-a...ijackthis.html
Weiterhin solltest du dein System updaten:www.windowsupdate.com
das muss mithilfe des IEs geschehen

Hi, Log habe ich angehängt,
update geht nicht weil ich SP2 nicht zum laufenkriege, einige Patches sind beim Mediacenter vom SP2 dabei, liveupdates sind nicht möglich, weil ich auf fast keine Seite komme (timeout), trotzdem macht er ständig Anfragen auch wenn ich keinen IE anhabe.
Steigerungsform, nachdem ich eben mal kurz im Netz war und anschließend gescannt habe, meldet er mal zur abwechslung w32.parite.b


Logfile of HijackThis v1.98.2
Scan saved at 15:55:35, on 01.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\System32\CTFMON.EXE
C:\WINDOWS\ehome\ehmsas.exe
C:\Dokumente und Einstellungen\Jürgen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Hi, gub,
mit was scannst Du?
Folgendes muß gefixt werden:
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
Die beiden letzten sind unwirksame Einträge, die Du löschen kannst.
Dann noch die Datei manuell löschen:
C:\WINDOWS\web\related.htm
Dann mal kucken...
cacatoa

Hi Cacatoa,
nach dem 8.Format mit Xp, Linux win2000, habe ich eine Lowlevelformatierung mit eienm Tool von WD gemacht. Danach war Ruhe. Ich habe mit Escan, Antivir, Stinger, Sophos gescannt, jeweils die aktuellen Versionen und nacheinander. Erst nach einer Internetverbindung kamen Meldungen Würmer, Backdoors und Viren. Es sah so aus als, ob da einer saß, der dann eingeladen hat. Leider ist es nicht erkennbar wo das Mistvieh saß und welche Sicherungen evtl. befallen sind. Ich habe festgelegt das die Sachen nicht wieder eingespielt werden.
Trotzdem Danke
Einträge sind jetzt nicht mehr da, möchte nur wissen wie raffiniert die Biester sind, die ein Format vom BS Setup überstehen und dann sich auch noch gut installieren.
Gub

Hallo gub,

hast Du den eScan entsprechend der Anweisung unter c:\bases auf Deinem System gespeichert? Ich frage das, weil ich gerne möchte, dass Du den eScan online updatest und noch einen weiteren Scan damit im abgesicherten Modus offline vornimmst.

Lasse uns dann bitte wissen, wie die Viren heissen, die auf Deinem System gefunden werden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Hattest Du Dateien vor dem Setup auf CD übetragen und sie nach dem Setup wieder eingespielt? Das wäre eine Erklärung dafür, dass nach dem Formatieren wieder Viren auf Deinem System zu finden sind.

SD