Hallo zusammen,

ich beobachte und lese in diesem Forum schon seit langem und habe meine Würmer und Trojaner soweit immer selbst in den Griff bekommen, wobei mir dieses Forum auch immer sehr geholfen hat. Vielen Dank erstmal dafür !!

Jetzt habe ich aber ein anderes Problem, und zwar:

seit einiger Zeit fährt mein PC nach 1:00 runter, nach dem ich dieses NT-Auhtorizations-Fenster wieder auf den Schirm bekommen habe, was ja damals der typische Auslöser des Blasters war.

Ich habe eine Firewall von Sygate, neueste Adaware Version und viele andere Dinge zum Schutz.

nach einiger Zeit merkte ich, das ich einen komischen Eintrag im Taskmanager hatte, nämlich:

defragfat32z.exe

Ich hatte diesen Prozess schon in der Registry gelöscht und auch aus dem Taskmanager entfernt usw usw, aber mir scheint es als ob dieser Trojaner oder was auch immer direkten Zugriff auf meinen PC findet.

Er umgeht sogar Adaware obwohl das Programm meldet, das defragfat32z.exe auf meinen Computer will. noch bevor ich Block wählen kann, habe ich schon wieder das NT Fensterchen auf meinem Schirm

Ich weiss schon das ich den reboot-Prozess mit "shutdown -a" unterdrücken kann.
Ich habe nun hier auch mal mit dem Hijacker meinen LogFile gepostet, vielleicht entdeckt ihr ja auch noch etwas

Vielen Dank schonmal im vorraus:

Logfile of HijackThis v1.98.2
Scan saved at 16:45:14, on 07.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Programme\Geek Superhero\GeekSuperhero.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\FX Teleport\Server.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Geek Superhero\GeekSuperhero.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\Programme\CachemanXP\CachemanXP.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Opera75\opera.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\ABC\abc.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\Explorer.EXE
F:\-- STORAGE --\PROXX\SYSTEM\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [Geek Superhero] C:\Programme\Geek Superhero\GeekSuperhero.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [FX Teleport Server] C:\Programme\FX Teleport\Server.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: UMScheduler 2.0.lnk = C:\Nokia\Update_Manager\bin\UMScheduler.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Bug Swatter Options - {99FEA1A2-7881-11D1-A9E2-00403320FCF2} - C:\Programme\Geek Superhero\GeekSuperHeroBugSwat.dll
O9 - Extra button: Popup Slapdown Options - {A1100DDB-B277-4CAA-A640-B299D79FE25E} - C:\Programme\Geek Superhero\GeekSuperHeroSlapdown.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://bin.mcafee.com/molbin/shared/...1/mcinsctl.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ED41BE9-DD56-4071-A85A-A6A4D64CD78A}: NameServer = 217.237.151.97 217.237.150.33
O18 - Filter: text/html - {99FEA1B2-7881-11D1-A9E2-00403320FCF2} - C:\Programme\Geek Superhero\GeekSuperHeroBugSwat.dll

@Waywyn
es handelt sich um
http://www.sophos.de/virusinfo/analy...2linkbota.html

dieser wurm hat backdoorqualitäten, d.h. dein system ist unter Umstände schon kompromittiert
http://www.mathematik.uni-marburg.de...ompromise.html
du hast die wahl, neu aufsetzen würde ich machen.

wenn du dass nicht möchtest, dann wechsle in den abgesicherte modus
und fixe
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
dieseneinträge kenne ich nicht
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
wenn du diesen findest dann manuell löschen
defragfat32z.exe

beim neu aufsetzen
Manchmal reicht es nicht, einfach nur gefundene Malware ( Viren/Wuermer/Backdoor) zu loeschen und denken, das alles wieder so funktioniert, wie man es gewohnt ist. Denn man kann nicht uberpruefen, was diese Malware bereits mit dem System angestellt bzw veraendert und installiert hat. In manchen Faellen ist das System nach so einer Reinigung, besonders wenn "echte" Viren beseitigt wurden, immer noch sehr instabil.

In solchen Faellen ist die sauberste Lösung, das System neu aufzusetzen:


1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html )
2.) VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren ( http://www.microsoft.com/germany/ms/...windowsxp.mspx )
3.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
4.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
5.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) und mails nur als Textversion, nicht in html anzeigen lassen
6.) Vorsichtig bleiben, nur wirklich als sicher bekannte Mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können ( http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html ), besondere Vorsicht ist bei allen erotischen und [warez] -Seiten geboten
7.) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
8.) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern ueberlegen, ob sie wirklich noetig sind oder moegliche Alternativen in betracht ziehen
9.) keine alten Passworte wiederverwenden, sondern alle neu anlegen
10.) Konsequenzen aus dem Vorfall ziehen und ggf. das eigene Sicherheitskonzept entsprechend anpassen

und Infos zu dem, was Malware alles kann:

http://www.heise.de/newsticker/meldung/44869
http://www.heise.de/newsticker/meldung/46634
http://www.heise.de/newsticker/meldung/51689

Lektüre für die Zukunft:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/
http://faq.jors.net/virus
http://www.dingens.org/
http://ntsvcfg.de/

Anleitung groesstenteils von User MountainKing aka aelfric uebernommen
--
MfG Ralf

eventuell kannst du noch mit escan dein glück versuchen
http://www.trojaner-board.de/showthread.php?t=8131


chaosman

Hi Ralf...

Wow, vielen Dank für diese ausführliche Antwort.

Ich hätte nur noch eine Frage.
Was meinst Du damit wenn Du sagst, gehe in den abgesicherten Modus und fixe:

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
dieseneinträge kenne ich nicht
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
wenn du diesen findest dann manuell löschen
defragfat32z.exe

soll ich einfach in den abgesicherten Modus gehen und die Sachen löschen oder mit dem Hijacker Tool die entsprechen Einträge ankreuzen ???

Mit dem Rest kenn ich mich zum Glück dann aus Vielen Dank nochmal!

@Waywyn
ich heiße nicht Ralf
war nur ein Zitat

also wechsle in den abgesicherten modus und fixe(häkchen setzen und Fix Checked klicken) bei Hijackthis.
schau dir genau die einträge an, ich postete: "wenn du diesen nicht kennst".

Oke??
chaosman

achsooo. alles klar danke nochmal

so, ich nochmal:

ich hab nun escan durchlaufen lassen, der im abgesicherten modus bestimmt 10 datein gefunden hat die infiziert waren. darunter war ein virenpaket im system32 ordner versteckt.

diese hies: ycr.exe

dann habe ich zusätzlich die fixes ausgeführt, die du mir beschrieben hattest, jo und nun habe ich nochmal einen hijack scan gemacht. vielleicht kannst du mal bei lust und laune nochmal drüberschauen

Logfile of HijackThis v1.98.2
Scan saved at 20:17:33, on 07.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Programme\Geek Superhero\GeekSuperhero.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Geek Superhero\GeekSuperhero.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\Programme\CachemanXP\CachemanXP.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Opera75\opera.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\Explorer.EXE
F:\-- STORAGE --\PROXX\SYSTEM\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [Geek Superhero] C:\Programme\Geek Superhero\GeekSuperhero.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [FX Teleport Server] C:\Programme\FX Teleport\Server.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: UMScheduler 2.0.lnk = C:\Nokia\Update_Manager\bin\UMScheduler.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Bug Swatter Options - {99FEA1A2-7881-11D1-A9E2-00403320FCF2} - C:\Programme\Geek Superhero\GeekSuperHeroBugSwat.dll
O9 - Extra button: Popup Slapdown Options - {A1100DDB-B277-4CAA-A640-B299D79FE25E} - C:\Programme\Geek Superhero\GeekSuperHeroSlapdown.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://bin.mcafee.com/molbin/shared/...1/mcinsctl.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ED41BE9-DD56-4071-A85A-A6A4D64CD78A}: NameServer = 217.237.151.97 217.237.150.33
O18 - Filter: text/html - {99FEA1B2-7881-11D1-A9E2-00403320FCF2} - C:\Programme\Geek Superhero\GeekSuperHeroBugSwat.dll

@Waywyn
in dein logfile sehe ich nichts besonderes
chaosman

ja prima doch danke dir nochmal.
wenn das nächste mal was auftreten sollte, werde ich einfach formatten.

das klingt jetz vielleicht blöd, aber irgendwie hab ich das gefühl das mein rechner wieder viel schneller ist. ich dachte ja echt ich hätte mittlerweile echt plan und hab schon vielen leuten aus der patsche geholfen, aber irgendwie scheint das wohl kein ende zu nehmen