hartnäckiges eraseme-Problem
 

Nachdem die neue Zonealarm-Version bei Windows 2000 nicht mehr funktioniert, ist bei mir ein Problem aufgetreten. Ob dies mit Zonealarm zusammenhängt oder nicht, weiß ich nicht. Wie ich lese, bin ich nicht der einzige, der mit Windows 2000 und der neuen Zonealarm-Version Probleme hat.

Zurück zum eigentlichen Problem:
AnviVir meldet seit einigen Tagen zwei .exe-Dateien, die "worm/spybot.257536" enthalten. Wenn ich die Dateien löschen lasse, taucht das ganze wieder auf.
Die exe-Dateien sind: incoa.exe und eraseme_27522.exe (die Zahl hinter _... hat sich geändert, es kam auch 02814, glaube ich).
Was mich noch mehr beunruhigt: Wenn diese icoa-Datei von Antivir gelöscht werden soll, kommt so eine Meldung "omfg u crack exe?".

Die Dateien befinden sich im C:winnt-Ordner oder C:winnt\system32. Ich hab die Dateien anfangs nicht gefunden, erst als ich auch unsichtbare Dateien anzeigen ließ, waren sie zu sehen. Ich konnte die eraseme-Datei gestern Abend manuell löschen, heute Morgen kam wieder der AntiVir-Alarm. Hab die Dateien erneut gelöscht, icoa.exe habe ich heute Morgen erstmalig gelöscht.

Ich danke im Voraus für eventuelle Tipps und bitte zu berücksichtigen, dass ich nicht besonders erfahren bin. Weiters hoffe ich, dass eine Neuinstallation des Systems vermeidbar ist, da ich erstens auf einige Daten angewiesen bin und zweitens die Win2000-CD nicht mehr finde. :dummguck:

Mein hijackthis-Log sieht folgendermaßen aus, weiter unten die betreffende eraseme-Sache (die IP davor habe ich gelöscht, ist glaube ich meine eigene):

O23 - Service: 44534 - Unknown owner - \\***\Admin$\system32\eraseme_80520.exe (file missing)
O23 - Service: 84746 - Unknown owner - \\***\Admin$\eraseme_02075.exe (file missing)
O23 - Service: ASP .NET Debug Service - Unknown owner - C:\WINNT\incoa.exe (file missing)



Logfile of HijackThis v1.99.1
Scan saved at 10:10:13, on 12.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\TBPanel.exe
C:\Programme\ahead\InCD\InCD.exe
C:\WINNT\soundman.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.chello.at/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Gainward] C:\WINNT\TBPanel.exe /A
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} -

h**p://a1540.g.akamai.net/7/1540/52/20030523/qtinstall.info.apple.com/drakken/de/win/QuickTimeInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

h**p://software-dl.real.com/10ad984ff37a39da7615/netzip/RdxIE601_de.cab
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: 44534 - Unknown owner - \\***\Admin$\system32\eraseme_80520.exe (file missing)
O23 - Service: 84746 - Unknown owner - \\***\Admin$\eraseme_02075.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition

Classic\avguard.exe
O23 - Service: ASP .NET Debug Service - Unknown owner - C:\WINNT\incoa.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. -

C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

möchte nicht unverschämt sein, aber da ich mir Sorgen mache, hoffe ich, dass sich bald jemand mein Logfile ansieht.

VirusAlarm gab's seit heute Morgen (noch) nicht.

Da das ein Wurm mit Backdoor-Fähigkeiten ist, bleibt nur formatieren und Neuaufsetzen. Anleitung siehe Sig unte "Backdoor entfernen".

Gruß :daumenhoc
Yopie

Erstmal vielen Dank für deine Antwort!

Meine schlimmsten Befürchtungen haben sich also bewahrheitet.

Kann ich meine MP3, Videos und sonstige Daten (Office-Dokumente) in der Zwischenzeit sorglos auf einer externen Festplatte speichern, d.h. gefährden das neue System dann nicht?

Alles, was nicht ausfürhbar ist, kann gesichert werden!

Gruß :daumenhoc
Yopie