hallo zusammen,

seit 2 tagen habe ich die datei fag.exe auf dem rechner, habe das daran gemerkt, dass meine firewall mich fragte, ob fag.exe eine verbindung zum internet herstellen darf.
ich habe im netz bereits gesucht und auf der seite von sophos und einer anderen seite einige infos zu diesem trojaner gefunden. allerdings scheitern alle versuche, dieses mistteil loszuwerden [img]graemlins/schrei.gif[/img]
habe jetzt zahlreiche virenscans durchgeführt, aber selbst das hochgelobte sophos erkennt den nicht.

hat hier jemand einen tipp?? so weit verbreitet scheint das teil nicht zu sein, da die infos im
netz doch recht spährlich sind ...

für tipps bin ich dankbar, zumal ich auch nicht weiß, was dieser trojaner auf meinem pc so anstellt.

liebe grüße [img]smile.gif[/img]
maya

Hast Du deine Festplatte auch mit einem Anti-Trojaner Programm gescannt?

Du kannst die Datei hier prüfen:
http://www.kaspersky.com/de/remoteviruschk.html

Wird nichts Verdächtiges gemeldet, sende mir die fragliche Datei einmal zur Prüfung zu.

Frage: Wo genau liegt diese Datei?

Hi Markus,

die Datei liegt in dem Verzeichnis:
C:\WINXP\system32\f~q\fag.exe. Diesen Pfad zeigt mit jedenfalls die Firewall an. Seltsam ist nur, dass ich weder den Ordner noch die Datei im Windows Explorer finden kann und demnach die Datei auch nicht online checken kann, weil ich wie gesagt den vermeintlichen Ordner nicht öffnen kann :confused: . Sowas hab ich ja noch nie erlebt. Seltsam, woran kann das liegen?

Liebe Grüße
Maya :)

@Maya: Du musst mal in den Explorer-Einstellungen (Extras=>Ordneroptionen=>Ansicht) folgendes machen:
=> Alle Ordner und Dateien anzeigen aktivieren (unter "versteckte Ordner und Dateien")
Ich würde auch das Häkchen bei "Erweiterungen bei bekannten Dateitypen ausblenden" rausnehmen.

Dann suche mal manuell im Ordner "C:\WINXP\system32\" nach allen Unterordnern beginnend mit "F"

hi shadow,

auf die idee war ich schon gekommen und hatte die Einstellung im WE bereits geändert, leider brachte das nichts, der ordner ist nicht zu finden :confused: man das macht mich bekloppt
[img]graemlins/schrei.gif[/img]

Zeigt die Firewall das immernoch an, oder ZEIGTE (vergangenheit) sie dies blos an?
Möglicherweise hat dann nämlich einer der Virenscanner (von Dir nicht bemerkt) dies gelöscht oder unter "Quarantäne" gestellt. Schau mal in den Logs der Scanner nach.

Vielleicht legt die Malware nur zum Zeitpunkt des Verbindungsversuches diesen Ordner mit Datei temporär an und löscht dies danach sofort wieder. Wäre (leicht) möglich und denkbar.

Wie gut bist Du mit REGEDIT vertraut? Sonst suche mal manuell nach "verräterischen" Einträgen (wie z.B. bei Sophos beschrieben).

Muss ja auch nicht DIESER Wurm sein, auf "FAQ.EXE" leigt kein Copyright ;)

Suche auch mal im Systemordner nach "WIN32.EXE"

[ 07. Februar 2004, 14:19: Beitrag editiert von: Shadow ]

HijackThis wird Unklarheiten beseitigen: http://www.chip.de/downloads/c_downloads_11353576.html

Bitte anschl. dein Logfile posten.

Hallo,
wenn es um diese Datei sich handelt, würde ich TrendmicroHousecall in Anspruch nehmen.

hi zusammen,

also trendmicro hatte ich bereits heute morgen ausprobiert. die möglichkeit mit dem task manager ging nicht, weil der die datei nicht in den arbeitenden prozessen angezeigt hat. und über regedit waren keine bösewichter zu finden, die ich hätte killen können.

aber: die datei arbeitet immer noch irgendwie, irgendwo.

und mit HijackThis komme ich überhaupt nicht klar, weiß auch nicht, wie dieses programm da helfen sollte.

weiß nicht jemand noch ne lösung??? auf format c hab ich ehrlich gesagt keine Lust.

Help!

Maya [img]graemlins/headbang.gif[/img]

hier der logfile:

Logfile of HijackThis v1.97.7
Scan saved at 20:30:38, on 07.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~2\SERV-U\SERVUD~1.EXE
C:\WINXP\System32\svchost.exe
C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINXP\system32\ZONELABS\vsmon.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINXP\System32\ctfmon.exe
C:\WINXP\twain_32\S6U12BX\WATCH.exe
C:\Program Files\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
C:\WINXP\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Medusa\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Mayas%20Startseite.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\WINXP\Speech\Dragon\web_ie.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winxp\downloaded program files\googletoolbar_de_2.0.106-big.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winxp\downloaded program files\googletoolbar_de_2.0.106-big.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gtwatch] C:\WINXP\gtwatch.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ad-watch] C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C42 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINXP\System32\E_S5A.tmp"
O4 - HKCU\..\Run: [~~g] C:\WINXP\System32\f~q\fag.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINXP\twain_32\S6U12BX\WATCH.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
O8 - Extra context menu item: &Google Search - res://c:\winxp\downloaded program files\GoogleToolbar_de_2.0.106-big.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\winxp\downloaded program files\GoogleToolbar_de_2.0.106-big.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\winxp\downloaded program files\GoogleToolbar_de_2.0.106-big.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\winxp\downloaded program files\GoogleToolbar_de_2.0.106-big.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .MOV: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1104.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/12b050edad1b384...dxIE601_de.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...647.6210416667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.bilder.de/service/service/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{597B3A0D-2405-465F-816B-4766B05BA7C7}: NameServer = 217.5.99.9 194.25.2.129

@mayaria

Hier liegt die Wurzel des übels:

O4 - HKCU\..\Run: [~~g] C:\WINXP\System32\f~q\fag.exe

Vielleicht findeste die Datei ja dort...

@shadow

Die Beschreibung sieht ganz nach dem gesuchten Teil aus...

hi,

ja klar, der hat mir das jetzt angezeigt im logfile - hab ich direkt gesehen - aber was nun????

die datei ist nicht zu finden über den explorer und auch das fixieren bringt da nichts, oder mach ich da was verkehrt???

grüßle

</font><blockquote>Zitat:</font><hr />
ja klar, der hat mir das jetzt angezeigt im logfile - hab ich direkt gesehen - aber was nun????
</font>[/QUOTE]...lösche diesen schlüssel regedit-öffnen -schlüssel finden-löschen -fertig. Worauf wartest du noch?

[ 07. Februar 2004, 23:24: Beitrag editiert von: Rene-gad ]

Bitte anschließend unbedingt www.windowsupdate.com besuchen und hier die neusten Updates herunterladen.

Sonst wirst du in absehbarer Zeit öfters hier vorbeischauen müssen.