!! Hilfe!!! Verzweiflung!! System wird immer wieder Infiziert
 

Hallo, ich weiss einfach nicht mehr weiter, mein Rechner scheint sich einen Spaß daraus zu machen mich zum Wahnsinn zu treiben, vielleicht hat jemand ähnliche Probleme gehabt oder eine Ahnung was hier los sein könnte. Am Besten natürlich gleich eine Lösung.
Denn ich sitze seit Tagen fast durchgehend an meinem Rechner, habe mehr als genug XP Installationen hinter mir und sehe keinLicht am Ende des Tunnels.
Vielen Dank im Vorraus an alle

Folgendes ist passiert:

Kaspersky hat bei mir einen Virus gefunden, den es nicht löschen konnte. Nach dem ich XP-SP2 auf meinem rechner neu installiert hatte, könnte er rebootet haben, auf jeden Fall sollte ich mich neu anmelden nachdem ich an den Rechner kam, mein Passwort wurde jedoch nicht akzeptiert. Nach der ersten Installation von XP + Sp2 trat der im Inet viel diskutierte Fehler beim Vorgang writen o. read auf den Speicher auf. Ein abstellen der Datenausführungsverhinderung brachte keine Verbesserung.

Ich habe dann einfach neuinstalliert, allerdings ohne SP2.

Wärend ich meine erforderlichen Programme installierte, wurde mein Rechner extrem Langsam weil eine drwtsn.exe mein ganzes System auslastete. Nach löschen der drwtsn.exe und einer ähnlich benannten Datei aus Windowsverzeichnis und Reboot, war das Problem behoben. AntiVir fand weiterhin auf den Daten-partitionen keine Viren. Als nächstes habe ich Java runtimeenvironments installliert, kurz danach meldete AntiVir diverse Viren, die alle irgenwo auf C. zu finden waren. Dessweiteren wurden auch meine Freigaben im LAN irgendwie verändert, denn ich selbst durfte nicht mehr auf sie zugreifen. Ein löschen dieser Dateien mit AntiVir brachte keinen Erfolg da die Meldungen immer weiter gingen.

Ich Installierte XP neu (inklusive formatieren von C:), diesmal aber stöpselte ich alle HDDs ausser der auf der nur die Systempartition lag ab. Danach funktionierte das System ohne Virenmeldungen. Jetzt installierte ich Java, immernoch keine Probleme. Aber als ich dann die anderen HDDs wieder anschloss wurden bald Viren auf C: gefunden und die svchost.exe lasstete das System aus. Auf den Daten-partitionen aber waren keine Viren zu finden.

Die Probleme waren allerdings kurzzeitig verschwunden nachdem ich Java wieder Deinstalliert hatte. Da ich aber dem Braten nicht traute, installierte ich Java erneut, und alles schien O.K. zu sein, bis ein paar reboots später die svchost.exe wieder anfing das gesammte System auszulasten. mit dem Befehl "tracklist/svc | more" lies ich mir die von der svchost.exe verwalteten Anwendungen ausgeben, und fand hier nichts verdächtiges, Die anschliesssende Installation von SP2 überlebte das System nicht, und auch die Anweisungen von Microsoft zum Deinstallieren von SP2 brachten keinen Erfolg.

Also wieder von vorne. Dies mal war alles wie zuvor, Java + Daten-partitionen = Virusmeldungen, nur diesmal verschwanden die Virusmeldungen nicht, auch wenn ich Java wieder deinstallierte.
Gemeldet wurden von AntiVir u.a. folgende Viren auf C:

WORM/Sdbot.55591
SDbot
Rbot
W32/Virut.A
WORM/Rbot.147456.22
W32/Virut.A
WORM/Spybot.47616.3
Worm/IRCBot.381952
WORM/Rbot.147456.22

Das Auswertungsscript von HijackThis fand zu diesem Zeitpunkt nichts verdächtiges ausser einer laufenden alrs.exe, die weder von HijackThis gefixt noch vom Taskmanager dauerhaft beendet werden konnte.
Bei der nächsten Installation habe ich mich unbewusst ziemlich genau an die hier im Forum zu findene Anleitung zur sicheren Installation von XP gehalten, nur musste ich um AntiVir und SP2 zu saugen kurz mit dem IE auf chip.de gehen. Die eventuell verseuchten Daten-Partitionen habe ich natürlich wieder vor der Installation abgestöpselet. Aber auch mit SP2 und den nachträglich drangehängten Daten-Partitionen trat ein neues Problem auf. Virenmeldungen gab es nicht. Aber einige Minuten nach einem Neustart und verbinden mit dem Internet (DSL-flat), kann ich die Leitung nicht mehr benutzen, den Status der Verbindung nicht öffnen, und mein System sagt der Firewall-Dienst könne nicht gestartet werden. Nach einem Neustart funzt das Inet dann wieder für ein paar Minuten, bis dann alles wieder beim alten ist, und Inet und Firewall nicht mehr funzen. Achja, Java habe ich bei dieser Installation bisher nicht installiert.

Was soll ich tun? Ich kann zwar ein sicheres System aufsetzten, aber sobald ich meine Daten-Partitionen anhänge gehen die Probleme los. Würde wirklich ungerne sämmtliche Daten auf diesen Partitionen löschen. Sollte ich die Daten brennen können, wird doch vermutlich das nächste System wieder infiziert werden sobald ich die DVDs dann lese. Gibt es vielleicht eine Mögl. mit einem Linux von CD (Knopix o. ä.) die Datenpartitionen zu desinfizieren? Wohlgemerkt zu keinem Zeitpunkt konnte ich mit AntiVir oder Fprot Viren auf den Daten-Partitionen finden! Ich vergas: die Probleme mit dem Speicher sind nur bei der einen Installation aufgetreten, gehe daher davon aus das der nicht der Schuldige ist.
Hier noch die aktuelle HijackThis.log:

Logfile of HijackThis v1.99.1
Scan saved at 16:36:42, on 14.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AnalogX\Proxy\proxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\bfgm\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ManualRun] "D:\AUTORUN\AutoRun.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DaemonTools_WhenUSave_Installer] C:\Programme\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Hnet.lnk = ?
O4 - Startup: Proxy.lnk = C:\Programme\AnalogX\Proxy\proxy.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Hardware:
AMD x64 3000+
1024 MB RAM
3 NICs
Gforce FX5200

Vielen Dank fürs durchlesen.
MfG BFGM

Hallo und willkommen im Forum ;)

1.) Ich denke das auf irgendeiner Festplatte der Schädling sitzt!
*zumal ich wissen müsste, ob du Java nach der Installation "neu" aus dem Netz gezogen hast, oder ob es auf, wie du sagst, der Datenfestplatte(n) vorlag?

2.) warum ist ein Proxy eingerichtet, oder warum hast du es vor?
(wäre auch ein wichtiger Grund!)

3.) Kennst du dieses Programm?

gerade diese gepackten Dateien, können noch mehr beinhalten ;)
Abgesehen davon solltest du deine Surfgewohnheiten überdenken, ich glaube du weißt was ich meine! (Proxy, Daemon Tools, P2P usw.) ;)

Gruß
Sunny

Hallo und erst mal dickes Danke für die Antwort,

1.) Die Vermutung das einer der Daten-partitionen infiziert ist hab ich auch.

1.1) Sämmtliche installierte software habe ich durch AV, Firewall und spybot geschützt, von chip.de und anderen sehr vertrauenswürdigen websites geladen.

2.) Der proxy kanns meines Erachtens nach nicht sein, den Benutze ich seit Jahren problemlos. Der stammt von analogX, und lässt nur Anfragen die von der MAC-Adresse des zweiten Rechners kommen durch (der zweite Rechner ist aber auf keinen Fall der Auslöser). Lange Rede kurzer Sinn: Der isses auch nicht.


Ein gekauftes Spiel im CD-Laufwerk


War beim Daemon Tools dabei, nervt mich auch, is jetzt weg. Glaubst du das die auf ihrer Seite Viren verteilen?

Gepackte Dateien? Meinst du die Installationsdateien? Dabei fällt mir ein: Was macht ein Virenscanner (bei mir AntiVir) eigenlich mit gepackten und passwortgeschützten Archiven?

MfG BFGM

Chip.de vertrauenswürdig??? :D Das lass ich mal so stehen :aplaus:

Spaß bei Seite, es ist nur wichtig zu wissen, ob du nach der Neuinstallation deine Software (Treiber, Programme usw.) von der Platte aus installiert hast (welche also schon/noch gespeichert war!), oder aber "frisch" gezogen hast ;)

Ich hatte die Vermutung, das hier bestimmte Filesharing Programme (Kazaa, emule etc.) genutzt werden.
Daher her auch das hier...
..Daemon tools wird nicht der Auslöser, kommt drauf an wo du es gesaugt hast. Was mich dabei irretiert, ist der Zusatz bei der Installationsdatei:

Dabei dreht es sich normalerweise um Spyware.

Bei passwortgeschützten Archiven sollte Antivir die Datei nicht scannen können (meiner Meinung!), aber was du mal versuchen kannst ist das hier -> Trend Micro Housecall

Lass hier mal alle Festplatten überprüfen, auch die Datenfestplatten.
Der Scan wird zwar etwas dauern, aber danach wissen wir (eventuell!) mehr!
(ACHTUNG: Der Scan funktioniert nur mit dem Internet Explorer!)

Gruß
Sunny

Hallo Sunny,
danke für den Tip, der scanner von trend Micro scheint etwas zu finden, aber da dann immer schon mein Internet nicht mehr funktioniert, kann er nix mehr löschen. Werd wohl noch mal neu installiern nach Anleitung, und Versuchen dann den scan durchzuführen. Muss morgen nur erst mal Oma besuchen, und werde daher vermutlich vor Montag keine neuen Ergebnisse haben. Sobald ich die aber habe melde ich mich hier.
Ach ja, alles war frisch, und mit hoher Sicherheit auch clean, kann nur hoffen das Seiten wie chip.de & sourceforge keine Viren verbreiten.
Vielen Dank noch mal für die Hilfe. :daumenhoc
Greetz BFGM

Hi!!

Ich hatte das gleiche Problem und der AVG Scanner hat beste Arbeit gemacht :daumenhoc

Das war wohl die Datei die die Upload verursacht hat :headbang:

Ich habe nach dem durchlauf des PRG auf jeden Fall ruhe :knuddel:

DANKE an dieser Stelle für die Tipps :aplaus:

Gruß Schumi