Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Letzter schrei eines virus "aaaaaaaaaaaaaaaaa" (https://www.trojaner-board.de/649-letzter-schrei-virus-aaaaaaaaaaaaaaaaa.html)

burelli 09.01.2004 16:13
hallo allerseits,
ich kann nur vermuten das ich es mit einem virus zu tun habe, denn noch kein einziger von zig getesteten antiviren-proggs findet irgendetwas.

symtom:
wenn ich eine datei lösche, verwandelt sich der dateiname in ein langes aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa,
anschließend ist das windows so langsamm das nur noch reset hilft.

infiziert werden alle arten von datein
videos, pdf, sys - datein, einfach alles

beobachtet habe ich das unter windows2000, xp, server2000 und 2003, das ganze netzwerk also.

wer hat ähnliches erlebt und weiß wie man es bekämmpft.

vielen dank an alle die helfen können.
gruß jan

CyberFred 09.01.2004 16:46
</font><blockquote>Zitat:</font><hr />Original erstellt von burelli:
ich kann nur vermuten das ich es mit einem virus zu tun habe, denn noch kein einziger von zig getesteten antiviren-proggs findet irgendetwas.</font>[/QUOTE]Welche Programme hast du denn ausprobiert? Ich würde dir KAV empfehlen.

ciao

Lutz 09.01.2004 17:35
Moin und Willkommen im Board burelli,

das Problem kenne ich in der Art zwar nicht, aber vielleicht bringt ja ein Scan mit http://216.180.233.153/~merijn/files/HijackThis.exe etwas Licht ins Dunkel. Achtung: Dies ist ein direkter Download-Link!!

Eine Kurzanleitung zu HijackThis findest Du bei trojaner-info.de .

tschööö, DerBilk

janerik 09.01.2004 20:41
Hatten wir nicht vor einem Jahr mal dieses Problem, dass Dateien mit extrem langen Dateinamen (aaaaa...) erzeugt wurden ? Muss den Thread mal suchen.

burelli 12.01.2004 13:59
danke erst mal an alle

@CyberFred
einfach alles :)
also f-prot, norton (diverse versionen), avk, avg, pc-cillin, mcaffee, keiner zeigt was.

@janerik
währ supper wenn du noch was ausgräbst. ich hab nämlich keinen plan mehr und find auch sonst nix im web.

@DerBilk
das mit dem hijack hab ich noch nicht ganz verstanden? kannst du mir einen kurzen überblick verschaffen?

gruß jan

Lutz 13.01.2004 16:14
Moin,

HijackThis ist ein kleines Tool, dass Dir recht übersichtlich alle Prozesse anzeigt, die bei (bzw. seit dem) Systemstart gestartet wurden. Außerdem zeigt es die hierfür relevanten Einträge in der Registry an.

Dieses Tool ist sicherlich kein Allheilmittel, aber wenn Du es einmal ausführst und das Log hier postest (wie das geht steht auf trojaner-info.de -siehe 2. Link in meinem vorherigen Post), können wir evtl. etwas erkennen, was für Dein Problem verantwortlich ist.

tschööö, DerBilk

CyberFred 13.01.2004 17:51
</font><blockquote>Zitat:</font><hr />Original erstellt von janerik:
Hatten wir nicht vor einem Jahr mal dieses Problem, dass Dateien mit extrem langen Dateinamen (aaaaa...) erzeugt wurden ?</font>[/QUOTE]Meinst du Kato?

ciao

burelli 14.01.2004 15:29
@CyberFred
danke für den hinweis,
ich hab mich heute mal durch den ganzen beitrag gewällst.

was kato durchgemacht hat kann ich auf die lange datei mit den aaaaaaaaaaa's bezogen nur bestätigen.

aber ich kann das phänomen reproduzieren.

- es taucht meistens auf wenn ich größere datein lösche. die zurückbleibende datei dessen name sich in die aaaaaaaaaaaa's verwandelt hat immer die größe der original datei.
- anschließend ist der pc nicht mehr zu gebrauchen. windows runterfahren nicht mehr möglich. nach einem reset kann die aaaaaaaaaa datei gelöscht werden.
- das phänomen ist auch noch nach einer neu installation von windows vorhanden (nacktes windows ohne alles und ohne netzwerk/internet) und mitlerweile auf mehreren rechnern zu beobachten. der ursprung ist nicht mehr nach zu vollziehen.

nur wie gesagt ich kann das phänomen jetzt reproduzieren.

ich werde in den nächsten tagen mal HijackThis ausprobieren und das ergebnis hier posten. danke @DerBilk

ich hab kato mal angemailt, vielleicht hat er's ja in den griff bekommen.

vielen dank an alle,
mal sehen was dabei rauskommt,
gruß burelli

CyberFred 14.01.2004 17:42
Komisch... Katos Problem hatte ich mir nur mit irgendwelchen Hardwaredefekten erklären können. Wäre mal interessant zu wissen, welche Hardware eure beiden PCs gemeinsam haben...

ciao

burelli 16.01.2004 13:07
@CyberFred
das ist kein hardware ding. ich habs mitlerweile auch auf meinem notebook :-(

ich nutze eine externe firewireplatte und kaum hatte ich auf der eine datei gelöscht die sich dann schreiend in aaaaaaaaaaaaaaaa's verwandelte war das problem auch auf dem notebook. natürlich jetzt auch ohne das die firewire platte dranhängt.

cu, gruß jan

burelli 21.01.2004 16:28
hallo an alle die zu helfen versuchen.
ich sollte ja mal ein log des hijackthis posten:

-------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 16:12:40, on 21.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\VS KEN!\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\VS KEN!\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\VS KEN!\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\TuneUp Utilities\memoptimizer.exe
C:\Programme\PGP Corporation\PGP for Windows XP\PGPtray.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Symantec\LiveUpdate\AUpdate.exe
C:\Programme\Ahead\Nero\nero.exe
C:\Dokumente und Einstellungen\jan.KRINES\Eigene Dateien\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\jan.KRINES\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.115.254:3128/ken.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.99.2:3128/ken.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.115.254:3128;http=192.168.115.254:3128;https=192.168.115.254:3128;socks=192.168.115.254:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\VS KEN!\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\memoptimizer.exe autostart
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: Verknüpfung mit default.lnk = C:\default.bat
O4 - Global Startup: PGPtray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://192.168.99.2:3128/ken.html
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...999.3486342593
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = krines.local
O17 - HKLM\Software\..\Telephony: DomainName = krines.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{44EDA0D2-903A-418B-AD4F-CCB9292147C2}: NameServer = 192.168.115.254,145.253.2.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = krines.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{44EDA0D2-903A-418B-AD4F-CCB9292147C2}: NameServer = 192.168.115.254,145.253.2.11
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = krines.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{44EDA0D2-903A-418B-AD4F-CCB9292147C2}: NameServer = 192.168.115.254,145.253.2.11
--------------------------------------------------

ich konnte nichts verdächtiges feststellen, aber vielleicht seht ihr ja noch was darin.

vielen dank an alle,
gruß jan

burelli 21.01.2004 17:13
hallo allerseits,

ich hab mal einen screenprint von einer gerade verwandelten datei gemacht. das bild zeigt deutlich die aaaaaaaa datei und was passiert wenn man versucht diese zu löschen.

http://www.krinesberlin.de/jan/virus.jpg

ein par sekunden später geht gar nichts mehr und es hilft nur noch der reset. nach dem neustart kann die datei übrigenz einfach gelöscht werden.

vielleicht fällt einem von euch ja noch was ein. mein latein ist am ende. und das ganze ist ganz schön nervig.

gruß jan

buchbera 16.03.2005 11:46
Hallo Burelli!

Wie hast Du das Problem gelöst?
Danke für die Info!


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131