Trojaner-Board - Die "Legendäre" 5.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Die "Legendäre" 5.exe (https://www.trojaner-board.de/8668-legendaere-5-exe.html)

Die "Legendäre" 5.exe

Hi @ all,
neuerdings habe ich immer einen Fehler wenn ich ganz normal am PC sitze.
Alle 2 Minuten kommt immer:
16 Bit-Dos-Teilsystem
Die NTVDM-CPU hat einen ungültigen Befehl entdeckt.
CS:0fc1 IP:029c OP:63 6f 6c 6f 72 Klicken Sie bitte auf "Schließen" um die Anwendung zu beenden.
Ich kann so nicht am PC arbeiten oder etwa CS spielen.
Es nervt ungemein.
Wie kann man das abstellen?
PS: wenn ich offline bin kam der Fehler bisher noch nicht.

// eScan findet nichts und AntiVir XP stürtst nach einer Zeit auch ab, sowie der MC Afee Stinger ebenfalls nichts findet.
Wenn das nur ein Windows Fehler ist, sagt mir bitte wie ich ihn beheben kann.

eScan Log:

Thu Oct 21 18:39:10 2004 => ***** Scanning Memory Files *****
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\system32\services.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\system32\lsass.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\system32\svchost.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\system32\logonui.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\system32\spoolsv.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\Explorer.EXE
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\System32\wuarclt.exe
Thu Oct 21 18:39:10 2004 => Scanning File C:\WINDOWS\System32\RUNDLL32.EXE
Thu Oct 21 18:39:10 2004 => Scanning File C:\PROGRA~1\0900WA~1\w0svc.exe
Thu Oct 21 18:39:11 2004 => Scanning File C:\WINDOWS\System32\alg.exe
Thu Oct 21 18:39:11 2004 => Scanning File C:\WINDOWS\System32\nvsvc32.exe
Thu Oct 21 18:39:11 2004 => Scanning File C:\PROGRA~1\INTERN~1\iexplore.exe
Thu Oct 21 18:39:11 2004 => Scanning File C:\Programme\AVPersonal\AVWUPSRV.EXE
Thu Oct 21 18:39:11 2004 => Scanning File C:\DOKUME~1\Marc\LOKALE~1\Temp\mwavscan.com
Thu Oct 21 18:39:11 2004 => Scanning File C:\DOKUME~1\Marc\LOKALE~1\Temp\kavss.exe

Thu Oct 21 18:39:11 2004 => ***** Scanning Registry Files *****
Thu Oct 21 18:39:11 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Thu Oct 21 18:39:11 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
Thu Oct 21 18:39:11 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Thu Oct 21 18:39:11 2004 => Scanning HKCU\Control Panel\Desktop
Thu Oct 21 18:39:11 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Thu Oct 21 18:39:12 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Thu Oct 21 18:39:12 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Thu Oct 21 18:39:12 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Thu Oct 21 18:39:12 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Thu Oct 21 18:39:13 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Thu Oct 21 18:39:13 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Thu Oct 21 18:39:13 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Thu Oct 21 18:39:13 2004 => Scanning HKCR\txtfile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\comfile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\exefile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\dllfile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\batfile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\piffile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\scrfile\shell\open\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\scrfile\shell\config\command
Thu Oct 21 18:39:13 2004 => Scanning HKCR\regfile\shell\open\command

Thu Oct 21 18:39:13 2004 => ***** Scanning StartUp Folders *****

Thu Oct 21 18:39:13 2004 => ***** Scanning C:\Dokumente und Einstellungen\Marc\Startmenü\Programme\Autostart Folder *****
Thu Oct 21 18:39:13 2004 => Scanning Folder: C:\Dokumente und Einstellungen\Marc\Startmenü\Programme\Autostart\*.*

Thu Oct 21 18:39:13 2004 => ***** Scanning C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Folder *****
Thu Oct 21 18:39:13 2004 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\*.*

Thu Oct 21 18:39:13 2004 => ***** Scanning Service Files *****
Thu Oct 21 18:39:13 2004 => Scanning HKLM\SYSTEM\CurrentControlSet\Services
Thu Oct 21 18:39:14 2004 => ERROR!!! Invalid Entry System32\DRIVERS\fetnd5.sys in SYSTEM\CurrentControlSet\Services\FETNDIS...

Thu Oct 21 18:39:18 2004 => ***** Scanning System32 Folders *****
Thu Oct 21 18:39:18 2004 => Scanning C:\WINDOWS Directory
Thu Oct 21 18:39:18 2004 => Scanning Folder: C:\WINDOWS\*.*
Thu Oct 21 18:39:21 2004 => Scanning C:\WINDOWS\System32 Directory
Thu Oct 21 18:39:21 2004 => Scanning Folder: C:\WINDOWS\System32\*.*

Thu Oct 21 18:40:22 2004 => ***** Scanning C:\WINDOWS Folder *****
Thu Oct 21 18:40:22 2004 => Scanning Folder: C:\WINDOWS\*.*

Thu Oct 21 18:40:25 2004 => ***** Checking for specific ITW Viruses *****
Thu Oct 21 18:40:25 2004 => Checking for Welchia Virus...
Thu Oct 21 18:40:25 2004 => Checking for LovGate Virus...
Thu Oct 21 18:40:25 2004 => Checking for CodeRed Virus...
Thu Oct 21 18:40:25 2004 => Checking for OpaServ Virus...
Thu Oct 21 18:40:25 2004 => Checking for Sobig.e Virus...
Thu Oct 21 18:40:25 2004 => Checking for Winupie Virus...
Thu Oct 21 18:40:25 2004 => Checking for Swen Virus...
Thu Oct 21 18:40:25 2004 => Checking for JS.Fortnight Virus...
Thu Oct 21 18:40:25 2004 => Checking for Novarg Virus...
Thu Oct 21 18:40:25 2004 => Checking for Pagabot Virus...
Thu Oct 21 18:40:25 2004 => Checking for Parite.b Virus...
Thu Oct 21 18:40:25 2004 => Checking for Parite.a Virus...

Thu Oct 21 18:40:25 2004 => ***** Scanning complete. *****
Thu Oct 21 18:40:25 2004 => Total Number of Files Scanned: 2285
Thu Oct 21 18:40:25 2004 => Total Number of Virus(es) Found: 0
Thu Oct 21 18:40:25 2004 => Total Number of Disinfected Files: 0
Thu Oct 21 18:40:25 2004 => Total Number of Files Renamed: 0
Thu Oct 21 18:40:25 2004 => Total Number of Deleted Files: 0
Thu Oct 21 18:40:25 2004 => Total Number of Errors: 1
Thu Oct 21 18:40:25 2004 => Time Elapsed: 00:01:15
Thu Oct 21 18:40:25 2004 => Virus Database Date: 2004/10/07
Thu Oct 21 18:40:25 2004 => Virus Database Count: 100274

Thu Oct 21 18:40:25 2004 => Scan Completed.

Poste mal bitte ein Hijackthis-File. Es müsste mit einem älteren DOS-Programm zu tun haben, wobei es mich wundert, dass das bei dir automatisch läuft bzw, etwas mit der Netzverbindung zu tun haben sollte.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuarclt.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\0900WA~1\w0svc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [windows update] wuarclt.exe
O4 - HKLM\..\RunServices: [windows update] wuarclt.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [windows update] wuarclt.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B512D6F-02FC-4789-8278-3FD5E429A3A1}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{2B512D6F-02FC-4789-8278-3FD5E429A3A1}: NameServer = 217.237.151.225 217.237.150.225

Es kam seid ca. 20 min nichtmehr, seidem ich irgendein Programm im Taskmanager beendet habe...
Ich habe eine Frage, kann man das Problem mit einer Batch datei unterdrücken?
Ich habe da eine erstellt.
Theoretisch könnte man auch einen antivirus daraus machen...

Hier ist der Verursacher ein aktiver Backdoor.Sdbot.gen:

Zitat:

backdoor.sdbot.gen 34 times wuarclt.exe

Quelle: http://virusscan.jotti.org/de

Zitat:

Sobald der Bot auf dem Computer des Opfers läuft macht er Folgendes:
- er versucht, verschiedene Antivirus/Sicherheits Applikationen zu beenden
- schafft und versteckt seine Kopie (gewöhnlich im Windows Ordner, und in P2P Share Ordnern)
- schafft einen Registry Key, der den Bot bei jedem Windows Start laufen lässt.
- verbindet sich mit einem vorgegebenen Irc Server und wählt einen bestimmten Kanal. Dort wartet er auf Befehle des Angreifers.
Indem der Angreifer diese Bots benutzt, kann er Folgendes tun:
Benutzung des Computers des Opfers, um:
- viele infizierte Computer zu nutzen, um einen Ddos Angriff auf eine spezielle IP Adresse/Website auszuführen.
- verschiedene Methoden, um eine anvisierte IP Addresse zu fluten
- andere Computer oder Webseiten anzugreifen unter Ausnutzung spezieller Schwachstellen (RPC/DCOM, RPC/Locator, WebDAV, etc)
- suchen nach anderen schwachen Hosts und Versuch, sich dort zu installieren
Auf dem Computer des Opfers:
- verändert die internen bot Parameter, update des Bot mit einer neueren Version, etc
- nutzt den Host als TCP proxy
- lenkt HTTP Traffic um
- stielt CD Keys von verschiedenen Applikationen/Spielen
- stielt persönliche Infos, Passwörteretc.
- verändert, zeigt verschiedene Infos an
- lädt Dateien hocfh und runter
- vernichtet/modifiziert Dateien
- beendet Programme
- Beendet Prozesse
- rebootet, schaltet den Computer aus
und vieles Andere, je nachdem, was in der Original Source angegeben ist.

Quelle: Backdoor.SDBot.Gen

Demzufolge solltest du, zur deiner eigener Sicherheit, dein System neu aufsetzen, da es nicht mehr vertrauenswürdig ist. Eine Anleitung findest du hier:
http://www.trojaner-board.de/showpos...28&postcount=2

Ich habe das mit dem Formatieren bereits versucht:
Rechtsklick auf die Festplatte->Formatieren
geht aber nicht, dann kommt immer ein Fehler
dann noch Systemwiederherstellung,
geht auch nicht!
Was soll ich tuen?
Ich versteh das alles nicht, ich bin ein windows nixkönner.
Ich hab die wuarclt.exe gelöscht, wird zwar nichts bringen, war aber so ein reflex...
Ich hab zum Glück nichts wichtiges auf dem PC was den interessieren könnte...
Oder doch?
Ah,
erklärt mal bitte wie ich über CD Format C mache

Zitat:

Zitat von Marc-R

Ich habe das mit dem Formatieren bereits versucht:
Rechtsklick auf die Festplatte->Formatieren
geht aber nicht, dann kommt immer ein Fehler

*LOL*

sorry... aber das musste sein... :D

um diesen fehler - mit einfachen worten - zu erklären: mit dieser aktion versuchst du, den ast auf dem du selbst sitzt, abzusägen.

und windows ist intelligent genug, das nicht zu erlauben (ergo: fehler).

um dein system richtig neu zu installieren, musst du mittels windows-cd booten, alles löschen, und hier formatieren und neu aufsetzen.

sei dir aber im klaren darüber, dass du alle daten bei der aktion verlierst, und natürlich alle treiber, progamme udgl. neu aufsetzen musst.

:teufel3:

Außer ein paar Spiele (CS und HL sowie Steam) hab ich eh nix wichtiges drauf.
Und hauptsache der behinderte Wurm ist weg!
Nunja jetzt habe ich wenigstens eine erklärung dafür warum mein Ping in CS von heut auf morgen von 89 auf 455 gegangen ist :D .

Ich habe jetzt Formatiert und alles neu installiert.
Aber als ich ins Inet gegangen war und danach neu gestartet habe erklärte mir AntiVir das ich den Rbot drauf habe.
Wie kann ich sowas direkt umgehen?
Ich habe AntiVirXP im Hintergrund laufen und die XP Virewall angemacht...