Seit rund einer Woche kämpfe ich mich nun schon mit einem Schädling herum, den ich nicht und nicht losbekomme. Vielleicht könnt ihr mir ja helfen.

Begonnen hat alles mit einem Dialer/Adware-Mix, das nicht nur ständig Pop-Ups generiert hat, sondern auch eine 100%ige CPU-Auslastung verursacht hat. Da ich diesen Eindringlingen einfach nicht Herr werden konnte, habe ich kurzerhand beschlossen, mein System neu aufzusetzten: Nachdem ich meine Festplatte formatiert hatte, habe ich Windows XP neu draufgespielt. Und anfangs schien auch alles zu klappen: Geringe CPU-Auslatung, keine dubiosen Prozesse im Task-Manager.

Nach der Installation einiger Standard-Anwendungen (Office, Photoshop, ...) und der Einrichtung meines Internet-Zugangs ging die ganze Geschichte jedoch wieder von vorne los. Der PC reagiert sehr langsam, obwohl keine Anwendungen geöffnet sind, die CPU-Auslastung nimmt zu (und erreicht nach wenigen Minuten 100%), es erscheinen Nachrichtendienst-Meldungen getarnte Pop-Ups, Word hängt sich auf, sobald man ein Dokument öffnet. Im Task-Manager, der sich nach einiger Zeit auch nicht mehr aufrufen lässt, finden sich unter anderem folgende Besorgnis erregende Prozesse:

msconfg.exe
svspool.exe
Logitechs.exe
hwclock.exe

Die beiden letzteren liefen auch schon vor (!!!) der Formatierung. hwclock.exe lässt sich nicht beenden. Die Suche nach den Dateinamen bleibt bis auf svspool.exe, das im system32 Ordner abgelegt ist, erfolglos.

Wie ist es möglich, dass der Virus die Formatierung "überlebt" hat??? Ich versichere euch, ich habe meine Festplatte über die Eingabeaufforderung in der Wiederherstellungskonsole "eigenhändig" formatiert, um anschließend Windows XP neu draufzuspielen. Und ich versichere euch weiters, dass es sich dabei um eine originale Windows Version handelt, die bis vor einer Woche auch klanglos funktioniert hat. An der Win-XP-CD liegts also nicht. Kann es sein, dass der Virus meine IP ausgelesen hat und sich so immer wieder einnisten kann??? Ist das bei einer ADSL Dial-Up-Verbindunge überhaupt möglich? Mag sein, dass das absolut fantastisch und absurd klingt, aber in meiner Verzweiflung halte ich schon alles für möglich.

Bitte helft mir.

@macashcroft

Zitat:

hwclock.exe

ist der Backdoor http://www.sophos.de/virusinfo/analyses/w32hwbota.html

Zitat:

Wie ist es möglich, dass der Virus die Formatierung "überlebt" hat???...

Hat er auch nicht

Zitat:

ich habe meine Festplatte über die Eingabeaufforderung in der Wiederherstellungskonsole "eigenhändig" formatiert, um anschließend Windows XP neu draufzuspielen.

Aber: SP2 hast du nicht installiert und sofort nach der Neuinstallation ins Netz gegangen . Bitte lese die Anleitung zum Neuafsetzen (Link in meiner Signatur) und mache nach.
Vielleicht brauchst du auch das: WindowsXP SP2 CD-ROM Bestellen

@ Rene-gad: Vielen Dank für deine Hilfe. Es beruhigt mich zu hören, dass der Trojaner nach der Formatierung zumindest kurzfristig gelöscht war. Ich habe schon befürchtet, er hätte sich in diesem 8 MB Windows-Sektor festgesetzt und ich müsste jetzt die Festplatte ausbauen und extern formatieren. Naja, als Laie hat man eben skurile Gedanken!

Wenn ich dich richtig verstanden habe, ist mein System nach der Neuinstallation sauber (das deckt sich auch mit meinen Eindrücken (siehe oben)). Sobald ich eine Internet-Verbindung herstelle, befällt mich der Backdoor-Trojaner aber erneut. So nebenbei: Wie ist denn das möglich? Kann er mein System identifizieren?

Also gilt es zu verhindern, dass er sich immer wieder aufs Neue einnistet. Und das, so entnehme ich deiner Antwort, gelingt über das SP2.

Zitat:

SP2 hast du nicht installiert und sofort nach der Neuinstallation ins Netz gegangen.

Nun aber zur Vorgangsweise: Zunächst formatiere ich meine Windows-Partition (Das sollte doch reichen, oder? Die Daten-Partition zu formatieren ist überflüssig, nehme ich an.) und setze das System neu auf. Dann installiere ich SP2, d.h. ich muss es mir besorgen, ehe ich die Win-XP-Neuinstallation vornehme. Zunächst den Internet-Zugang einzurichten und mir dann SP2 über die Windows Update Funktion zu besorgen wäre wohl unnütz, oder? Denn dann hätte sich der Trojaner schon wieder eingenistet. Fragt sich bloß: Woher bekomme ich eine SP2 Offline Version? Muss ich mir da wirklich die CD zukommen lassen?

Bei Microsoft habe ich folgenden Artikel gefunden: Windows XP und Service Pack 2 für Neuinstallationen zusammenstellen (http://support.microsoft.com/kb/894947). Durch Kombination der Original Windows Installations-CD und dem Windows XP Service Pack 2-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler wird eine SP2 erweiterte Reparatur-CD erstellt. Ist das sinnvoll?

Angenommen, ich hätte das einmal hinbekommen: Wie soll ich dann fortfahren? Soll ich die Windows Firewall aktivieren? Und bin ich dann den hwclock-Trojaner endlich los bzw. wird er mich nicht mehr erneut befallen?

Vielen Dank nochmals.

@macashcroft

Zitat:

Bei Microsoft habe ich folgenden Artikel gefunden: Windows XP und Service Pack 2 für Neuinstallationen zusammenstellen Ist das sinnvoll?

Eingentlich - ja. Bei mir klappte es aber nicht, denn ich habe eine Fujitsu-Siemens WinOEM-CD und die Zusammenführung hat bei mir nicht funktioniert.

Zitat:

Wie soll ich dann fortfahren?

Zum 2. mal : Bitte lese die Anleitung zum Neuafsetzen (Link in meiner Signatur) und mache nach. .

Zitat:

Bitte lese die Anleitung zum Neuafsetzen (Link in meiner Signatur) und mache nach.

Das habe ich schon, bloß ist mir nicht klar, wie und wann ich SP2 installieren soll. In nämlicher Anleitung steht:

Zitat:

Nach dem Neuaufsetzen und VOR der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:
[...]
3. Das System updaten [1] und stets aktuell halten.
[1] Bezugsmöglichkeiten von Service Pack 2 -> Download oder CD-Bestellung

Ich frage mich, wie ich nach dem Neuaufsetzen aber vor der Einrichtung einer Internet-Verbindung SP2 downloaden soll. Also muss ich mir SP2 wohl noch mit dem kompromitterten System besorgen und auf einen Datenträger ablegen. Ist es wirklich nötig, die Windows-Installations-CD mit SP2 zu kombinieren, wie es Microsoft auf seinen Support-Seiten vorschlägt? Oder würde es reichen, Win XP aufzusetzen und anschließend das auf Datenträger vorliegende SP2 zu installieren?

Mich würde auch noch interessieren, weshalb es dem Trojaner immer wieder gelingt, sich Zugang zu meinem PC zu verschaffen. Wie schon erwähnt, ich habe die Festplatte formatiert und Windows neu aufgesetzt. Also müssten ja alle Spuren des Trojaners gelöscht worden sein. Aber nach Einrichtung der Internet-Verbindung war er schon wieder da. Wie ist das möglich? Erfolgt dieser Angriff gezielt?

Vielen Dank für deine Bemühungen!

Zitat:

Zitat von macashcroft

Also muss ich mir SP2 wohl noch mit dem kompromitterten System besorgen und auf einen Datenträger ablegen.

Davon rate ich ab. Entweder mit einem sauberen System besorgen oder von MS bestellen.

Zitat:

Ist es wirklich nötig, die Windows-Installations-CD mit SP2 zu kombinieren, wie es Microsoft auf seinen Support-Seiten vorschlägt?

Nein.

Zitat:

Oder würde es reichen, Win XP aufzusetzen und anschließend das auf Datenträger vorliegende SP2 zu installieren?

Ja.

Zitat:

Mich würde auch noch interessieren, weshalb es dem Trojaner immer wieder gelingt, sich Zugang zu meinem PC zu verschaffen.

Es handelt sich nicht um Trojaner, sondern um Netzwerkwürmer.

Zitat:

Erfolgt dieser Angriff gezielt?

Nein.


Gruß Haui

@ Haui45:

Danke, deine Antworten waren wirklich sehr hilfreich. Ich glaube, ich bin jetzt bereit dem Netzwerkwurm endgültig den Kampf anzusagen.

Nur noch eins: Auf meine Frage hin, ob ich mir SP2 noch mit dem kompromitterten System besorgen und auf einen Datenträger ablegen könnte, hast du geantwortet:

Zitat:

Davon rate ich ab. Entweder mit einem sauberen System besorgen oder von MS bestellen.

Wenn ich mir jetzt (also vom infizierten System aus) das "Windows XP Service Pack 2-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler" runterlade, um es anschließend auf einem externen Datenträger oder einer Nicht-Sytempartition zu speichern, ist dann wirklich damit zu rechnen, dass die exe-Datei "nicht vertrauenswürdig", sprich vom Netzwerkwurm befallen ist? Ehe ich mein Sytem das erste Mal neu aufgesetzt habe, habe ich noch eine Backup-CD mit meinen persönlichen Daten erstellt, die auch einige Anwendungen umfassten. Nach der Installation ebendieser Anwendungen am neuaufgestzten System konnte ich eigentlich keinerlei Probleme feststellen. Die begannen erst nach der Einrichtung des Internetzugangs. Was ich damit sagen will, ist, dass offensichtlich nicht alle exe-Dateien vom Netzwerkwurm befallen werden. Was meinst du dazu?

Vielen, vielen Dank nochmal!

@macashcroft

Zitat:

Wenn ich mir jetzt (also vom infizierten System aus) das "Windows XP Service Pack 2-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler" runterlade, um es anschließend auf einem externen Datenträger oder einer Nicht-Sytempartition zu speichern, ist dann wirklich damit zu rechnen, dass die exe-Datei "nicht vertrauenswürdig", sprich vom Netzwerkwurm befallen ist?

Dein System ist nicht mehr vertrauenswürdig. Ergo: Alles, was du an diesem System tust ist mit einem Sicherheitsrisiko verbunden - Downloads inklusive. Du musst entweder eine WindowsXP SP2 CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage mit einem bekanntermaßen sauberen PC downloaden.

Ok, Danke. Und wie sieht's mit bereits gespeicherten Anwendungen aus? Meiner Erfahrung nach machen die nach der Neuinstallation keine Probleme (siehe meinen letzten Beitrag). Oder sollte ich mir alle Anwendungen (gemeint sind damit die exe-Dateien) nach dem Neuaufsetzten und nach der Installation von SP2 neu aufspielen/downloaden?

Du kannst die Datei schon mit dem kompromittierten System runterladen, brennen und dann installieren. Jedoch solltest du dann zumindest die Prüfsummen vergleichen. Dazu brauchst du zum einen ein Programm, um die Prüfsumme zu berechnen (das du ja nicht mit deinem PC runterladen kannst) und zum anderen die Prüfsumme. Letzteres kannst du auch von mir haben, vorausgesetzt ich finde sie...

Zitat:

Dazu brauchst du zum einen ein Programm, um die Prüfsumme zu berechnen (das du ja nicht mit deinem PC runterladen kannst) und zum anderen die Prüfsumme.

Weshalb kann ich das Programm mit meinem PC nicht runterladen?

Und wie sieht's in punkto Vertrauenswürdigkeit eigentlich mit allen anderen Daten aus? Werden nur Anwendungen vom Wurm befallen?

Zitat:

Weshalb kann ich das Programm auf meinem PC nicht runterladen?

Der Grund ist der Gleiche wie beim SP2.

Zitat:

Werden nur Anwendungen vom Wurm befallen?

Ein Wurm infiziert per Definition keine anderen Dateien. Er braucht keinen 'Wirt' um sich weiterzuverbreiten. Das machen nur Viren. Jedoch weißt du nicht, ob du nicht evtl. einen Virus auf dem PC hast.
Zugegeben, es ist eher unwahrscheinlich, dass das SP2 manipuliert wird, aber wir wollen doch sicher gehen.

Zitat:

Und wie sieht's in punkto Vertrauenswürdigekit eigentlich mit allen anderen Daten aus?

*.mp3-, *.mpeg-, *.jpg-Dateien usw. (eben alle nicht ausführbaren Dateien) kannst du relativ gefahrlos sichern. Ich würde sie vor dem Zurückspielen trotzdem mit einem AV-Programm überprüfen.


BTW:

Code: Alles auswählenAufklappen

ATTFilter

MD5 checksum of "WindowsXP-KB835935-SP2-DEU.exe" :
2f a1 43 9d d7 42 58 48 ba 18 72 13 f9 b9 94 9f
         

@ Haui45:

Vielen, vielen dank für deine Hilfe. Aber Eines verteh' ich immer noch nicht: Du hast mir soeben dankenswerter Weise die Prüfsumme von SP2 gepostet. Sinn des Ganzen ist doch, dass ich die Prüfsumme jener SP2 Version, die ich mit mit dem kompromittiertem System runtergeladen habe, mit der von dir genannten Prüfsumme vergleiche. Sind die beiden Summen gleich, kann ich meine SP2 Version bedenkenlos verwenden, andernfalls ist sie vermutlich vom Wurm befallen. So weit, so gut. Aber wenn ich mir kein Programm zur Berechnung der Prüfsumme besorgen kann (warum auch immer, ich vermute, weil das auch vom Wurm befallen werden könnte), dann kann ich die beiden Summen ja gar nicht abgleichen. Vielleicht mache ich mich gerade zum Idioten, aber was soll denn dabei sein, wenn ich mir jetzt ein solches Programm besorge, dann die Prüfsumme von SP2 ermitteln lasse und das Ergebnis mit dem von dir geposteten abgleiche??? Steht etwa zu befürchten, dass der Wurm die Berechnung verfälscht?

Es ging mir mehr darum:
Du besorgst das Programm mit der verseuchten System-> du kannst dem Programm nicht vertrauen
Du besorgst das Programm mit dem frischen System-> du kannst dem System nicht vertrauen (du musst ins I-Net)

Mach's so:
Besorg dir das SP2-> brenn' es auf CD-> setz das System neu auf-> installiere das SP2 und andere Patches-> Besorg dir ein Prüfsummenprogramm-> vergleiche die Prüfsummen-> sind sie gleich (wovon ich ausgehe) ist alles OK, ansonsten hast du ein Problem

So kannst das Risiko minimieren. Wie gesagt, es handelt sich nur um eine Vorsichtsmaßnahme, da es kaum mehr Viren gibt

Aha, jetzt scheine ich zu verstehen. Also, ich rekapituliere: Ich besorg mir SP2 noch am verseuchten System und brenn es auf CD/speichere es auf meiner Datenpartition. Hierbei könnte es passieren, dass SP2 von einem Virus befallen wird, aber ich fahre vorerst unbeirrt fort. Ich formatiere sodann meine Systempartition und setze Windows neu auf. Dann installiere ich das auf CD/Datenpartition vorliegende SP2 und nehme in Kauf, dass es virenverseucht sein könnte. Ich richte den Internetzugang ein, lade mir ein Prüfsummenprogramm runter und vergleiche die von mir ermittelte Prüfsumme mit der von dir geposteten. Stimmen sie überein, passt alles, ansonsten ist davon auszugehen, dass SP2 verseucht war und ich muss mein System neu aufsetzen. In diesem Fall sollte ich mir SP2 dann wohl mit einem sauberen PC besorgen oder von Microsoft zukommen lassen, oder? Ok, ich glaube ich hab's durchschaut.

Kannst du mir vielleicht noch erklären, warum dem Prüfsummenprogramm am kompromittierten System nicht zu vertrauen ist. Liefert es etwa falsche Ergebnisse???