Seit rund einer Woche kämpfe ich mich nun schon mit einem Schädling herum, den ich nicht und nicht losbekomme. Vielleicht könnt ihr mir ja helfen.

Begonnen hat alles mit einem Dialer/Adware-Mix, das nicht nur ständig Pop-Ups generiert hat, sondern auch eine 100%ige CPU-Auslastung verursacht hat. Da ich diesen Eindringlingen einfach nicht Herr werden konnte, habe ich kurzerhand beschlossen, mein System neu aufzusetzten: Nachdem ich meine Festplatte formatiert hatte, habe ich Windows XP neu draufgespielt. Und anfangs schien auch alles zu klappen: Geringe CPU-Auslatung, keine dubiosen Prozesse im Task-Manager.

Nach der Installation einiger Standard-Anwendungen (Office, Photoshop, ...) und der Einrichtung meines Internet-Zugangs ging die ganze Geschichte jedoch wieder von vorne los. Der PC reagiert sehr langsam, obwohl keine Anwendungen geöffnet sind, die CPU-Auslastung nimmt zu (und erreicht nach wenigen Minuten 100%), es erscheinen Nachrichtendienst-Meldungen getarnte Pop-Ups, Word hängt sich auf, sobald man ein Dokument öffnet. Im Task-Manager, der sich nach einiger Zeit auch nicht mehr aufrufen lässt, finden sich unter anderem folgende Besorgnis erregende Prozesse:

msconfg.exe
svspool.exe
Logitechs.exe
hwclock.exe

Die beiden letzteren liefen auch schon vor (!!!) der Formatierung. hwclock.exe lässt sich nicht beenden. Die Suche nach den Dateinamen bleibt bis auf svspool.exe, das im system32 Ordner abgelegt ist, erfolglos.

Wie ist es möglich, dass der Virus die Formatierung "überlebt" hat??? Ich versichere euch, ich habe meine Festplatte über die Eingabeaufforderung in der Wiederherstellungskonsole "eigenhändig" formatiert, um anschließend Windows XP neu draufzuspielen. Und ich versichere euch weiters, dass es sich dabei um eine originale Windows Version handelt, die bis vor einer Woche auch klanglos funktioniert hat. An der Win-XP-CD liegts also nicht. Kann es sein, dass der Virus meine IP ausgelesen hat und sich so immer wieder einnisten kann??? Ist das bei einer ADSL Dial-Up-Verbindunge überhaupt möglich? Mag sein, dass das absolut fantastisch und absurd klingt, aber in meiner Verzweiflung halte ich schon alles für möglich.

Bitte helft mir.

@macashcroft

Zitat:

hwclock.exe

ist der Backdoor http://www.sophos.de/virusinfo/analyses/w32hwbota.html

Zitat:

Wie ist es möglich, dass der Virus die Formatierung "überlebt" hat???...

Hat er auch nicht

Zitat:

ich habe meine Festplatte über die Eingabeaufforderung in der Wiederherstellungskonsole "eigenhändig" formatiert, um anschließend Windows XP neu draufzuspielen.

Aber: SP2 hast du nicht installiert und sofort nach der Neuinstallation ins Netz gegangen . Bitte lese die Anleitung zum Neuafsetzen (Link in meiner Signatur) und mache nach.
Vielleicht brauchst du auch das: WindowsXP SP2 CD-ROM Bestellen

@ Rene-gad: Vielen Dank für deine Hilfe. Es beruhigt mich zu hören, dass der Trojaner nach der Formatierung zumindest kurzfristig gelöscht war. Ich habe schon befürchtet, er hätte sich in diesem 8 MB Windows-Sektor festgesetzt und ich müsste jetzt die Festplatte ausbauen und extern formatieren. Naja, als Laie hat man eben skurile Gedanken!

Wenn ich dich richtig verstanden habe, ist mein System nach der Neuinstallation sauber (das deckt sich auch mit meinen Eindrücken (siehe oben)). Sobald ich eine Internet-Verbindung herstelle, befällt mich der Backdoor-Trojaner aber erneut. So nebenbei: Wie ist denn das möglich? Kann er mein System identifizieren?

Also gilt es zu verhindern, dass er sich immer wieder aufs Neue einnistet. Und das, so entnehme ich deiner Antwort, gelingt über das SP2.

Zitat:

SP2 hast du nicht installiert und sofort nach der Neuinstallation ins Netz gegangen.

Nun aber zur Vorgangsweise: Zunächst formatiere ich meine Windows-Partition (Das sollte doch reichen, oder? Die Daten-Partition zu formatieren ist überflüssig, nehme ich an.) und setze das System neu auf. Dann installiere ich SP2, d.h. ich muss es mir besorgen, ehe ich die Win-XP-Neuinstallation vornehme. Zunächst den Internet-Zugang einzurichten und mir dann SP2 über die Windows Update Funktion zu besorgen wäre wohl unnütz, oder? Denn dann hätte sich der Trojaner schon wieder eingenistet. Fragt sich bloß: Woher bekomme ich eine SP2 Offline Version? Muss ich mir da wirklich die CD zukommen lassen?

Bei Microsoft habe ich folgenden Artikel gefunden: Windows XP und Service Pack 2 für Neuinstallationen zusammenstellen (http://support.microsoft.com/kb/894947). Durch Kombination der Original Windows Installations-CD und dem Windows XP Service Pack 2-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler wird eine SP2 erweiterte Reparatur-CD erstellt. Ist das sinnvoll?

Angenommen, ich hätte das einmal hinbekommen: Wie soll ich dann fortfahren? Soll ich die Windows Firewall aktivieren? Und bin ich dann den hwclock-Trojaner endlich los bzw. wird er mich nicht mehr erneut befallen?

Vielen Dank nochmals.

@macashcroft

Zitat:

Bei Microsoft habe ich folgenden Artikel gefunden: Windows XP und Service Pack 2 für Neuinstallationen zusammenstellen Ist das sinnvoll?

Eingentlich - ja. Bei mir klappte es aber nicht, denn ich habe eine Fujitsu-Siemens WinOEM-CD und die Zusammenführung hat bei mir nicht funktioniert.

Zitat:

Wie soll ich dann fortfahren?

Zum 2. mal : Bitte lese die Anleitung zum Neuafsetzen (Link in meiner Signatur) und mache nach. .

Zitat:

Bitte lese die Anleitung zum Neuafsetzen (Link in meiner Signatur) und mache nach.

Das habe ich schon, bloß ist mir nicht klar, wie und wann ich SP2 installieren soll. In nämlicher Anleitung steht:

Zitat:

Nach dem Neuaufsetzen und VOR der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:
[...]
3. Das System updaten [1] und stets aktuell halten.
[1] Bezugsmöglichkeiten von Service Pack 2 -> Download oder CD-Bestellung

Ich frage mich, wie ich nach dem Neuaufsetzen aber vor der Einrichtung einer Internet-Verbindung SP2 downloaden soll. Also muss ich mir SP2 wohl noch mit dem kompromitterten System besorgen und auf einen Datenträger ablegen. Ist es wirklich nötig, die Windows-Installations-CD mit SP2 zu kombinieren, wie es Microsoft auf seinen Support-Seiten vorschlägt? Oder würde es reichen, Win XP aufzusetzen und anschließend das auf Datenträger vorliegende SP2 zu installieren?

Mich würde auch noch interessieren, weshalb es dem Trojaner immer wieder gelingt, sich Zugang zu meinem PC zu verschaffen. Wie schon erwähnt, ich habe die Festplatte formatiert und Windows neu aufgesetzt. Also müssten ja alle Spuren des Trojaners gelöscht worden sein. Aber nach Einrichtung der Internet-Verbindung war er schon wieder da. Wie ist das möglich? Erfolgt dieser Angriff gezielt?

Vielen Dank für deine Bemühungen!

Zitat:

Zitat von macashcroft

Also muss ich mir SP2 wohl noch mit dem kompromitterten System besorgen und auf einen Datenträger ablegen.

Davon rate ich ab. Entweder mit einem sauberen System besorgen oder von MS bestellen.

Zitat:

Ist es wirklich nötig, die Windows-Installations-CD mit SP2 zu kombinieren, wie es Microsoft auf seinen Support-Seiten vorschlägt?

Nein.

Zitat:

Oder würde es reichen, Win XP aufzusetzen und anschließend das auf Datenträger vorliegende SP2 zu installieren?

Ja.

Zitat:

Mich würde auch noch interessieren, weshalb es dem Trojaner immer wieder gelingt, sich Zugang zu meinem PC zu verschaffen.

Es handelt sich nicht um Trojaner, sondern um Netzwerkwürmer.

Zitat:

Erfolgt dieser Angriff gezielt?

Nein.


Gruß Haui