Hallo miteinander,

seit ein paar Tagen habe ich den Eindruck das jemand von außen in meinem Rechner herumfummelt.

Die Anzeige unten im Fenster in der Taskleiste meiner Startseite macht ein winziges schwarzes rechteckiges Kästchen gleich in das "ebay-Fenster" mit drin neben dem "y" bevor die Punkte anfangen (Innerhalb des Anzeigefensters). Vielleicht kann mir jemand helfen oder hat ein ähnliches Problem, nachdem ich bei google nichts gefunden habe.
Ich verwende WIN 98 alt, mit dsl und als Browser wahlweise IE6 und Mozilla.
Adaware, Spybot, cwshredder und Agnitum firewall finden nichts. Antivir liefert neben dem üblichen WIN386.SWP und meinem Haustier: eicar.zip folgende Meldung:

C:\WINDOWS\Windows Update Setup-Dateien
SETUPW95.CAB
ArchiveType: CAB (Microsoft)
--> ie4.dll
ERROR: Exception beim Aufruf der Engine ARRAY_BOUNDS_EXCEEDED EIP = 009B5558
Bittte informieren Sie den Hersteller!
MPLAYER2.CAB
ArchiveType: CAB (Microsoft)
--> laprxy.dll
ERROR: Exception beim Aufruf der Engine ARRAY_BOUNDS_EXCEEDED EIP = 009B5558
Bittte informieren Sie den Hersteller!

Dieses Array.... habe ich schon in Mozilla in Lavasoft und sonstwo gefunden. Wenn ich das recht in Erinnerung habe hießen diese Dateien modern.jar oder classic.jar usw.
Löschen diese gesamten .cab oder.jar-Dateien führt dazu: Solange nicht is IT eingewählt wurde ist der Spuk weg. Für ein paar Sekunden eingewählt ist das wieder da. Auch die bei der IT-Einwahl übertragene Datenmange variert jedesmal und ich habe den Eindruck das daten übertragen werden obwohl auf dem Rechner kein IE oderr sontiges Programm offen ist.

Hier noch der HijackThis log:

Logfile of HijackThis v1.97.7
Scan saved at 16:32:34, on 26.01.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\PROXYPLUS\PROXYPLUS.EXE
D:\FIREWALL\OUTPOST.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\AVPERSONAL\AVWIN.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\PLUS!\MICROSOFT INTERNET\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [Outpost Firewall] D:\FIREWALL\outpost.exe /waitservice
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [ProxyPlus] C:\PROGRAMME\PROXYPLUS\ProxyPlus.exe
O4 - HKLM\..\RunServices: [Outpost Firewall] D:\FIREWALL\outpost.exe /service
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...984.4979861111
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

Vielen Dank und Gruß matteo

Hast Du den Proxyserver Proxyplus bewusst installiert?
sonst lese mal da => http://www.sophos.de/virusinfo/analy...ircfloodc.html

da Du DSL hast mach auch mal einen Online-Virenscan:
http://de.trendmicro-europe.com/ente...secall_pre.php

Hallo,

alle vorherigen Anzeigen aus dem oberen Posting habe ich gelöscht. Nun hab ich grad nochmal den antivir drüberlaufen lassen, mit diesem Ergebnis:

C:\WINDOWS\Windows Update Setup-Dateien
MPLAYER2.CAB
ArchiveType: CAB (Microsoft)
--> laprxy.dll
ERROR: Exception beim Aufruf der Engine ARRAY_BOUNDS_EXCEEDED EIP = 009B5558
Bittte informieren Sie den Hersteller!

Immer serviert er mir irgendwelche anderen Dateien. Irgendwie deutet das schon auf Trojaner oder sowas hin, wenn Gelöschtes immer wieder neu irgendwo anders auftaucht.
Dieses Array_Bounds.... muß auch irgendwas aus Unix sein? Was aber macht das in meinem alten WIN-System?

Gruß matteo

Hallo, hier noch der Neueste Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 01:22:00, on 27.01.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\PROXYPLUS\PROXYPLUS.EXE
D:\FIREWALL\OUTPOST.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\PLUS!\MICROSOFT INTERNET\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [Outpost Firewall] D:\FIREWALL\outpost.exe /waitservice
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [ProxyPlus] C:\PROGRAMME\PROXYPLUS\ProxyPlus.exe
O4 - HKLM\..\RunServices: [Outpost Firewall] D:\FIREWALL\outpost.exe /service
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...984.4979861111
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab


Gruß matteo

Hi matteo,
aus Zeitgründen kann ich gerade nicht das LOG ordentlich anschauen.

Aber wenn Antivir-Personal nicht mal den EICAR.ZIP - macht die Vollversion (kommerziell) auch nicht - gemeldet hat UND der IE zum Schluß wegbrach KÖNNTE nuch was virales drauf sein.
Lade dir mal von Sophos/Trendmicro/Kaspersky/NOD32 (sind Alternativen) eine Testversion runter, beende Antivir, aktualisiere die Testversion nochmal und lasse diesen Scan nochmal laufen.

Vermutlich war die Schlußmeldung des Online-Scans nur der Eicar, aber ...
Vielleicht ist IE nur wegen dem Online-Scan UND Deiner Personal-Firewall abgeschmiert, aber ...

Wenn Du das Plus!-Paket (mit den blöden Viechern als Mauszeiger und Hintergrund) installiert hast, dann dürfte dies normal sein.

Habe gerade (nach dem dann *bg*) Tel-Anruf: Server abgekackt muss weg sorry

Hallo Shadow,

recht herzlichen Dank für Deine Mühe und die schnelle Bearbeitung.

Das Proxyserver Proxyplus ist bei mir installiert, da wich im Haus ein Mini-Netzwerk mit 3 PCs haben auf einem Intellinet 5-fach Router (Aber nur 3 belegt). Ich habe mal vorab alle Deine Anweisungen befolgt mit diesem Ergebnis:

1. Die für den Troj/IRCFlood-C -typischen Dateien laut Sophos, gibts bei mir nicht. Ich habe alle abgefragt. Es gibt nur den Proxyplus.exe . Bei Eigenschaften kommt unter Copyright: C)1997-2000 Fortech s.r.o., Ing. D. Toman
Ich denke das könnte so in Ordnung sein.

2. Der Online-Scan trendmicro lief gut eine Stunde, brachte aber nur den eicar.zip zum Vorschein, ansonsten sauber.
Dieser Scan lief alle meine Dateien durch und brachte auch noch das Schlußfenster hin: .... Auf Ihrem System wurden infizierte Dateien gefunden....
Anschließend ist IE abgekotzt. Das heißt keine Maus mehr und nichts. Strg, Alt, Entf, brachte ... trendmicro-europe...(reagiert nicht)
Anwendung schließen ok und hat dann alle aktiven Fenster geschlossen, inclusive Virenscan.

3. Bei meinem HijackThis steht in der 3.- 4-letzten Zeile fogendes:
C:\PROGRAMME\PLUS!\MICROSOFT INTERNET\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
Was ist das für Zeug? Ist das in Ordnung so?

Für weiter Tips bedankt sich vorab mit vielen Grüßen

matteo

</font><blockquote>Zitat:</font><hr />Original erstellt von matteo:
Antivir liefert neben dem üblichen WIN386.SWP und meinem Haustier: eicar.zip folgende Meldung:

C:\WINDOWS\Windows Update Setup-Dateien
SETUPW95.CAB
ArchiveType: CAB (Microsoft)
--&gt; ie4.dll
ERROR: Exception beim Aufruf der Engine ARRAY_BOUNDS_EXCEEDED EIP = 009B5558
Bittte informieren Sie den Hersteller!
MPLAYER2.CAB
ArchiveType: CAB (Microsoft)
--&gt; laprxy.dll
ERROR: Exception beim Aufruf der Engine ARRAY_BOUNDS_EXCEEDED EIP = 009B5558
Bittte informieren Sie den Hersteller!

Dieses Array.... habe ich schon in Mozilla in Lavasoft und sonstwo gefunden. Wenn ich das recht in Erinnerung habe hießen diese Dateien modern.jar oder classic.jar usw.
Löschen diese gesamten .cab oder.jar-Dateien führt dazu: Solange nicht is IT eingewählt wurde ist der Spuk weg. Für ein paar Sekunden eingewählt ist das wieder da. Auch die bei der IT-Einwahl übertragene Datenmange variert jedesmal und ich habe den Eindruck das daten übertragen werden obwohl auf dem Rechner kein IE oderr sontiges Programm offen ist. </font>[/QUOTE]Also erstmal: Ein Array ist in einer Programmiersprache gewissermaßen eine Menge von Variablen. Meistens muss vor Benutzung dieser Menge eine Größe festgelegt werden, also wieviele Variablen in ein Array reinpassen sollen.

Versucht ein Programm nun, mehr Variablen in ein Array zu laden, als dieses groß ist, wird bei Java (bei anderen Programmiersprachen muss man u.U. selbst eine Ausnahmeklasse definieren) eine sogenannte Ausnahme (exception) geworfen. D.h. einfach nur, dass das Programm nicht weiter weiß und der Programmierer hoffentlich eine Ausnahmebehandlung geschrieben hat. Wenn nicht, beendet sich das Programm, oder läuft u.U. mit fehlerhaften Werten weiter.
Das ist also in erster Linie meistens schlicht und einfach ein Programmierfehler (deshalb auch der Hinweis den Hersteller zu kontaktieren),

Es könnte natürlich theoretisch auch einen Versuch darstellen, Sicherheitslücken auszunutzen, das ist aber eher unwarscheinlich (zumal das bei Antivir beim scannen passiert).

.cruz

Hallo Shadow,

hoffentlich hast Du heute den Server wieder hingekriegt.

In meiner Sache folgendes:

- Der Antivir hat das eicar und die WIN386.swp schon mit gefunden, nur habe ich nicht mit gepostet, da ich das für unwichtig hielt.

- Ich habe heute mal die Test-Vollversion mit Update von NOD32 geladen.
Ergebnis: 17 infizierte Dateien mit 4 verschiedenen Viren in einem Ordner:
BugBear.A, Gibe.B (hab ich hier nichts dazu gefunden), Sobig.A und Sircam (eicar und WIN386 auch).

Und zwar alles in diesem Ordner (außer eicar und WIN386): C:\WINDOWS\Profiles\Büro\Anwendungsdaten\Microsoft\Outlook Express\mail\mail\Posteingang.mbx
Die Absender waren alle gefaket.
Einer hieß: Microsoft Internet Customer Assistence

Ich denke aber, das diese Tierchen hier nicht aktiv sind? Kann ich den Ordner Profiles\Büro nicht einfach löschen? Oder verbreitet sich dann der Müll erst recht?

Ich habe nie einen Dateianhang aufgemacht.
Aber:
Die erhaltenen Spam-mails mit Inhalten, wie Viagra, Paris Hilton und Juten Tach, sie haben einen Trojaner drauf.. hatten keinen solchen Dateianhang mit Büroklammer neben im Fenster.
Ich denke mein Fehler war beim Löschen nicht das IT abzutrennen, was ich jetzt immer mache.

In meinem HijackThis kommt mir als Laie nur die beiden Zeilen komisch vor, schon weil ein "R" am Ende beim Wort IE fehlt:

C:\PROGRAMME\PLUS!\MICROSOFT INTERNET\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE

Für die Experten von NOD32 noch was:
Beim Scan, wenn er was gefunden hat zeigt das kleine graue Fenster den Wurm an und sagte: Der Scanner ist in der Lage den Fehler beheben. Gewünschte Aktion auswählen. Aktive Fenster sind aber nur "Weitermachen" oder "Abbrechen".

Gruß matteo

Nur mal kurz reingeschaut, sehe es mir später nochmal besser an.

War kein defekter Server sondern nur kaputter Hub, aber wenn kein Zugriff auf Server muss ja der Server defekt sein, oder? [img]graemlins/lach.gif[/img]

das fehlende "R" :
Der InternetExplorer heißt IEXPLORE.exe

PSTORES ist normal legal, der Name wird aber öfters von Viren missbraucht, sollte okay sein
Vergleiche einfach mal das Datum mit anderen Systemdateien, ist es neu, ist auch die Datei neu.
Kenne das Datum von ME jetzt nicht unter 98SE wäre es der 5.5.99 um 22:22 (auch M$ Programmierer sind verspielt oder faul?)

Natürlich kannst Du komplette Ordner mit Müll/Malware auch komplett löschen, mir wäre nicht bekannt, dass ein Virus erst durch löschen aktiv wird.

[ 27. Januar 2004, 17:54: Beitrag editiert von: Shadow ]

</font><blockquote>Zitat:</font><hr />Original erstellt von matteo:

Ich denke mein Fehler war beim Löschen nicht das IT abzutrennen, was ich jetzt immer mache.
</font>[/QUOTE]OutlookExpress?
=&gt; Dein Fehler war/ist, dass ersten Dein Programm "gefährlich" ist,
2.) Du es dann möglicherweise nicht wenigstens optimal eingestellt hast (geht durchaus mit Zusatztools) und
3.)ich würde wenn Vorschau "an", bzw. wenn Du Mails öffnest schon mal eher Offline sein wollen. Dann können irgendwelche dummen HTML-Mails nicht so einfach (unbemerkt) Daten aus dem Internet nachladen (und alleine der ZUGRIFF auf die Daten kann dem Dateneigentümer Deine aktive und lohnende Existenz nachweisen)

[ 27. Januar 2004, 17:45: Beitrag editiert von: Shadow ]

Wenn du die Dateien noch haben solltest, dann mail se bitte an virus@rokop-security.de

Is schon immer wieder erschreckend, was AntiVir nicht findet.

Hallo cruz, Shadow und Christian,

recht herzlichen Dank für Eure Mühe und noch einen schönen Abend.
Ich denke das Problem ist bis auf weiteres gelöst.
Ich habe heute mal die komplette Datei (schlappe 380 MB groß!!!)
C:\WINDOWS\Profiles\Büro\Anwendungsdaten\Microsoft\Outlook gelöscht.
Kam die Meldung: Paßt nicht in den Papierkorb - klar wegen Voreinstellung - wirklich alles - aber klar. Sind zwar auch meine ganzen e-mails mit fort, aber damit kann ich leben.
Dem Christian habe ich 3 Logs geschickt.
Ich werde meine Lehren aus diesem Vorfall ziehen. Die ganze Virenscannerei etc. nützt nichts wenn handwerkliche Grundregeln mißachtet werden, wie das Abtrennen von Netz wenn html-mails empfangen werden.

Gruß matteo