Hi.. habe anscheinend den oben genannten Wurm.
Manchmal öffnet sich einfach ein Opera Fenster und es wird auf eine Adresse zugegriffen. AntiVir findet dann im Ordner "Content.IE5" in einem JPG (??) den oben genannten Wurm. Außerdem wird eine Datei in C:\ mit beliebigem Namen erstellt (zB FODH.EXE). Diese Datei wird dann auch gleich von AntiVir gelöscht. Außerdem läuft ständig der Task "wordpad.exe", die Datei liegt in C:\Windows. Wenn man sie beendet, ist sie sofort wieder da.

Ich habe folgendes Versucht...
- wordpad.exe gesucht -> vergebens ! Die Datei ist absolut unsichtbar.. VErsteckte Dateien sind bei mir _nicht_ ausgeblendet. Trotzdem merkt man nur dass es die datei gibt, wenn man versucht, eine mit dem selben Namen zu erstellen.
Ich bin also in den abgesicherten Modus. Da ist die Datei sichtbar. Ich habe sie gelöscht und eine Datei "wordpad.exe" neu erstellt & schreibgeschützt. Wähnte mich sicher. Doch eben sehe ich, dass meine erstellte Datei weg ist (trotz schreibschutz ?!) und die alte wieder da (versteckt).
- In der Registry gesucht -> keine einträge
- bei google danach gesucht -> Keine brauchbaren ergebnisse

Langsam bin ich ratlos

wordpad.exe wird übrigends nicht von AntiVir irgendwie erkannt.
Die suche mit AdAware bringt auch nichts.

Das System ist winXP home mit SP 1.
Ich nutze Opera ..


Noch was: Im ordner C:\Dokumente & Einstellungen\ich\Lokale einstellungen\temp sind mir Dateien aufgefallen die wohl damit was zu tun haben. Sie haben alle Namen wie zB. "~DFB01E.tmp" oder "~DFAFF8.tmp" und sind allesamt 16kb groß. Es entstehen immer neue und können nicht gelöscht werden, weil in verwendung.
Noch eine Datei mit 16kb größe ist "Perflib_Perfdata_648.dat".

Falls es hilft, hier ein HijackThis Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
E:\Rainlendar-0.21.2\Rainlendar.exe
C:\Programme\ICQPlus\VPlus.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wordpad.exe
C:\Programme\Opera75\opera.exe
D:\kram\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Verknüpfung mit Rainlendar.exe.lnk = E:\Rainlendar-0.21.2\Rainlendar.exe
O4 - Startup: Verknüpfung mit VPlus.exe.lnk = C:\Programme\ICQPlus\VPlus.exe
O10 - Unknown file in Winsock LSP: c:\programme\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: c:\programme\google\google desktop search\googledesktopnetwork1.dll
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9996.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{B825EDFD-FC51-4D6D-87D3-D655AAA2BA4A}: NameServer = 217.237.150.141 217.237.151.161
O20 - AppInit_DLLs: UmxSbxExw.dll

Ich hoffe es hat jemand eine idee...

Hallo,

C:\WINDOWS\wordpad.exe
beende den Prozess im Taskmanager und lasse die Datei hier scannen teile das Ergebnis mit.

Solltest du die Datei so nicht Hochladen können, oder es wird dir ein Upload von 0 Bytes angezeigt, dann solltest du deinen Virenscanner deaktivieren und das ganze noch mal probieren.


Schau nach ob deine Einstellungen wirklich so sind.
Wenn das so nicht funktioniert dann wechsle in den abgesicherten Modus und lade die besagte Datei auf Diskette. Gehe dann wieder in den normalen Modus und lasse sie bei Jotti prüfen. Wähle dort dann dein Diskettenlaufwerk aus.
Die temp Dateien sind ungefährlich und werden von anderen Anwendungen genutzt, deshalb kannst du die nicht löschen. Schliesse alle offenen Programme auch die unten rechts in deiner Taskleiste und du wirst sehen dann gehen einige zu löschen, wahrscheinlich nicht alle
Poste danach ein komplettes HJT mit der Version 1.99.1

Hi...
Meine Einstellung zum anzeigen von ordnern sind garantiert so, deshalb verwundert mich das ja auch.
Die Datei ist ausschließlich sichtbar, wenn ich als Administrator angemeldet bin. Das Häkchen bei "verstecken" lässt sich nicht entfernen. Ebenso kann ich aus welchem Grund auch immer keinen Vollzugriff vom Benutzerkonto einstellen.
Ich habe kein Diskettenlaufwerk, habe deshalb die Datei mal umbenannt (in wordpad.exevir oder sowas) und in einen neuen ordner auf einer anderen partition kopiert (die alte gelöscht und wieder durch einen schreibgeschützten dummy ersetzt). Doch auch hier.. ich kann diese Datei einfach nicht sehen ! Ich sehe alle anderen versteckten Dateien - nur diese nicht. Demzufolge kann ich sie auch nicht hochladen und checken lassen.
Das hat auch nichts mit dem virenscanner zu tun. Die Datei ist praktisch gar nicht da..

Zu den Temp dateien...
Ich bin mir beinahe sicher dass die von dem wurm stammen, denn wenn wordpad.exe nicht aktiv ist, gibts auch keine neuen tmp files.

Danke schonmal für deine Hilfe...

achja.. alles was in dem ordner "Content.IE5" war, habe ich mal gelöscht. IE5 deutet auf internet explorer, mit dem habe ich sowieso nichts am hut..

Zitat:

Das hat auch nichts mit dem virenscanner zu tun. Die Datei ist praktisch gar nicht da..

falsch, hier ist doch die Datei schau in dein Logfile oder auch in den Taskmanager

Zitat:

Ich bin also in den abgesicherten Modus. Da ist die Datei sichtbar.

wenn du sie dort siehst solltest du sie auch kopieren können.
Ich würde vorschlagen mach einen scan mit eScan (siehe meine Signatur) Halte dich aber bitte genau an die Anleitung und poste dann das Ergebnis wie auch schon erwähnt ein aktuelles HJT

Danke erstmal !
Ich werd das mal so probieren wenn es wieder auftaucht.
Im Moment ist alles ruhig - weder ein wordpad.exe noch irgendwelche aufpoppenden seiten oder sonstwas.
Vielleicht habe ich durch löschen des Content.IE5 schon alles beseitigt.. Von diesem Ordner ging das Ganze ja unsprünglich los.

Mal hört voneinander...

Da bin ich wieder. Von wegen ich bin ihn los..
habe mit escan gescannt und das hat auch ein paar sachen gefunden.
Das logfile ist viel zu groß, deshalb schreib ich mal was gefunden wurde:

orans.sys -> RootKit.Win32.Agent.ae
i -> TrojanDownloader.BAT.ftp.ab
setup_84427.exe -> backdoor.Win32.SdBot.aad
ra.reg -> Trojan.WinREG.LowZones.f
ein opera cache file -> TrojanDownloader.JS.Istbar.j
wordpad.exe -> TR/LowZones...

All die sachen hab ich gelöscht.
Beunruhigt hat mich nur folgendes:

-> Object "zipitpro Spyware/adware" found in FileSystem <-

Weiß nicht so recht was ich damit anfangen soll.

Dann zu hijackthis. Hier die log:

Logfile of HijackThis v1.99.1
Scan saved at 16:22:51, on 08.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\Programme\Tiny Firewall Pro\UmxTray.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
E:\Rainlendar-0.21.2\Rainlendar.exe
C:\Programme\ICQPlus\VPlus.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera75\opera.exe
C:\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Verknüpfung mit Rainlendar.exe.lnk = E:\Rainlendar-0.21.2\Rainlendar.exe
O4 - Startup: Verknüpfung mit VPlus.exe.lnk = C:\Programme\ICQPlus\VPlus.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9996.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{B825EDFD-FC51-4D6D-87D3-D655AAA2BA4A}: NameServer = 217.237.150.141 217.237.151.161
O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: FW Event Manager (UmxAgent) - Tiny Software, Inc. - C:\Programme\Tiny Firewall Pro\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Tiny Software, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
O23 - Service: FW Live Update (UmxLU) - Tiny Software, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe
O23 - Service: FW Policy Manager (UmxPol) - Tiny Software Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
O23 - Service: FW User to IP Address Translation (UmxUTA) - Tiny Software, Inc. - C:\Programme\Tiny Firewall Pro\umxuta.exe
O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing)

Sehr interessant ist der letzte Eintrag ! Die Datei ist anscheinend als Dienst eingetrage.. werd da gleich mal suchen.

Hat vielleicht noch jemand ne idee was ich noch machen könnte ?

Hi,

Zitat:

Zitat von C_C

Da bin ich wieder. Von wegen ich bin ihn los..

das hat auch keiner behauptet
Also jetzt zum Fall, mein Rat, höre auf an Syntomen runzudoktern und setze den Rechner neu auf. Dein System ist Kompromittiert und deshalb solltest du ihn so schnell wie möglich von Netz nehmen und meinen Rat befolgen.
Lese bitte über Rootkits
über Backdoors und danach über Kompromittierung
da gibt es übrigens auch einen zweiten Teil den solltest du auch lesen (Link findest du auf der Seite)

Hilfe zum Neuaufsetzen und anschließende Absicherung