Hallo zusammen,

im folgenden werde ich einen kleinen Dialog (mit Autorisierung meines Dialogpartners) den ich vorige Woche per mail hatte hier abdrucken. Zunächst aber einige Angaben zur Person, damit Ihr mich besser einschätzen könnt und Eure Antworten meinem Verständnis anpassen könnt.

Also, ich bin täglicher PC-Nutzer, vorwiegend aber als Konsument. D.h. ich benutze Programme wie WinWord und Mozilla Firefox zum Schreiben und Surfen, seltener auch andere Programme und zum Glück ganz selten Spiele. Ich surfe allerdings zuviel... vor allem in Internetforen verbringe ich zuviel Zeit. Echte Ahnung vom PC habe ich allerdings nicht. D.H. dass man mir am besten relativ kleinschrittig erklärt, was ich zur Behebung eines Problems machen muss. (Ich bin allerdings auch nicht völlig verblödet, mir fehlt einfach das entsprechende Vokabular).

Der nun folgende Dialog ist zweifarbig gehalten, rot bin ich, grün mein Gesprächspartner:


Kann es sein, dass in letzter Zeit mal wieder vermehrt Würmer unterwegs sind?

Keine Ahnung.

Ich habe sicherlich ein Dreivierteljahr mit dem Schutz der Firewall von ZoneAlarm und Antivir keinen Ärger mit den kleinen Mistviechern gehabt, aber seit etwa einer Woche lahmt ständig mein Rechner. Das heißt, sobald ich ins Netz gehe, reagieren laufende Programme nicht mehr, andere Programme lassen sich gar nicht erst öffnen. Wenn ich dann den Computer auf sehr brutale Weise ausschalte, neu hochfahre und über den Updater von Antivir mich ins Netz einwähle (also ich aktiviere den Updater und der aktiviert das Einwahlprogramm) dann gelingt es mir Antivir zu aktualisieren und bisher wurde auch jedes Mal ein Wurm gefunden.

Hm, seltsam, in der Tat. Kann ich mir so erst mal keinen Reim drauf machen, bin aber auch kein Viren-/Trojaner-/Wurm-Experte. Ist aber auf jeden Fall ziemlich bedenklich und man sollte der Sache auf den Grund gehen!

Es gibt Leute, die sich mit sowas wirklich auskennen. Du solltest
dich meiner Meinung nach unbedingt mal hier anmelden und deine Frage posten:
http://www.trojaner-board.de/

Schildere da dein Problem im richtigen Forum (ich denke mal "Plagegeister aller
Art und deren Bekämpfung") möglichst präzise und ausführlich mit einer
aussagekräftigen Betreffzeile. Dann abwarten und den Anweisungen der
Leute im Forum folgen.

Ich kann ja trotzdem schon mal ein bisschen raten:
So, wie du die Probleme beschrieben hast, hört es sich meiner unmaßgeblichen
Meinung nach ein wenig so an, als hättest du einen (bisher unentdeckten)
Backdoor-Trojaner oder ähnliches, der, sobald eine Internet-Verbindung
besteht, andere Schädlinge aus dem Internet nachlädt und installiert.
Einige dieser nachgeladenene Schädlinge werden dann möglicherweise immer
mal wieder gefunden und entfernt, aber die Wurzel allen Übels (der oben
erwähnte Trojaner) ist bisher wohl noch nicht entfernt worden.
Aber: Ich kenne mich in dem Bereich nur äußerst unzureichend aus, von
daher ist das wirklich nur geraten.

Ob das zutrifft oder nicht kannst du am besten mit den Leuten vom
trojaner-board herausfinden. Wahrscheinlich wirst du aufgefordert
werden, HijackThis-Logfiles zu posten, dazu musst du ein paar Sachen
installieren (hijack this, ggf. escan) dafür gibts auch Anleitungen
auf http://www.trojaner-board.de/

Falls meine Vermutung zutrifft, wirst du allerdings nicht darum herumkommen,
dein System neu zu installieren :-((

Aber wie gesagt, schildere dein Problem dort und hör dir an, was die
Leute zu sagen haben.

Zufall? Ein Einzelproblem von mir?

Zufall wohl eher nicht, da steckt vermutlich schon irgendeine Ursache dahinter.
Das das im Moment ein Massenphänomen wäre, ist mir aber nicht bekannt. Was
allerdings nichts heißen muss.

[...]
Antivir bietet verschiedene
Optionen, was man mit dem gefundenen Wurm machen kann. Vormarkiert ist immer (sinngemäß) "in Quarantäne setzen", ich wähle aber immer "löschen". Was aber ist besser? Normalerweise würde ich sagen die Voreinstellung von Antivir, deshalb lösche ich die Dateien auch immer nur mit einem sehr schlechten Gewissen, in der Angst, meinen Rechner lahmzulegen, was aber bisher noch nicht passiert ist. Was rät der Experte?

Experte bin ich wie gesagt nicht, aber ich klicke auch immer auf löschen.
Sollte eigentlich normalerweise nicht schaden. Ich denke Antivir wählt die
Voreinstellung hier einfach bewußt vorsichtig. Es könnte ja sein, dass die
virenbefallene Datei eine Datei ist, die für dich furchtbar wichtig ist
und die du nicht einfach löschen möchtest. Ist aber normalerweise nicht der
Fall.

Also der Dialog ist von letzter Woche Donnerstag und Freitag. Inzwischen hat sich das geschilderte Problem nicht mehr ergeben, folgendes hatte ich am Samstag noch geschrieben:

hatte ich mein Antivirenprogramm "geupdatet". Am nächsten Morgen wieder dasselbe Szenario, nur, dass der Virus diesmal auch das Update des Antivir massiv erschwerte, zehn Neustarts waren es bestimmmt, bis es mir gelungen war, Antivir zu aktualisieren. Ich fand daraufhin auch "nur" VIERZEHN Viren. Deinen Hinweis habe ich zur Kenntnis genommen - deshalb schreibe ich Dir gerade überhaupt - und werde mich Montag darum kümmern. Bin aber z.Zt. virenfrei. Oder der von Dir vermutete Backdoor-Trojaner verhält sich nur gerade mal ein wenig ruhiger...

Das "z.Zt. virenfrei" gilt bis heute. Trotzdem bin ich nach wie vor etwas verunsichert. Allerdings hatte ich in den Tagen zwischen dem 1. April (da begann mein Problem) und dem 13. April (toll, 1. April und Freitag, der 13., ich hoffe Ihr haltet das jetzt nicht für einen Fake!) nicht jeden Tag einen Virus, dafür an manchen Tagen mehrere. So, jetzt erwarte ich Eure Nachfragen um Klarstellungen und ggf. eine paar Lösungsansätze...

MfG Enje - Ñ

Hallo.


Virenfrei bist du bestimmt nicht. Sag mal surfst du mit Service Pack 2 ? Wenn nicht besorge es dir schleunigst!!!
Dann erstelle ein HijackThis log und poste es hier. Anleitungen und Tips in meiner Signatur verlinkt.

Gruß

Undoreal

Hallo,

erstmal Danke für die Reaktion, habe mir Service Pack 2 besorgt und dann habe ich mir ein Hijacklist Log erstellt:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 19:32:01, on 21.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iFinger\iFinger.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\Programme\iFinger\plugins\IE.ifp
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Programme\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: iFinger 2.1.lnk = C:\Programme\iFinger\iFinger.exe
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads.../Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DF26AD1-A23C-4EE8-A979-79FF856975C5}: NameServer = 217.237.151.205 217.237.150.205
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Client Debug Manager - Unknown owner - C:\WINDOWS\system32\spoolvc.exe (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

iFinger ist ein Wörterbuch, ich denke die anderen Programme sind bekannt oder eben problematisch, wenn die Experten sie nicht erkennen.

Hallo.

Zitat:

O23 - Service: Client Debug Manager - Unknown owner - C:\WINDOWS\system32\spoolvc.exe (file missing)

Ja, es sieht ganz nach Backdoor aus, möglicherweise nach diesem:
http://www.sophos.com/security/analyses/w32tilebotjl.html

Abhilfe hat dir dein Mail-Gesprächspartner bereits genannt. Hier in den FAQ gibt es eine Anleitung dazu. Wichtig: Nach dem Neuaufsetzen alle an deinem Rechner verwendeten Passwörter ändern!

Hallo Franz,

vorneweg: Vielen Dank!

Alle an meinem Rechner verwendeten Passwörter heißt konkret auch die bzw. gerade die, mit denen ich mich ins Netz einwähle? Alle Passwörter, die ich seit dem 1. April benutzt habe? Oder nur die Passwörter, die ich brauche um Windoofs zu starten?

MfG Ñ

alle Passwörter, ganz einfach.

alle benutzen und alle, die irgendwo auf dem PC gespeichert sein könnten.
Ja, ist ein Haufen Arbeit, Foren, Mails, FTP, Messenger, ......................

have fun,
Heike

Zitat:

Zitat von Heike

Ja, ist ein Haufen Arbeit, Foren, Mails, FTP, Messenger, ......................

have fun,
Heike

Eben

Nun denn, auf an die Arbeit.