Bitte mal das Log anschauen! Danke!
 

Hallo!

Hatte vor kurzem seru32.exe per McAfees stinger.exe gefunden und beseitigt. Das Programm wollte auch ins Internet, was mein ZoneAlarm aber verhindert hat. Jetzt habe ich heute wieder ein suspektes Programm entdeckt, was ins Netz wollte, und zwar windrive32.exe. im Verzeichnis c:\winnt\system32\windrive32.exe. Da ich mich nicht so gut auskenne, bin ich mir hier jetzt nicht so sciher, ob es sich tatsächlich um einen Schädling oder ein normals Systemprogramm handelt.

Außerdem bekomme ich des öfteren Meldungen (aber erst seit seru32.exe aufgetaucht ist!), daß irgendein Registryeintrag geändert wurde, und zwar seltsamerweise im Antivir-Verzeichnis. Kann das etwas böses sein?

Für hilfreiche Hinweise wäre ich sehr dankbar!

MfG
Tara


Logfile of HijackThis v1.99.1
Scan saved at 00:24:38, on 08.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\Antivir Personal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
D:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
D:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\windrive32.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
D:\Programme\Antivir Personal\AVGUARD.EXE
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.099\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Antivir Personal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C749912-AD4E-4C04-8108-231FD745FCEC}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C02A30FC-2B7F-4E6E-8BAE-B21B11B24EF3}: NameServer = 195.50.140.250 145.253.2.203
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Antivir Personal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Antivir Personal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe

Lass folgende Datei mal bei :

http://www.malwareupload.com/

überprüfen

C:\WINNT\system32\windrive32.exe

.Böse ist sie in jedem Fall.

Teile uns das Ergebnis mit

Habe die Datei schon hochgeladen. Mal abwarten, wann das Ergebnis kommt. Was kann ich denn bis dahin tun zwecks Datenrettung und Sicherung?

Hab ich glatt vergessen: meine Firewall verhindert zumindest die offensichtlichen Zugriffsversuche von windrive32.exe. Kann ich damit jetzt noch halbwegs sicher im Netz rumhängen, ohne daß alles in die Weiten des Internets rausposaunt wird und ich noch andere PCs infiziere?

Vielen Dank für die Antowerten zu so später Stunde! :)

Und was mich ja noch verwirrt: ich hab weder irgendwelche Anhänge aufgemacht noch mich sonst unvorsichtig verhalten. Woher hab ich den Scheiß? und warum kann ich den Prozeß nicht über die Systemsteuerung beenden?

(Irgendwie komme ich mir gerade zu dauig fürs Netz vor. )

Hast Du alle Windows-Updates?

Gruß :daumenhoc
Yopie

Klingt nach Sasser...und den gab es eigentlich per Mail.

Da du ja u.a. den Firefox nutzt sehe ich 2 Möglichkeiten:
Du hast einmal zuviel geklickt, obwohl der Firefox ne Warnung ausgesprochen hat, oder du hast bis vor kurzen den IE Standartmäßig genutzt.

:nixda: Nö.
http://securityresponse.symantec.com...sser.worm.html

Gruß :daumenhoc
Yopie

Hab jetzt mit TuneUps Hilfe geschafft, das Programm zu beenden. In den Papierkorb, sicher gelöscht mit Norton (ja, ich weiß, aber mir fiel nix besseres ein). Inner Registry gesucht, und nix mehr gefunden. Mal schauen, was jetzt passiert. Lade mir gerade dasmwav-Programm, mal sehen. Mein AntivirXP findet nix, und AdAware und Spyware-Blaster auch nicht. Hm.

Glaub ich auch nicht, den müßten doch meine Proggies finden. Glaub da eher an ein fehlendes Windows-Update, aber der Explorer ist mir auch gerade dreimal beim Update-Versuch abgeschmiert. Börks.

(IchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzsei nIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzsei nIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzsei nIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzseinIchwerdeniewiedereinesekundeohnefirewallimnetzsei nIchwerdeniewiedereinesekundeohnefirewallimnetzsein

Ich hab keine Firewall.Nur mal so btw

Hm, dann wäre es sehr lieb, wenn du mir sagst, wie mensch sich effektiv gegen so nen Mist schützen kann. (Bzw. auf welchen Link muß ich klicken ;)?)Immerhin warnt mich aber meine Firewall noch davor, wenn das Kroppzeugs ins Internet kommunizieren will. :)

1. http://www.mathematik.uni-marburg.de...ompromise.html

2. http://www.ntsvcfg.de/



alternativ für Link 2

www.dingens.org

Ausserdem hier mal ne Installationsanleitung von Cidre:

http://www.trojaner-info.de/report_i...nleitung.shtml

Da steht eigentlich alles wichtige erstmal drin

Ich weiss, aber hier war ein indirekter Zusammenhang:
http://www.mcse.ms/message652545.html

So wie ich das bei Wikipedia verstanden habe, darf ich jetzt mein System erst mal neu aufsetzen, wenn es wirklich wieder sicher sein soll, oder?


Also, alles neu formatieren? Alle Programme neu installieren?

Vielleicht die Datei hier mal checken lassen:
http://virusscan.jotti.org/

Der eben genannte Link sollte dir nur einige andere Links, die Cidre sehr schön in seiner Liste aufgeführt hat, näherbringen.
Ob du dein System neu aufzusetzen ist, sollten wir erst entscheiden, wenn wir das Ergebnis von Malwareupload bekommen.
Was du aber heute Nacht noch tun könntest:

Lade dir mal Ecan runter und scanne deinSystem zusätzlich noch damit.Hier der Link.Bitte befolge die Anleitung genau:

http://www.trojaner-info.de//hijacker/escan

Sollte etwas gefunden werden teile uns das Ergebnis mit.:

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Und das Analyse-Ergebnis was Malwareupload dir zusendet ist für uns von Interesse

Ähem, die Datei ist mittlerweile gelöscht. Hoffe ich. Aber so wie's aussieht muß ich mein System neu aufsetzen. Börks.

Hab mir die datei runtergeladen und es wird jetzt gescannt. Allerdings hat das Ding selbständig angefangen, und die SCherze von wegen in ein bestimmtes Verzeichnis installieren konnte ich gar nicht machen.
Aber mal sehen, was jetzt kommt.

Wenn das Ergebnis von Malwareupload vorliegt, sag ich hier bescheid.
Bis jetzt hat Escan noch nix....

Scan ist fertig, nix gefunden. Wenn Bedarf am Log besteht, kopier ich es noch hierrein. Ansosnten werde ich jetzt mal ins Bett gehen, und morgen hat sich dann malwareupload hoffentlich schon um den kleinen Giftzwerg gekümmert....
Vielen Dank aber nochmal für die hilfreiche Unterstützung!!!!!

Hallo,

leider hat malwareupload mein file noch nicht bearbeitet. Sobald es Neuigkeiten gibt, melde ich mich.

LG


Tara

Mittlerweile kam eine Mail von Malwareupload:


Hallo,
Wir haben Ihre Datei windrive32.exe überprüft und kamen zu folgendem Ergebnis:
neue SDBot Variante, Danke!

Was sollte ich jetzt tun, um mein System wieder sicher zu bekommen?

Danke für eine Antwort!

Tara

Da ist es eigentlich nur noch sinnvoll neu aufzusetzen.
Bitte gehe nach folgender Anleitung vor:

http://www.trojaner-info.de/report_i...nleitung.shtml