Nach (?) Backdoor Befall, Probs mit Inet Verbindung

Bin natürlich nicht befreit. Hab einen Onlinecheck einzelner Dateien gemacht und dabei herausgefunden, daß folgende Datei C:\WINDOWS\System32\msconfg.exe auf jeden Fall noch infiziert ist. Habe den Kaspersky Onlinecheck benutzt, seltsamerweise findet das Programm von Kaspersky auf meinem Rechner, aber nix mehr.

Hab die Datei erst einmal gelöscht, aber irgendwie hab ich das dumme Gefühl das bringt mir nicht wirklich viel. Also das wird doch sicher wieder irgendwie aktiv werden, spätestens nach dem nächsten Neustart. Außerdem denke ich mal das das nicht alles sein kann, vor allem weil die Datei sich problemlos löschen ließ (eine aktive Datei mault doch immer und irgendwas muß bei der schlechten Verbindung aktiv sein).

Hab mir jetzt eine Firewall davorgeknallt, die meldet ganz schön viele Versuche von Systemdateien, wie z.B. svchost.exe, nach draußen zu telefonieren. Laut dem Onlincheck ist die Datei aber nicht befallen.

Dann werden noch Dateien gemeldet, deren Aufenthaltsort ich nicht finden kann. Bevorzugt zwar alle im System32 Ordner, aber teilweise gibt es die Dateien dort einfach nicht (habe die versteckten naürlich auch anzeigen lassen). Auch der ntoskernl (oder so ähnlich) will immer in`s Netz, seltsamerweise kriege ich bei dem sogar beim PC Hochfahren oft eine Anzeige das er beschädigt ist (ein weiterer Neustart reicht aber meist wieder das die Anzeige nicht mehr kommt).

Mit Firewall hab ich wieder normale Geschwindigkeit, würde aber natürlich trotzdem gerne die ganzen ungebetenen Gäste entfernen.

fixen kannst du (in Hijackthis)

O1 - Hosts: p

R0+R1 falls nicht selbst gewünscht,

O4 - HKLM\..\Run: [Microsoft Service Host] svchost2.exe
O4 - HKLM\..\RunServices: [Microsoft Service Host] svchost2.exe
O4 - HKCU\..\Run: [Microsoft Service Host] svchost2.exe

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe

O16 - DPF: {4C226336-4032-489F-9674-67E74225979B} (OTXMovie Class) - http://www.otxresearch.com/OTXMedia/OTXMedia.dll

Dann probier mal nochmal und vor allem beende alle laufenden Programme. Da läuft ja noch soviel im Hintergrund. Evtl. neuen Scan.

Lass erstmal die Tool hier unter 3. im abges.-Modus drüberlaufen:
http://www.computerhilfen.de/hilfen-17-30578-0.html

Dann kannste nochmal ein LOG machen.

Gruß

Hatte die Programme bereits durchlaufen lassen, habe es aber nochmal getan. Natürlich alle im abgesicherten Modus.

Meine Firewall meldet mir das die Datei "Winupdt.exe" immer versucht rauszutelefonieren. Im System32 Ordner ist die Datei aber nicht mehr vorzufinden. Nach jedem Neustart sagt mir die Firewall, daß die Datei verändert wurde. Das Fixen mit Hijackthis hat auch nichts daran geändert das sich diese Datei immer wieder neu einlädt.

Hab jetzt versucht wirklich alles zu schließen, alles was sich jetzt im Log befindet, ist nicht absichtlich drin und ich weiß nicht was es ist. Alle offensichtlich laufenden Programme habe ich beendet.


Logfile of HijackThis v1.98.0
Scan saved at 17:16:45, on 02.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\scrgrd.exe
C:\WINDOWS\System32\msework.exe
C:\WINDOWS\System32\wssvr.exe
C:\WINDOWS\System32\get.exe
C:\WINDOWS\System32\exploirez.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ethernet32m.exe
C:\WINDOWS\System32\winupdt.exe
C:\WINDOWS\System32\mswork.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Modi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=2540
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Brennprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [eDonkey2000] C:\Programme\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [Background Intelligent Transfer Service] C:\WINDOWS\help\rundll32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mswkork Service] msework.exe
O4 - HKLM\..\Run: [Microsoft Update] wssvr.exe
O4 - HKLM\..\Run: [Internet Explore Updates] get.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Microsofts Updatez] exploirez.exe
O4 - HKLM\..\Run: [WindowsRegKey%update] ethernet32m.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [mswork Service] mswork.exe
O4 - HKLM\..\Run: [DC33B238] C:\WINDOWS\System32\xlpbwwkfd.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [Microsoft Features] ms32cfg.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [mswkork Service] msework.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wssvr.exe
O4 - HKLM\..\RunServices: [Internet Explore Updates] get.exe
O4 - HKLM\..\RunServices: [Microsofts Updatez] exploirez.exe
O4 - HKLM\..\RunServices: [WindowsRegKey%update] ethernet32m.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\RunServices: [mswork Service] mswork.exe
O4 - HKLM\..\RunServices: [C4EE0255] C:\WINDOWS\System32\xlpbwwkfd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [Microsoft Features] ms32cfg.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [a²] "C:\Programme\a2 (Trojanerscan)\a2guard.exe"
O4 - HKCU\..\Run: [mswkork Service] msework.exe
O4 - HKCU\..\Run: [Microsoft Update] wssvr.exe
O4 - HKCU\..\Run: [Internet Explore Updates] get.exe
O4 - HKCU\..\Run: [Microsofts Updatez] exploirez.exe
O4 - HKCU\..\Run: [WindowsRegKey%update] ethernet32m.exe
O4 - HKCU\..\Run: [mswork Service] mswork.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ShockBar starten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Dokumente und Einstellungen\Modi\Desktop\surfbar.exe (file missing)
O9 - Extra 'Tools' menuitem: ShockBar starten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Dokumente und Einstellungen\Modi\Desktop\surfbar.exe (file missing)
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\Chat\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\Chat\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL

Biste sicher das du Escan und sysclean laufen hast lassen und auch upgedatet so wies beschrieben wurde?

Kann ich fast nicht glauben so wie dein Log auschaut.

Gruß

hi,
hier kannst du schon mal selbst eine auswertung vornehmen.
http://www.hijackthis.de/

Holla,

ich hab tatsächlich einen Fehler gemacht. Hatte gedacht das eScan das Selbe wie Sysclean ist. Außerdem hatte ich von Sysckean ne falsche Version am Laufen. Auf jeden Fall, mein Log sieht jetzt sehr viel besser aus. Laut der Auswertung (vielen Dank für den Online Hinweis) ist nix Böses mehr dabei. Vorher hab ich ja richtig Angst gekriegt, da war alles voll mit dem Mist.

Ich kopier nachher mal den Log, meint ihr ich bin jetzt wirklich richtig clean?

Auf jeden Fall vielen Dank für die Hilfe.

Abschließend nochmal ein paar Fragen. Mir wurde verdammt häufig eine Virus Datei namens "Win32.Parasite.b" sowie "Pe_Parasite.A" angezeigt. Seltsamerweise aber in Dateien die sauber sein müßten. Unter anderem wurde die .exe eines Virusprogrammes als infiziert gemeldet. Wie kann das sein? Evtl. Fehler beim Scan? Es wurden einige .exe Dateien gemeldet die ich ebenso für 100% sauber halte, außer ein Virus kann saubere Dateien befallen.

Logfile of HijackThis v1.98.0
Scan saved at 21:23:28, on 02.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mswork.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Modi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=2540
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Brennprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [mswork Service] mswork.exe
O4 - HKLM\..\RunServices: [mswork Service] mswork.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [a²] "C:\Programme\a2 (Trojanerscan)\a2guard.exe"
O4 - HKCU\..\Run: [mswork Service] mswork.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ShockBar starten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Dokumente und Einstellungen\Modi\Desktop\surfbar.exe (file missing)
O9 - Extra 'Tools' menuitem: ShockBar starten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Dokumente und Einstellungen\Modi\Desktop\surfbar.exe (file missing)
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\Chat\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\Chat\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL

Schaut bis auf die mswork.exe gut aus.
Die würd ich mal Online bei Kaspersky checken lassen, link steht auch in dem Link wo die Tools warn.

Und Viren können natürlich jede Datei infizieren auch Virenscanner, sind ja auch nur Dateien.

Du meintest wahrscheinlich Parite.A/B das isn exe-virus drum auch sysclean das is ne com-datei die wird nicht befallen.

Wenn dein Virenscanner infiziert war, solltest den auf jedenfall neu installieren.

Gruß

Das Problem mit der mswork.exe ist, sie ist nicht auffindbar. Laut Check sollte sie im System32 Ordner sein, ist sie aber nicht, daher kann ich sie nicht checken lassen. Weder per Windows Suche, noch per Hand, absolut nicht auffindbar (war bei einigen anderen Dateien vorher auch so, die wurden aber dank der Scanner gelöscht).

Gut das du mir das sagst bzgl. der .exe Dateien, ich wußte nicht das ein Virus sich einfach so in andere bestehende Dateien reinschreiben kann. Löschen braucht man die Dateien aber nicht, wenn der Scanner sagt er hat sie wieder gesäubert, richtig? Bisher dachte ich das ein Virus nur Dateien erzeugen und sich selbst in RegDateien festsetzen kann. Das aber auch bestehende Dateien umgeschrieben werden, war mir neu. Hatte mich seit 486er Zeiten damit nicht mehr beschäftigt weil ich bisher drauf geachtet hatte nichts gefährliches zu laden. Bis jetzt eben. War aber ganz gut, dadurch hab ich wenigstens mal das ganze System auf Herz und Nieren geprüft.

Gruß und nochmal Danke
Hotte

Taucht die msworks denn jetzt immer noch im LOG auf?

Wenn ja bootem mit der CD und starte von dort die wiederherstellungskonsole->als Admin anmelden in den system32-Ordner wechseln ( cd c:\windows\system32 )
und schau ob du sie dort findest: dir ms*.exe

Wenn ja löschen mit: del mswork.exe

Aso auf die Säuberung der Datein würd ich mich bei Virenscannern nicht verlassen.
Den würd ich Sicherheitshalber neu installieren, gleiches Spiel mit der Firewall.
Aber mal davon abgesehn, wenn du trotz Virenscanner so viel Zeuchs drauf hattest würde ich den Scanner wechseln.

Gruß

Ja, die Datei taucht noch immer auf.

Han die Wiederherstellungskonsole gestartet, wurde aufgefordert mein Kennwort einzugeben. Hab das Kennwort meines Adminaccounts eingegeben. Problem ist das mein Account mit Adminrechten den ich benutze, nicht der Adminaccount an sich ist. Deshalb wurde das PAsswort auch nicht angenommen. Der eigentliche Adminaccount (der irgendwie scheinbar versteckt existiert) hat keine Passwortsicherung. Daher hab ich dann auch nur einfach Enter gedrückt und dann ging es scheinbar. Möchte bloß extra drauf hinweisen weil evtl. das spätere Problem damit zusammenhängt. Bin zwar der Meinung als Admin eingeloggt zu sein da es auch keine Fehlermeldung gab und der Account eben kein Pass hat, aber sicher ist sicher.

Ok, die Datei wird mir hier angezeigt (mit dem Dir Befehl). Ich kann sie aber nicht löschen. Ich kriege die Fehlermeldung "Zugriff verweigert".

Auffallend ist auch noch das irgendwelche Buchstabenbezeichnungen von den anderen Namen abweichen.

Die anderen Dateien unter ms* haben die Bezeichnung (Seriennummer oder was weiß ich) -a------ die Datei mswork hat aber die Bezeichnung -arhs--- (und das als einzige Datei). Die Größe beträgt 330318 (Byte?) und sie ist damit größer als alle anderen ms* Dateien.

Hoffe das die Infos evtl. etwas behilflich sind.

Gruß Hotte

Übrigens versucht sich die Datei, laut meiner Firewall, immer mit der Adresse (die beim browsen nicht existent ist) wowcool.ath.cx zu verbinden. Es wird mir von der Firewall ebenso gesagt, daß das Remote Port 6667 (IRCU - IRCU) dazu genutzt werden soll.

Ich kopiere mal das gesamte Protokoll zum Versuch, hoffe das ist ok.


File Version :      
File Description :   C:\WINDOWS\system32\mswork.exe
File Path :      C:\WINDOWS\system32\mswork.exe
Process ID :      0x77C (Heximal) 1916 (Decimal)

Connection origin :   local initiated
Protocol :      TCP
Local Address :    217.237.53.9
Local Port :      3602
Remote Name :      wowcool.ath.cx
Remote Address :   216.218.242.189
Remote Port :       6667 (IRCU - IRCU)

Ethernet packet details:
Ethernet II (Packet Length: 80)
   Destination:    01-00-20-00-01-00
   Source:    00-00-01-00-00-00
Type: IP (0x0800)
Internet Protocol
   Version: 4
   Header Length: 20 bytes
   Flags:
      .1.. = Don't fragment: Set
      ..0. = More fragments: Not set
   Fragment offset:0
   Time to live: 64
   Protocol: 0x6 (TCP - Transmission Control Protocol)
   Header checksum: 0xeb17 (Correct)
   Source: 217.237.53.9
   Destination: 216.218.242.189
Transmission Control Protocol (TCP)
   Source port: 3602
   Destination port: 6667
   Sequence number: 3916406652
   Acknowledgment number: 0
   Header length: 32
   Flags:
      0... .... = Congestion Window Reduce (CWR): Not set
      .0.. .... = ECN-Echo: Not set
      ..0. .... = Urgent: Not set
      ...0 .... = Acknowledgment: Not set
      .... 0... = Push: Not set
      .... .0.. = Reset: Not set
      .... ..1. = Syn: Set
      .... ...0 = Fin: Not set
   Checksum: 0x9463 (Correct)
   Data (0 Bytes)

Binary dump of the packet:
0000:  01 00 20 00 01 00 00 00 : 01 00 00 00 08 00 45 00 | .. ...........E.
0010:  00 34 48 4A 40 00 40 06 : 17 EB D9 ED 35 09 D8 DA | .4HJ@[email protected]...
0020:  F2 BD 0E 12 1A 0B E9 6F : 9F 7C 00 00 00 00 80 02 | .......o.|......
0030:  7F FF 63 94 00 00 02 04 : 05 A0 01 03 03 00 01 01 | ..c.............
0040:  04 02 B7 BF 18 46 5B AA : 34 C3 A7 11 A0 23 D7 E6 | .....F[.4....#..

Oh man, es tut mir leid wenn das hier in Spam ausartet, mein Problem ist aber schwerer als erwartet. Bisher habe ich nur gezielt auf die Trojaner die raustelefonieren wollen geachtet und davon war ja nur noch die mswork.exe übrig.

Ich wollte mein System "spaßeshalber" aber nochmal scannen und dabei kam das "böse Erwachen". eScan ist nicht mehr im Einsatz da er von einem Virus befallen wurde. Daraufhin hab ich noch einmal Sysclean angeschmissen um erschrocken festzustellen, praktisch jede .exe Datei ist mit dem Virus PE_Parasite.A befallen. Er hat allein im Windowsordner über 560 Dateien die infiziert sind gefunden.

Ich werd das Ding nachher nochmal über die gesamten Festplatten (2 Stück a 120gb) laufen lassen, was einiges an Zeit kosten wird. Hab aber das Gefühl das der Virus immer wieder kommt (hab definitiv schon einige Dateien gesäubert gehabt die er mir wieder als befallen gemeldet hat, meine einzige Hoffnung ist nun, daß es daran lag das mein erster Check zu unsauber war weil ich nur auf Windows und einige größere Nebenordner wert gelegt hatte und der Virus aus anderen Dateien wieder übergegriffen hat).

Neben diesem Virus, wurden mir aber schon wieder einige andere Trojaner angezeigt. Unter anderem Worm_Spybot.br und Worm_bobax.c