Verdacht auf Virus / Wurm Infektion - Need Some Help !

#0
06.03.2004, 13:05
...neu hier

Beiträge: 8
#1 Hallo,

vor gut einer Woche spielte mein PC irgendwie verrückt, dies äusserte sich dadurch das Programme wie z.b. OpenOffice den Text eines x-beliebigen Dokuments selbstständig nach Oben bewegte .

Desweiteren führte der Rechsklick auf die Taskliste dazu das sich dort die Blaue Markierung selbstständig von "unten nach oben "bewegte", das sah so aus als ob
die Markierung in einer Art Schleife stand.

Habe dann einfach mal den PC neu gestartet, seitdem ist das Problem nicht mehr aufgetaucht, trotzdem habe ich immer noch ein mulmiges Gefühl.......

Auch Mozilla stürzt in unregelmäßigen Abständen ab, dies wird mir dann durch die Meldung "Mozilla.exe verursacht einen Fehler" präsentiert.

Was mich auch noch stutzig gemacht hat ist die Tatsache das der Inhalt eines Ornders, der auf der Partition G:/ erstellt wurde, auf einmal komplett aus dll Dateien bestand. Zum Glück hatte ich kurz zuvor eine Sicherung erstellt, son wäre ich ganz schön auf die S....... gefallen ;)

Nach ein paar Tagen Ruhe, fand ich auf Partition G:/ erneut dll Dateien, diese führe ich nun mal auf:

mfc71.dll, mfc71u.dll, msvcp71.dll, msvcr71.dll

Ich habe wirklich keinen Plan wie die dorthin kommen !!!!

Und nun zum letzten Problem:

Ebenfalls auf Partiton G:/ befindet sich eine Datei die genau "0-byte" groß ist und sich weder umbenennen, kopieren, verschieben oder löschen lässt. Auch ein Versuch mittels Startdiskette und NortonComander ist fehlgeschlagen, sie lässt sich einfach nicht löschen !

Die Datei hat auch keine Dateiendung, desweiteren besteht sie nur aus einem Viereck ( dort wo normalerweise der Name stehen sollte z.b. xyz )

Als Anti-Virus Programm benutze ich Kaspersky
Als Trojaner Scanner kommt a² zum Einsatz
Ausserdem benuzte ich noch Ad-Aware

All diese Programme sind natürlich auf dem aktuellsten Stand, aber keines der Proggys konnte einen Virus oder Wurm finden.

Zum dem Zweck, das ihr evtl. was ausfindig machen könnt habe ich mal mit Hijachthis eine Log-Datei erstellt:

Logfile of HijackThis v1.97.7
Scan saved at 12:38:14, on 06.03.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\csrss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\Ati2evxx.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\GEARSEC.EXE
D:\WINNT\system32\hidserv.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
D:\WINNT\system32\PDFCreatorMessages.exe
D:\WINNT\system32\PGPsdkServ.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\Ati2evxx.exe
D:\WINNT\Explorer.EXE
D:\WINNT\system32\sstray.exe
D:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\Programme\JawsSystems\Jaws PDF Creator\PDFClient.exe
D:\Programme\a2\a2guard.exe
D:\Programme\PGP Corporation\PGP for Windows 2000\PGPtray.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe
I:\Download\Stuff\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [PDFCreatorClient] D:\Programme\JawsSystems\Jaws PDF Creator\PDFClient.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKCU\..\Run: [a²] "D:\Programme\a2\a2guard.exe"
O4 - Global Startup: PGPtray.lnk = D:\Programme\PGP Corporation\PGP for Windows 2000\PGPtray.exe
O4 - Global Startup: Kaspersky Anti-Virus Monitor.lnk = D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BA48DB7-B55F-4C16-B53F-F82BC22347F2}: NameServer = 145.253.2.203,145.253.2.196
O17 - HKLM\System\CS1\Services\Tcpip\..\{2BA48DB7-B55F-4C16-B53F-F82BC22347F2}: NameServer = 145.253.2.203,145.253.2.196
O17 - HKLM\System\CS2\Services\Tcpip\..\{2BA48DB7-B55F-4C16-B53F-F82BC22347F2}: NameServer = 145.253.2.203,145.253.2.196

Danke im voraus,thx&bye
Dieser Beitrag wurde am 06.03.2004 um 13:26 Uhr von CoRun editiert.
Seitenanfang Seitenende
06.03.2004, 19:53
Member

Beiträge: 1095
#2 Hi die Dateien

mfc71.dll, mfc71u.dll, msvcp71.dll, msvcr71.dll

gehören wohl zu Microsoft VisualStudio .NET

Ob dir das weiterhilft ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
06.03.2004, 20:55
...neu hier

Themenstarter

Beiträge: 8
#3 hi paff,

danke für die Info !

Mit Microsoft VisualStudio .NET habe ich rein gar nichts zu tun, wüsste auch nicht dass ich die Software installiert hätte....schon komisch.

Das Protokoll ist aber OK, oder sind dort verdächtige Einträge enthalten ?


thx&bye
Seitenanfang Seitenende