Hallo, ich bin aus folgenden Gründen etwas beunruhigt, finde selbst keine Informationen mehr und wollte daher mal hier die Experten fragen.
Habe gestern eine Firewall installiert (Kerio) und damit entdeckt, dass eine gewisse "DoJGhn94YR.exe" etliche Verbindungen aufbaut (viele zu irgendwelchen Microsoftservern). Seltsamerweise hat nich Kerio aber NICHT gefragt ob ich das zulassen will. Dann hab ich dem Dingens verboten Verbindungen aufzubauen - ohne Erfolg.
Naja, jetzt hab ich den merkwürdigen Prozess erstmal beendet (ca. 5 Mb speicher hats belegt) und aus dem Autostart genommen.
Die EXE befindet sich in C:/Windows, ist 45,9kb klein, versteckt, und hat den Bücherstapel vom Winrar-zeichen als Symbol.
Sie bewirkt außerdem reproduzierbar, dass die Eingabeaufforderung nach einigen Sekunden abschmiert (sich schließt). Avast! der neuesten Version bemerkt keine Unstimmigkeiten, und Google findet keine Seite wenn man nach dem Teil sucht.
Und das ist es auch was mich am meisten wundert. Ist es ein Wurm mit automatisch generiertem Namen? Oder vielleicht gar ein noch vollkommen unbekannter?

ein weiterer beweis wieviel "PFWs" helfen ;)

Was sind PFWs???

Original geschrieben von Gast
Was sind PFWs???

Personal FireWalls (wie z.B. Zonealarm)

mmm...

Welche Processe hast du alles im Task-Manager aktiv ? könnte ein Wurm sein, ein paar wenige vergeben sich mittlerweile gerne zufällige Namen, um Virenscanner auszutricksen ... welchen Virenscanner benutzt du und hast du ihn upgedatet ?

Ok, also weitere Prozesse sind im Moment:
Andy:
ati2evxx.exe
explorer.exe
atiptaxx.exe
ashDisp.exe
jusched.exe (hmmm? klingt komisch)
ashMailSv.exe
CTHELPER.EXE
Shareaza.exe
mozilla.exe
kpf4gui.exe
trillian.exe
devenv.exe
taskmgr.exe *gg*

Lokaler Dienst:
svchost.exe

Netzwerkdienst:
svchost.exe

System:
Leerlaufprozess *g*
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
ati2evxx.exe
3*svchost.exe
spoolsv.exe
aswUpdSv.exe
ashServ.exe
CascSvc.exe (cascadsl glaub ich)
kpf4ss.exe
mdm.exe
kpf4gui.exe

Mein Virenscanner ist avast! in der neuesten Version.

mmm...

Wenn du keine Tipfehler hast, woher kommt das Programm "ashMailSv.exe" ? Google findet dazu gar nix :(, zu "CascSvc.exe" wird ebenfalls nicht viel gefunden ... devenv.exe kann ich selber nicht zuordnen, scheint aber kein Virus zu sein ... jusched.exe ist "Sun Java Update Scheduler", sprich, ein Teil von Java und damit ein normaler Dienst ... lieber wäre es mir, du nimmst einmal hijackthis und erstellst damit ein Log, das zeigt mehr an ;), Link dazu in meiner Signatur ...

Original geschrieben von Lokadamus
Wenn du keine Tipfehler hast, woher kommt das Programm "ashMailSv.exe" ?
Bei Avast Antivirus gibt es eine Datei ashMaiSv.exe (überprüft ausgehende Mails nach Viren).

Falls die Datei aber wirklich als ashMailsv.exe angezeigt wird, ist es vielleicht doch etwas anderes.

Aqua

Jap, war ein Tippfehler von mir.
Hier die log von HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 18:20:13, on 2.5.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
f:\Programme\Alwil Software\Avast4\aswUpdSv.exe
f:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CascSvc.exe
F:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
F:\Programme\Shareaza\Shareaza.exe
F:\Programme\Trillian\trillian.exe
F:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
F:\Programme\Mozilla\mozilla.exe
F:\Programme\Visual Studio .NET\Common7\IDE\devenv.exe
F:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\AcrobatReader6\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avast!] f:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] f:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [CCAPP] C:\WINDOWS\gPiTbXc3SNTGs.exe
O4 - HKCU\..\Run: [Shareaza] "F:\Programme\Shareaza\Shareaza.exe" -tray
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{375958EB-A546-4695-B03A-43ECF9FB4AFB}: NameServer = 192.168.50.57
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4BFE937-D820-40D9-81F9-F3AEFCD2BEF7}: NameServer = 145.253.2.75 145.253.2.171
O17 - HKLM\System\CS1\Services\Tcpip\..\{375958EB-A546-4695-B03A-43ECF9FB4AFB}: NameServer = 192.168.50.57

Original geschrieben von Gast
Jap, war ein Tippfehler von mir.
Hier die log von HijackThis:
O4 - HKLM\..\Run: [CCAPP] C:\WINDOWS\gPiTbXc3SNTGs.exe

Hau das mal aus der Registry bzw. über "msconfig" aus dem Autostart! Das kann nur ein Wurm/Virus sein, der einem zur Verschleierung in den Autostarteinträgen den gleichen Namen gibt, wie der Eintrag von der Norton Personal Firewall.

Danach solltest du dir mal einen anderen Virenscanner ziehen, installieren, updaten und anschließend dein System scannen.

mmm...

cascadsl <--- Ist das ein französicher Provier oder sowas ?

O4 - HKLM\..\Run: [CCAPP] C:\WINDOWS\gPiTbXc3SNTGs.exe <--- Das ist ein komischer Eintrag, du scheinst in deinem Windowsordner einige solcher komischen Sachen zu haben, poste mal von Regedit die Zweige mit Local Machine/ Software/ Microsoft/ Windows/ Current Version/ Run und darunter "Run Once" ... dort wird wohl noch einiges dazu drinne stehen, zumindest der Aufruf. Den Process hast du schon gekillt, oder ?

Argh, ich hatte alles so schön abgeschrieben, und dann konnt ichs nicht abschicken, hatte den Text aber in der Zwischenablage. HATTE GRRRRRRRRRRR
Naja, darum jetzt *etwas* kürzer:
RunOnce war leer.
In Run stand nix neues außer:
KernelFaultCheck
UpdReg
MsConfig

@cascadsl: ein prog zur automatischen Wiedereinwahl nach automatischer Trennung

Und was ich auch noch gesagt hatte:
Das neue komische Ding ist genau so groß wie das alte komische Ding.
Und: Ich finds toll dass mir hier so geholfen wird!

Stehen denn immernoch dieser komische Eintrag unter dem Namen "CCAPP" und dem Wert "C:\WINDOWS\gPiTbXc3SNTGs.exe" in "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" oder ähnlich dubiose Einträge?
Hast du mal einen anderen Virenscanner getestet? Spybot Search & Destroy oder Adawre genutzt(Links gibts im Sticky)?

mmm...

UpdReg = Application that reminds users to register for their Creative Labs products, also harmlos ;), kannst es wohl trotzdem ausm Autostart treten, am besten über msconfig ...

Was steht bei MSConfig dahinter? so einen Eintrag hab ich bei mir nicht :( ... darum mag ich lieber kleines Screenshots, wo die relevanten Informationen ausgeschnitten sind, man sieht dann sofort alles ...

Persöhnliche denke ich, das ist ein kranker neuer Wurm, welcher sich immer am Anfang startet und dann eine neue .exe mit zufälligen Namen erzeugt. Mit Pech ist sie wieder da, dann kannst du mal alles an Informationen rauskopieren, was sysedit (unter Start -> Ausführen aufrufen) anzeigt ... vielleicht kannst du mir eine Version davon zippen und mailen, mal schauen, ob man so den Namen herausfinden kann :) ... lokadamus@gmx.de Betreff "3DC - Virus" ...

Link zu Spybot und Ad-Aware findest du in meiner Signatur, solltest eines von beiden Programmen (oder beide) nehmen und erstmal per Online-Update aktualisieren, danach scannen ;) ...

Ich nehm stark an, dass der MsConfig-Eintrag (jetzt isser weg) da war weil ich vorher ne Einstellung zum Systemstart gemacht hatte (da poppt beim nächsten Boot auch immer so ein Fenster auf).
Ich glaube des Weiteren, dass der wahrscheinliche Wurm besiegt ist! Ich seh nirgends mehr was von ihm!
Aber dafür sind schon wieder neue andere Prozesse und so da...
Hab nochmal nen Screenshot gemacht und ihn dir mit geschickt (hab keinen Webspace momentan).
Der andere Virenscanner zieht noch, Spybot und Co hab ich durchlaufen lassen und Entsprechendes gelöscht.
@Sephirot: nein, in der Registry steht nix mehr davon.
Hier nochmal eine log von HiJackThis:

Logfile of HijackThis v1.97.7
Scan saved at 15:38:38, on 3.5.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
f:\Programme\Alwil Software\Avast4\aswUpdSv.exe
f:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CascSvc.exe
F:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
F:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
F:\Programme\Shareaza\Shareaza.exe
F:\Programme\Mozilla\mozilla.exe
F:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\taskmgr.exe
F:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\AcrobatReader6\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avast!] f:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] f:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [Shareaza] "F:\Programme\Shareaza\Shareaza.exe" -tray
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{375958EB-A546-4695-B03A-43ECF9FB4AFB}: NameServer = 192.168.50.57
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4BFE937-D820-40D9-81F9-F3AEFCD2BEF7}: NameServer = 145.253.2.75 145.253.2.171
O17 - HKLM\System\CS1\Services\Tcpip\..\{375958EB-A546-4695-B03A-43ECF9FB4AFB}: NameServer = 192.168.50.57

mmm...

Hab das Teil bei mir eben entpackt, Antivir sprang sofort an und nennt das Teil Gobot.U, ein Wurm ... da ich leider nicht weiss, wie welcher Virenscanner den Wurm nennt, finde ich zu Gobot.u keine Info's, zu Gobot selber gibt es mehrere Informationen ... auf deinem Screen konnte ich auf die schnelle nix besonderes mehr sehen, höchstens deine Nameserver irritieren mich etwas, der mit 192.169.50.57, ist das dein Router oder sowas? ...

Original geschrieben von Lokadamus
mmm...

Hab das Teil bei mir eben entpackt, Antivir sprang sofort an und nennt das Teil Gobot.U, ein Wurm ... da ich leider nicht weiss, wie welcher Virenscanner den Wurm nennt, finde ich zu Gobot.u keine Info's ... Hilft das vielleicht?
http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=Gobot&complete=1&product=2

mmm...

Indirekt, wie gesagt, zum Begriff Gobot alleine gibt es mehrere Informationen, zu Gobot.u alleine hat man nur 3 Anworten ... wird wohl nur eine neue Version sein, trotzdem schade, das Avast den noch nicht findet ...

Edit: X - Dragon, irgendwie sucht das Teil falsch, wenn ich bei Symantec auf den Link gehe, erhalte ich die Meldung, das "Gobot" nicht gefunden wurde und Sophos hat das Teil mit unter Agobot laufen, wobei Gobot als eigenständiges Teil in der Beschreibung für das nächste Update genannt wird ... alles leicht verwirrend ... vielleicht sollten wir diesen Wurm als Scannertest missbrauchen ;D ...

Krass, das komischste kommt noch: Avast hat bei mir bevor ich die Firewall installiert habe nämlich 2 Mal (oder 3?) einen gewissen "Win32: Gaobot 129" gefunden! Ich hab das dann auch immer gleich gelöscht und dachte es wäre gut.
Aber anscheinend hat der Wurm irgendeinen Trick ungewendet und überlebt, so dass ihn Avast jetzt nicht mehr erkennt. Naja, ich lösch auf jeden Fall die 2 Dateien und besorg mir auch mal Antivir.
(Zu "Gaobot" gibts auch etliche Informationen, war ganz überrascht was der alles kann. DoS-Attacken, CD-Keys klauen, meinen PC für Hackerattacken vorbereiten, Virenscanner ausschalten (hmmm, vielleicht erkennt ihn Avast! deshalb nicht mehr?) und und und. Ist das normal dass die Würmer so extem viel können?)
_
Nameserver? Also nen Router hab ich nicht!

Original geschrieben von splat
... Ist das normal dass die Würmer so extem viel können?
... Nein normal ist das nicht, aber Viren gibts nun mal in allen nur denkbaren Variationen und wenn man schon dabei ist (ein Virus zu schreiben) dann kann man ihm doch auch lieber ein paar mehr Funktionen mitgeben als ein paar zu wenig. Wer weiß wann man dieses oder jenes mal gebrauchen könnte ... :)

Original geschrieben von splat
Krass, das komischste kommt noch: Avast hat bei mir bevor ich die Firewall installiert habe nämlich 2 Mal (oder 3?) einen gewissen "Win32: Gaobot 129" gefunden! Ich hab das dann auch immer gleich gelöscht und dachte es wäre gut.
...
Ist das normal dass die Würmer so extem viel können?)
_
Nameserver? Also nen Router hab ich nicht! mmm...

Gaobot hat nix mit Gobot zu tun, der allgemeinen Beschreibung nach hat Sophos Gobot bei sich unter dem Namen Gobot-A (http://www.sophos.de/virusinfo/analyses/w32gobota.html) drinne, während Sophos W32/Agobot-AC (http://www.sophos.de/virusinfo/analyses/w32agobotac.html) mit dem Alias W32/Gaobot.worm.gen.b und W32/Agobot-EV (http://www.sophos.de/virusinfo/analyses/w32agobotev.html) mit Alias W32/Gaobot.worm.gen.g unterscheidet ... alle paar Tage gibt es von dem einen oder anderem Virus eine neue Version, welche die Virenscanner aber nicht erkennen können ... die Funktionen selber werden immer weiter ausgebaut, wobei der Virus entweder kleiner wird oder mehr Funktionen hat ... wegen Nameserver, ist eigentlich unwichtig, weil die IP 192.168.XXX.XXX eine interne IP ist, nur verwundert mich der Eintrag doch etwas, der andere Eintrag für Nameserver ist für Arcor Online, ich denke, darüber bist du drinne, oder ?

korrekt.
Hm, was mal interessant wäre wäre selbst einen Virus zu schreiben. ^^ (ich mein das ernst, aber nicht dass sowas könnte, soviel Programmiererfahrung hab ich nicht, leider...)
Ich versuch morgen mal Antivir zu bekommen und mach dann einen Scan, im Moment hab ich keine Zeit mehr.

mmm...

Antivir gibt es für den privaten Gebrauch umsonst ... www.free-av.de ...

Ok, das Problem scheint sich erledigt zu haben. Antivir hat nix mehr gefunden und es gibt auch keinerlei Anzeichen mehr.
Danke für die Hilfe!!!