hallo Forum,

laut Murphys Gesetz passiert sowas ja immer am Wochenende, wenn man sich eigentlich gedacht hat, es wird schön gemütlich, man kann ein paar Sachen erledigen, für die die ganze Woche keine Zeit war, Backups laufen lassen und zwischendurch ein bißchen Holunderwein trinken ...

Ich habe auf meinem "Hauptrechner" per GRUB die Auswahl aus mehreren Betriebssystemen: Gentoo, FreeBSD, WindowsXP. Heute mittag habe ich den Rechner angestellt und erstmal Gentoo gefahren, da sah noch alles sehr ordentlich aus. Im "LAN" hängen noch zwei ältere Windows-Maschinen dran, beide im Moment nur mit Win98, weil sie nichts wesentlich anderes können (CPU zu alt und nicht genug Speicher), aber einen brauche ich für mails (OE), und den anderen als Ablage. Beide können auch online gehen, weil Gentoo natürlich routen kann.

Ich kann nicht mehr genau sagen, warum, aber ich habe dann meinen "host" mit WindowsXP neu starten wollen. Das Auswahlmenü für GRUB kam noch, aber dann bloß noch eine kurze Notiz, daß kein System gefunden werden konnte. Oha, klasse. Also mußte ich ein bißchen nachschauen. Siehe da, irgendwas hat mir meine Partitionstabelle zerschmissen einschließlich mbr. Die Platte tut so, als ob sie unformatiert wäre. Dumm nur, daß da ein paar Sachen drauf sind, die eigentlich gerade jetzt, also Samstagabend, per Cronjob ins Backup hätten wandern sollen - darunter ein paar wichtige mails und Arbeitszustände an Projekten - darunter eines für den SELFRaum.

Also Platte rausgenommen, eine andere Platte angestöpselt, partitioniert, und es sollte erstmal bloß WindowsXP wieder drauf. Das hole ich mir aus Zeitgründen nicht von einer CD (die hab ich auch), sondern von einer zweiten Platte, die meine gesamten Downloads und Installationspakete enthält. Aber die WindowsXP-Installation brach mit einem bluescreen ab. Sehr eigentümlich. Dann eben Knoppix zur Diagnose von einer CD - und siehe da: auf meiner Installationsplatte waren _sämtliche_ EXE-Files in sämtlichen Verzeichnissen auf Zwergengröße geschrumpft, alle so um die 12 bis 56 KB groß, und alle mit einem Zeitstempel von gestern versehen. Die Installationsdatei ow32dede854.exe beispielsweise war statt ca. 3,8 MB bloß noch 34 KB groß.

Platte 1 also nochmal mit einem Hexeditor mit Nullen überschrieben (als Ersatz für das, was früher mal "low level" hieß), neu partitioniert und formatiert, und WindowsXP von CD eingespielt. Ging problemlos. Und da man als mehr oder weniger vorgeschädigter user ja dann als allererstes Windows-Update fährt, um zu schauen, was die Redmonder eventuell grade für neue Sicherheitslöcher gefunden und vielleicht sogar schon gestopft haben, habe ich das auch angestellt. Da kam auch bißchen was angetrudelt, aber irgendwann zwischendurch sehr bald ein "DOS-Fenster" für eine "dl.exe".

Das Teil ist der Übeltäter. Es gab plötzlich in C:\Programme ein neues Verzeichnis "WSN", da lag diese EXE drin, ganze 6 KB groß, und ließ sich nicht löschen, obwohl der Taskmanager keinen zugehörigen Prozeß meldete. Nach Abbruch aller Aktivitäten und Neustart im Abgesicherten Modus ließ sich das zwar entfernen, aber es war schon zu spät: nach erneutem reboot im Normalmodus geht der Rechner mit WindowsXP partout nicht mehr online. Also auch keine Chance, die WindowsUpdates zu vervollständigen. AV-Software tut nichts und erkennt nichts. Und auf meinen beiden LAN-Clients hat sich das Ding auch eingenistet (an unterschiedlichen Orten), so daß ich wohl auf den beiden auch erstmal "format C:" fahren darf.

Andere Dateien außer EXE-Files scheinen nicht betroffen, die Auslagerungsdatei hab ich natürlich auf Null zurückgesetzt und ausgefegt.

Hat jemand mit dem Ding in den letzten Tagen bereits irgendwelche Erfahrungen gemacht oder weiß gar Abhilfe? Es muß irgendein Virus oder Wurm sein, der durch einen offenen port kriecht, wenn man sich grade ganz unschuldig die letzten WindowsUpdates holen möchte, aber an den mir bekannten Informationsstellen habe ich nichts gefunden - und es trifft mich in dem Moment, in dem ich eigentlich eh ein Problem mit der Partitionstabelle hätte lösen müssen. So viele neue Platten, die ich mal schnell zu Testzwecken verseuchen könnte, habe ich auch nicht ...

Grüße aus Berlin

Christoph S.