Hallo @ Informationsarchiv!

Ich war schon öfters auf eurer HP und konnte mir sehr hilfreiche Tipps holen - besonders die Lösungen von Nikita haben mich weitergebracht. Vielen Dank schon mal dafür!

Nun meine erste Frage:
Nach dem Versuch mir das WINDOWS SP2 Sicherheitsupdate runterzuladen, ist mein Rechner total abgestürzt. Wie sich rausgestellt hat hatte ich reichlich Würmer und Malware drauf u.a. auch vom Server AntiVirPersonal und bin jetzt auf PANDA Antivirus umgestiegen. Jetzt hab' ich mit SuseLinux 9.1 meine Festplatte partitioniert und alles neu draufgespielt.
Beim Scannen mit HiJackThis habe ich folgendes Log bekommen:

Logfile of HijackThis v1.97.7
Scan saved at 08:18:30, on 02.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\System32\BRMFRSMG.EXE
C:\Programme\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Matthias & Ulla\Desktop\HijackThis.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\MAIL.EXE

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: SmartUI.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9035EBFA-78C0-442E-84A3-ED985F09ADBD}: NameServer = 217.237.150.141 217.237.150.97

Kann mir jemand sagen, ob das nun in Ordnung ist?

Bis dahin,
Fitzliputzli

Hallöchen,

also du solltest dir mal die aktuelle Version von HijackThis besorgen...

Soweit ich sehen konnte läuft da ein ziemlich merkwürdiger Prozess: C:\WINDOWS\System32\BRMFRSMG.EXE
Hast du eventuell Programme die mit Brother zu tun haben installiert? Drucker oder Scanner oder ähnliches?

Folgenden Eintrag kannst du fixen:

O4 - Global Startup: SmartUI.lnk = ?

Der ist überflüssig...

Ansonsten ist alles o.k.

Hallo@Fitzliputzli

BROTHER POPUP SUSPEND SERVICE FOR RESOURCE MANAGER: brmfrmps
"C:\WINNT\SYSTEM32\Brmfrmps.exe" -service
____________________________________________________

Gehe in die Registry

gib oben links in die Suchfunktion der Registry ein:
<Brmfrmps
<Brother
<BrmfRsmg

und loesche rechts in der Registry alles, was du findest.
schliesse die Registry

ueberpruefe, ob du folgendes auf dem PC hast:
C:\Program Files\Brother\Brmfl03a\BrStDvPt.exe

Wenn ja....deinstallieren\loeschen und
auch loeschen:

C:\WINNT\SYSTEM32\Brmfrmps.exe
C:\WINNT\system32\BrmfRsmg.exe

Dazu oeffnest du das neue HijackThis (aktuelle Version )

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Program Files\Brother\Brmfl03a\BrStDvPt.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\SYSTEM32\Brmfrmps.exe

HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren:
C:\WINDOWS\System32\BRMFRSMG.EXE
PC neustarten

________________________________________________________

HijackThis:(neue Version )

<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten)

mfg
Nikita

Hallo @ Computerdirk und Nikita,

erst mal vielen Dank für die Tipps:
Bin z. Zt. bei einem Termin aber in ca. 1 Std. wieder vor dem Rechner.

Bis dahin,
Fitzliputzli

Hallo nochmal,

ja, ich habe ein All-In-One Drucker von Brother installiert mit dem ich auch ganz zufrieden bin.

Neue HiJackThis Version 1.98.2 habe ich jetzt auch (Thanx!)

habe jetzt folgendes gefunden (aber noch nichts gelöscht):

-BRMFRMPS.EXE-2D678F34.pf C:\WINDOWS\Prefetch
-Brmfrmps C:\WINDOWS\System32
-Brmfrmps C:\Dokumente und
Einstellungen\Matthias & Ulla\Lokale Einstellungen\Temporary Internet Files.

BRMFRSMG.EXE-20778BE4.pf C:\WINDOWS\Prefetch
brmfrsmg.exe.av C:\Dokumente und Einstellungen\Matthias & Ulla\Lokale Einstellungen\Temp
BrmfRsmg C:\WINDOWS\system32
BrmfRsmg C:\Brother\BrDriver\MfcXP
brmfrsmg C:\WINDOWS\Driver Cache\i386\driver.cab

Auch

C:\Program Files\Brother\Brmfl03a\BrStDvPt.exe

habe ich auf meinem Rechner.

Was is'n da los auf meinem PC?

Gruß,
Fitzliputzli

Hi nochmal @ Nikita,

habe alles gemacht und nun scheint's wieder zu laufen.

Vielen Dank für Deine Hilfe! Echt Prima!

Ich wünsch ich Dir 'ne gute Zeit,

Gruß
Fitzliputzli

Hallo@Fitzliputzli

Mache noch das :

<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

mfg
Nikita

Servus @ Nikita,

habe Deinen letzten Tipp durchgeführt und mit mwavScan im abgesicherten Modus folgende Infektionen erhalten:

File C:\WINDOWS\System32\spoolsvs.exe infected by "Backdoor.Win32.Rbot.cg" Virus Action: No Action Taken

File C:\WINDOWS\System32\svcshost.exe infected by "Backdoor.Win32.Pakes" Virus Action: No .....

und das gleich 2 mal. Es ist sensationell was ich mir da eingefangen habe! Ohne Deine Kompetenz hätt' ich das nie gefunden. Kannste mir nochmal sagen wie ich die Dinger loskriege?
Bin morgen in der sogenannten Herrgottsfrüh wieder Online.
Many Thanx...

mfg
Fitzliputzli

Hallo@Fitzliputzli

Gehe in die Registry
Start<Ausfuehren<regedit

Loesche(falls sie da sind, rechts in der Registry:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
CurrentVersion\Run
Microsoft Windows Update = "svcshost.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
CurrentVersion\Runonce
Microsoft Windows Update = "svcshost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
CurrentVersion\Run
Microsoft Windows Update = "svcshost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
CurrentVersion\RunServices
Microsoft Windows Update = "svcshost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
CurrentVersion\Runonce
Microsoft Windows Update = "svcshost.exe"

HKEY_USERS\.DEFAULT\Microsoft\Windows
CurrentVersion\Run
Microsoft Windows Update = "svcshost.exe"

HKEY_USERS\.DEFAULT\Microsoft\Windows
CurrentVersion\Runonce
Microsoft Windows Update = "svcshost.exe"
____________________________________________________-

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Update


oben in der Registry <edit< permissions (Berechtigungen)
Ändern Sie außerdem noch die Rechte unter "Sicherheit" -> "Berechtigungen" und geben Sie der Gruppe "Jeder" bzw. "Everyone" auf diesen Zweig "Full Control"\
=>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_UPDATE
Die Berechtigung darf NICHT auf "Lesen" gestellt, sein, sonst kannst du es nicht loeschen.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MICROSOFT_UPDATE

oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\spoolsvs.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\svcshost.exe
PC neustarten

Scanne noch mal mit eScan , deaktiviere die Wiederherstellung und berichte.
___________________________

WORM_WOOTBOT.BU
This worm exploits the Windows LSASS buffer overrun vulnerability to spread across the network. The said vulnerability allows remote code execution and enables an attacker to gain full control of an affected system. Read more on this vulnerability from Microsoft Security Bulletin MS04-011.
mfg
Nikita

Guten Morgen @ Nikita,

seit 2 Stunden sitze ich vorm Rechner - der ist jetzt a bisserl langsam geworden - und versuche Deinen Vorschlag von heute Nacht auszuführen. Damit ich nichts falsch mache habe ich mir den Registry System Wizard 1.5.8. runtergeladen und suche die ganzen HKEY's die Du mir geschickt hast. Nur der Wizard braucht gleichfalls ewig lange mit der suche. Hast Du 'ne Idee?

Bis dahin,

mfG
Fitzliputzli

Hallöchen,

probiere das ganze mal im abgesicherten Modus. Der Wurm braucht um aktiv zu werden Autostarteinträge die ihn beim Windows-Start automatisch mitstarten. Diese Autostarteinträge werden aber, wenn du den Rechner im abgesicherten Modus startest, nicht ausgeführt, so dass es eigentlich problemlos möglich sein sollte die Schritte durchzuführen.

In den abgesicherten Modus kommst du mit F8 nach dem Rechner einschalten...

Hallo @ Computerdirk,

Habe versucht meinen PC mit Panda AnitVirus zu scannen - aber so ziemlich am Ende des Scans bricht und stürzt er ab.
Versuche das jetzt mal im abgesicherten Modus die Schritte durchzuführen und melde mich dann wieder - erstmal ein kräftiges Dankeschön!

Bis dahin,
mfG
Fitzliputzli

Hallo@Fitzliputzli

es lohnt sich nicht, mit irgendwelchen Virenscannern zu arbeiten, solange die Eintraege in der Registry da sind, vor allem die Dienstaktivierung des Wurms.
Die muss unbedingt deaktiviert werden (wie beschrieben), ehe du die exe mit dem HijackThis loeschst.
Nach dem Loeschen in der Registry musst du den PC neustarten !

nach Loeschen der Registry-Eintraege\und Neustart:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\svcshost.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\spoolsvs.exe
PC neustarten

Dann noch mal mit dem eScan scannen und berichten


mfg
Nikita

Servus nochmal @ Nikita & Computerdirk,

habe jetzt alles im abgesicherten Modus durchgeführt:

Habe alles was ich an den von Nikita angegebenen HKEY's gefunden gelöscht und bei

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run

habe ich folgende Anzeige erhalten:

KernelFaultCheck REG_EXPAND_SZ %systemroot%\system 32\dumprep 0 -k

und bei

HKEY_USERS\.DEFAULT\Microsoft\WindowsCurrentVersion\Run

hab ich gekriegt:

1. CTFMON.EXE REG_SZ C: ßWINDOWS\System32\CTFMON.EXE

2. Microsoft WinUpdate REG_SZ spoolsvs.exe

3. svphost.exe REG_SZ C:\WINDOWS\system32\svphost.exe

4. WindowsRegKey update REG_SZ nurnfiyogo.exe (Was is'n das?)

Dann hab' ich den eScann durchgeführt und

"Backdoor.Win32.Pakes"

ist nicht mehr da. Aber der

File C:\WINDOWS\System32\spoolsvs.exe_infected by "Backdoor.Win32.Rbot.cg"

und

File C:\WINDOWS\system32\spoolsvs.exe_infected by "Backdoor.Win32.Rbot.cg" Virus

sind mir noch erhalten geblieben.

Wie kann ich mich von dem Ungeziefer trennen?

Und wieder erstmal und ein verbindliches Dankeschön...

mfG
Fitzliputzli

Gehe in den abgesicherten Modus (melde dich als Administrator an)

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
EnableDCOM = "N" aendere in Y

HKEY_LOCAL_MACHINE\System\CurrentControlSet
restrictanonymous = "dword:00000001" aendere in "dword:00000000"

_____________________________________________________

HKEY_USERS\.DEFAULT\Microsoft\WindowsCurrentVersion\Run
loesche:

#Microsoft WinUpdate REG_SZ spoolsvs.exe
#WindowsRegKey update REG_SZ nurnfiyogo.exe
#svphost.exe REG_SZ C:\WINDOWS\system32\svphost.exe

schliesse die Registry

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\spoolsvs.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\system32\svphost.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\system32\nurnfiyogo.exe
PC neustarten

Dann noch mal mit dem eScan scannen und berichten

mfg
Nikita