W32/Sasser.a und Blaster

von **automatix** am 20.12.2004, 00:09

Hi Nikita!

Ich hab hier einen Rechner mit 3 bösen Programmen.

O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx

C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
F:\Programme\klickTel\klickTel Juli 2003\KSTART32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Norton AntiVirus\OPScan.exe
C:\DOKUME~1\HEINRI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis199_beta.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] c:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "c:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] C:\Programme\T-Online\Dialerschutz-Software\Defender.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: klickTel Juli 2003 - Schnellstarter.lnk = F:\Programme\klickTel\klickTel Juli 2003\KSTART32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3972107999
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{72DBD06D-6A31-4253-8479-32260443F160}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{72DBD06D-6A31-4253-8479-32260443F160}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Dialerschutz Dienst - Unknown - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Symantec Licensing Detect Internet Connection - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Ich habe die 3 Programme gefixt. Reicht das oder muß ich noch was löschen?

von **automatix** am 25.12.2004, 03:13

Vielen Dank für die zahlreiche Anteilnahme!

Weihnachten ist das Fest der Geschenke. Unter meinem Baum lag ein Linux Suse 9.2
Vor diesem Hintergrund ist es mir sch... egal was im Hijackthis steht.
In diesem Sinne, allen ein virenfreies Fest.

von **Nikita** am 25.12.2004, 20:00

Mit fixen ist der W32/Sasser.a und Blaster leider nicht beseitigt.

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Entfernungstool (Sasser)
ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.exe
oder: von HTTP: http://www.f-secure.com/tools/f-sasser.exe

#Stinger
http://vil.nai.com/vil/stinger/
----------------------------------------------------------------------------------------

#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867

mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken(warum habe ich keinen Schimmer) und danach kavup.exe (Update) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
Bild

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterpr ... ll_pre.php

----------------------------------------------------------------------------------------------

<Maßnahmen zu Schutz und Entfernung (Sasser)
http://sasser.klaffke.de/

ALLE WINDOWSUPDATES MACHEN !!!!!!!!!!!!!!
#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php

von **automatix** am 26.12.2004, 19:02

Hi Nikita!

Vielen Dank für deinen Beitrag.
Wie ich bereits im Beitrag vorher geschrieben habe, hat mir der Weihnachtsmann Suse 9.2 unter den Baum gelegt. Außerdem habe ich WIN 98 SE. Wenn ich richtig informiert bin, kann der Blaster bei mir nichts anrichten. Ebenso der Sasser. Mir ist bekannt, dass zwar mein Rechner nicht infiziert wird aber als Standort zum verteilen missbraucht wird. Daher habe ich einige deiner empfohlenen Programme ausgeführt.
In ein paar Tagen werde ich Linux installieren. Deswegen sollten wir uns nicht zu viel Arbeit machen. Nur soviel, dass mein Rechner keine Virenschleuder ist.

von **don paolo** am 28.12.2004, 13:50

Virenmutterschiff wäre da passender...lol :wink:

von **automatix** am 09.01.2005, 18:27

Hi!

Das Problem habe ich mittlerweile beseitigt.
Eine meiner Email Adressen ist verbrannt. Dort kommen täglich ca. 5 verseuchte Nachrichten. Ich hole die Nachrichten für diese Adresse nicht mehr ab, sondern lösche die Nachrichten auf dem Server. In ca. 1 Woche, wenn alle meine neue Adresse gefressen haben, wird die alte gelöscht.

von **Nikita** am 09.01.2005, 18:45

Hallo@automatix

Ich hoffe doch sehr, dass du nicht mit dem Blaster + Sasserwurm im Net rumsurfst

von **automatix** am 12.01.2005, 15:35

@ Nikita

Du hast vollkommen recht. Es ist ganz bestimmt nicht in meinem Sinn, wenn durch meinen Rechner Viren verbreitet werden.
Daher habe ich mein System neu installiert. Im Moment habe ich eine neue Festplatte mit WIN XP drin. Es ist keine Datensicherung von der alten Platte drauf. In der nächsten Zeit werde ich noch ein paar Sicherheitstools usw. installieren.
In dieser Maschine ist noch eine weitere neue Platte mit Suse 9.2 installiert. Ich muss mich erst noch mit diesem Betriebssystem vertraut machen. Wenn ich so weit bin, werde ich mich vom XP verabschieden.
Um sicher zu gehen hier mein Log:

Logfile of HijackThis v1.99.0
Scan saved at 14:23:00, on 12.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\STK013\STK013M.exe
C:\WINDOWS\System32\mmc.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\slrundll.exe
C:\Dokumente und Einstellungen\Richard\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [ECS CLOCK] C:\WINDOWS\System32\ecsclock.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: STK013 PNP Monitor.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{33B296E0-8CC5-47AD-B46C-CE0CF2F42C69}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Danke, bis dann!

von **Nikita** am 12.01.2005, 16:02

nun ja, abgesehen davon, dass sich nicht ein einziges SicherheitsUpdate von Windows auf dem System befindest...weder SP1 noch SP2.....

Du MUSST die WindowsUpdates machen !!!

W32/Sasser.a und Blaster

W32/Sasser.a und Blaster

Ähnliche Themen

Wer ist online?