Korgo.U -Wurm \ [Cryptographic Service] C:\WINDOWS\System32

von **BMW** am 16.10.2004, 13:15

Hi Leute

mein PC reagiert nach einiger Zeit nicht mehr
vieleicht hab ich ein virus drauf kann mal einer bitte checken

Logfile of HijackThis v1.97.7
Scan saved at 13:14:26, on 16.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\qhbescvy.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

danke im vorraus

von **miezmutz** am 16.10.2004, 17:11

Hallo BMW,
als erstes würde ich dich bitten, pro Problem nur einen thread ( siehe www.informationsarchiv.net/foren/beitrag-6945.html ) anzufangen, oder handelt es sich um ein neues Problem?
zu deinem logfile...
C:\WINDOWS\System32\qhbescvy.exe
ist möglicherweise nicht ganz koscher, leider hat Google dazu nichts gefunden
laß die exe doch mal hier scannen:
http://virusscan.jotti.dhs.org/

von **Nikita** am 16.10.2004, 22:00

Hallo @BMW

Poste bitte das komplette HijackThis,
Ich kann nicht verstehen, wieso du nur die Haelfte gepostet hast.

mfg
Nikita

P.S:
C:\WINDOWS\System32\qhbescvy.exe
ist ein Backdoor, aber ohne das komplette HijackThis, kann ich nichts weiter sagen......

von **BMW** am 17.10.2004, 13:55

Hallo mietzmutz
Hallo Nikita

hier noch mal mein Logfile

Logfile of HijackThis v1.97.7
Scan saved at 13:51:30, on 17.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\qhbescvy.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLI~1\BSW4\ToDuCAlC.EXE
C:\Dokumente und Einstellungen\p\Eigene Dateien\ICQ Lite\325735315\emule\emule.exe
C:\WINDOWS\System32\vpc32.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\p\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\hszxpir.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [kijhogsun] C:\WINDOWS\System32\qhbescvy.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Windows Firewall] firewal1.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup

von **Nikita** am 17.10.2004, 18:05

Hallo @BMW
Dein PC ist voellig verseucht. Ich empfehle dir eine Neuinstaltion.

Falls du die Reinigung versuchen willst (fast aussichtslos)
______________________________________________________

#Deaktiviere die Wiederherstellung

#Deaktiviere im Taskmanager
<C:\WINDOWS\System32\qhbescvy.exe
<C:\WINDOWS\System32\vpc32.exe
<C:\WINDOWS\System32\hszxpir.exe

Gehe in die Registry
Start<Ausfuehren<regedit
gib oben links in die Suchfunktion ein:
<qhbescvy.exe
<vpc32.exe
<hszxpir.exe
<firewal1.exe
und loesche rechts in der Registry alles, was du findest .

loesche auch rechts folgenden Eintrag, falls er existiert.
[HKLM\Software\Microsoft\Wireless]
"ID" = "<zufällige_Buchstabenfolge>"
"Client"
__________________________________________________

oeffne das HijackThis, hake an, was ich poste und <fix< dann PC neustarten

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\hszxpir.exe
O4 - HKLM\..\Run: [kijhogsun] C:\WINDOWS\System32\qhbescvy.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Windows Firewall] firewal1.exe

neustarten und in den abgesicherten Modus (mit Online-Verbindung) gehen.

#Lade das Entfernungstool fuer Korgo.u
http://www.symantec.com/region/de/techs ... .tool.html

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

#Loesche: (immer darauf achten, dass es nicht im Taskmanager aktiv ist)
<C:\WINDOWS\System32\hszxpir.exe
<C:\WINDOWS\System32\vpc32.exe
<C:\WINDOWS\System32\ firewal1.exe
<C:\WINDOWS\System32\qhbescvy.exe
<uterm19 (ist der Mutex vom Korgo-Wurm)..falls er nach Anwendung vom Entfernungstool noch da ist...loeschen

Da alle Backdoors auch Mutexe haben, die sich beim Booten wieder aktivieren, versuche sie mit diesen Scannern zu finden und zu loeschen
#CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm

#<Online-Scann (Panda)
http://www.pandasoftware.com/activescan ... ncipal.htm
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
#Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www.my-etrust.com/products/pests ... pscanca%20

Die Variante Korgo.U (auch als Padobot.m bekannt) wurde am 24. Juni 2004 entdeckt. Die Wirkungsweise dieser Variante ähnelt den anderen seit dem 17. Juni im Umlauf befindlichen Korgo-Varianten. Der Wurm Korgo.U verbreitet sich über das Internet und nutzt eine Sicherheitslücke in Microsoft Windows LSASS. Eine Beschreibung dieser Sicherheitslücke erhalten Sie im Microsoft Security Bulletin MS04-011 unter folgender Adresse:

http://www.microsoft.com/technet/securi ... 4-011.mspx

Dann poste das Log noch mal.

mfg
Nikita

http://www.f-secure.de/v-desk/korgo_u.shtml

Korgo.U -Wurm \ [Cryptographic Service] C:\WINDOWS\System32

Korgo.U -Wurm \ [Cryptographic Service] C:\WINDOWS\System32

Korgo.U \ [Cryptographic Service] C:\WINDOWS\System32\hszxpi

Ähnliche Themen

Wer ist online?