<nikita - bitte hilfe!!!!

[network-mama]

heute mal wieder mit einem großauftrag

bin bei meiner kollegin - hat probleme mit viren. angeblich hat ihr eigener web-anbieter seit einem jahr einen virus online, den sie nicht wegbekommen und deren kunden automatisch beim einloggen downloaden.

ok - hab mit kaspersky geprüft. 17 funde - alle gelöscht. hier das hijack-log:Logfile of HijackThis v1.99.0
Scan saved at 17:29:14, on 28.12.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINNT\system32\internat.exe
C:\Programme\Fiery\Command WorkStation 4\CWS 4.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Parmetler\Lokale Einstellungen\Temp\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.aon.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.shop-bauer.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aon.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aon.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von A-Online
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Command WorkStation 4.lnk = C:\Programme\Fiery\Command WorkStation 4\CWS 4.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Click ... dge-c7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{01C4A7F7-E9BB-40F8-85EE-706B3990255C}: NameServer = 192.168.1.250
O17 - HKLM\System\CCS\Services\Tcpip\..\{A54084FD-4C86-4302-AC85-B7720C92849F}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADE32D4A-D673-4BC9-ADAA-0518D4E5E075}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{01C4A7F7-E9BB-40F8-85EE-706B3990255C}: NameServer = 192.168.1.250
O17 - HKLM\System\CS2\Services\Tcpip\..\{01C4A7F7-E9BB-40F8-85EE-706B3990255C}: NameServer = 192.168.1.250
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: KAV Monitor Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Update Service - Unknown - C:\WINNT\system32\wupdated.exe (file missing)
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Update Service - Unknown - C:\WINNT\system32\wupdated.exe (file missing)

kannst du damit was anfangen? ist ein firmen-pc

liebe grüße, network-mama..... ab morgen im warmen wasser


many thanks

den pc von meinem bruder mach ich nach meiner rückkehr.... nicht das du wieder denkst, ich mache nichts *smile*

[Nikita]

Hallo@

Zuerst einmal muss Windows auf SP4 geupdatet werden.
------------------------------------------------------------------------------------------
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Lade: mwav.exe
http://bilder.informationsarchiv.net/Nikitas_Tools/
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen
-->noch nicht scannen (erst im abgesicheten Modus)

Gehe in die Registry
Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE\SOFTWARE\
loeschen (komplett ! )
TFTPD32

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
"DisableWebDAV"="00000001" (muss dastehen)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
"EnableDCOM"="N" -->veraendern (mit rechtsklick) in Y
"EnableRemoteConnect"="N" ->veraendern (mit rechtsklick) in Y

Loesche: (rechts den Eintrag :C:\WINNT\system32\\Wupdated.exe.-->falls er existiert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices

schliesse die Registry

So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Windows Update Service " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Windows Update Service " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Windows Update Service " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Start<Ausfuehren schreibe rein: cmd

DOS oeffnet sich
kopiere rein:

del C:\WINNT\system32\wupdated.exe
klicke "enter"

del C:\WINNT\system32\winole.exe
klicke "enter"

del C:\WINDOWS\Downloaded Program Files\bridge.dll
klicke "enter"

gehe in den abgesicherten Modus-->F8 druecken, wenn der PC hochfaehrt und sich als Administrator im abgesicherten Modus anmelden
http://www.tu-berlin.de/www/software/vi ... mode.shtml

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen->falls das alles noch da ist

O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Click ... dge-c7.cab
O23 - Service: Windows Update Service - Unknown - C:\WINNT\system32\wupdated.exe (file missing)
O23 - Service: Windows Update Service - Unknown - C:\WINNT\system32\wupdated.exe (file missing)

->> Button "Fix checked"

suche und loesche:
<C:\WINNT\system32\wupdated.exe
<C:\WINNT\system32\wmpx.exe.
<C:\WINNT\system32\winole.exe -->WinOLE.exe (572,928) , which is a Trojan Horse

suchen und loeschen.
* Click.exe (32,768), which is a Hacktool
* SFind.exe (266,752), which is a Hacktool
* Wmpx.exe (43,383), which is a Hacktool.DoS

# Deploy.bat (274)
# Unrar.bat (169)
# Wx11.bat (109)
# Wx12.bat (194)
# Start.dll (6,153), which is an IRC script file
# Jesus.dll (4,254), which is an IRC script file
# LucomServer.dll (802), which is an IRC script file
# Msoft.dll (206), which is an IRC script file
# Users.dll (75,017), which contains many IRC nicknames
# Reg.reg (773)
# Service.txt (176)
# Wx12.exe (19,618), which the Trojan uses to exploit the DCOM RPC vulnerability
# Bot.rar

* Bnc.cfg (76)
* Cygwin1.dll (971,080)
* Drvx.dll (2,853)
* Clear.exe (28,672)
* CRC.exe (24,096)
* Dhcpp.exe (69,632)
* Events.exe (134,656)
* Nctl.exe (569,344)
* Pslist.exe (49,152)
* Q019204.exe (21,584)
* Service.exe (63,488)
* UnRAR.exe (194,048)

loeschen:
C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS + alle Unterordner
[Bot.rar]

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein


jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
dann poste das hier :

Dienste anzeigen:
#Scrolle bis zu Mitte dieser Seite und lade:
get_active_services_179.zip --> entpacken -->
http://computercops.biz/postp237756.html

gehe in den abgesicherten Modus (du must als Administrator angemeldet sein)
http://www.tu-berlin.de/www/software/vi ... mode.shtml

öffnen --> Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

StartupList 1.20
http://bilder.informationsarchiv.net/Nikitas_Tools/
klicke : startuplist.exe und
kopiere die startuplist.txt ind Forum

und auch noch mal das komplette Log vom HijackThis

[network-mama]

Hallo Nikita!

Der Freund meiner Bekannten konnte nicht warten, bis ich wieder zu Hause bin und hat gleich eigenmächtig alles neu aufgesetzt. Diesmal auf Win XP. Er meint, jetzt funzt alles.

So war unser beide Mühe wohl umsonst. Nun denn, ich möchte mich trotzdem mal wieder super bei dir bedanken!

D A N K E

network-mama