Informationsarchiv.net > Foren-Übersicht > Computerprobleme > Online- und PC-Sicherheit
Warum kostenlos registrieren?

Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.

Login


Win2k - Wurm oder was?

Warnungen vor Sicherheitslücken und Hilfe beim Enfernen von Viren, Würmern und Trojanern.
Antwort erstellen

Win2k - Wurm oder was?

Beitragvon Gabsen am 18.11.2005, 13:35

Ich hab mir wohl einen Wurm eingefangen, allerdings findet mein Virenscanner nix, was vermutlich daran liegt, dass er deaktiviert wurde (zumindest kann er aus unerfindlichen Gründen auch keine Updates mehr durchführen).
Das Logfile von HijackThis sagt dazu folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 12:29:53, on 18.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
c:\winnt\system32\ccsvc.exe
C:\WINNT\system32\tree.exe
C:\WINNT\system32\dhcpcl.exe
C:\WINNT\system32\wbem\svchost.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\tcpsvcs.exe
C:\WINNT\system32\tree.exe
C:\apache\mysql\bin\mysqld-nt.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\shellsd.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system32\NTSVC32.EXE
C:\Programme\Tivoli\TSM\baclient\dsmcad.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\TightVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system\tmp.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINNT\system32\msdtc.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system32\sfmsvc.exe
C:\WINNT\system\tmp.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINNT\system\tmp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINNT\system32\hkcmd.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Java\j2re1.4.2_06\bin\jucheck.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\WINNT\system32\svchost.exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\WINNT\system\tmp.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVMain.exe
C:\Programme\Sophos\Sophos Anti-Virus\savprogress.exe
C:\Dokumente und Einstellungen\Administrator.LOPSERVER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LAZ0DEF\s_t_i_n_g_e_r[1].exe
E:\Datenplatte\Software\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-kl.de/FB-ARUBI/AG-Dennhardt/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [SonicFocus] "C:\Programme\Sonic Focus\SFIGUI\SFIGUI.EXE" BOOT
O4 - HKLM\..\Run: [Configuration Loader] svchostt.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{888D9C87-21E1-42CC-9DB8-03E327547796}: NameServer = 131.246.9.116,131.246.1.116
O17 - HKLM\System\CS1\Services\Tcpip\..\{888D9C87-21E1-42CC-9DB8-03E327547796}: NameServer = 131.246.9.116,131.246.1.116
O17 - HKLM\System\CS2\Services\Tcpip\..\{888D9C87-21E1-42CC-9DB8-03E327547796}: NameServer = 131.246.9.116,131.246.1.116
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Indexing Service (CiSvc) - Unknown owner - c:\winnt\system32\ccsvc.exe
O23 - Service: ClipBook (ClipSrv) - Unknown owner - c:\winnt\system32\ClipBookSrv.exe
O23 - Service: COM+ Component (COM+) - None - C:\WINNT\system32\tree.exe
O23 - Service: DHCP Controller (DHCPCL) - Cat Soft - C:\WINNT\system32\dhcpcl.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Verwaltungsdienst fr die Verwaltung logischer Datentrger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: .NET Framework (MSDOTNET) - None - C:\WINNT\system32\tree.exe
O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe
O23 - Service: NatSs - Unknown owner - C:\WINNT\system32\netsvcs.exe
O23 - Service: Office Source Engine Control (osec) - - C:\WINNT\system32\psex.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Shell Software Detection (ShellSD) - Unknown owner - C:\WINNT\system32\shellsd.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Spooling Service (Spoolings) - Unknown owner - C:\WINNT\system32\NTSVC32.EXE
O23 - Service: System Recovery (Sysrec) - Unknown owner - C:\WINNT\system32\SYSREC.EXE (file missing)
O23 - Service: TSM Client Acceptor - IBM Corporation - C:\Programme\Tivoli\TSM\baclient\dsmcad.exe
O23 - Service: TSM Remote Client Agent - IBM Corporation - C:\Programme\Tivoli\TSM\baclient\dsmagent.exe
O23 - Service: Universel Information Service (UISVC) - Unknown owner - C:\WINNT\system32\UISVC.EXE (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)
Gabsen
 
Beiträge: 10
Registriert: 18.11.2005, 13:30
Nach oben

Beitragvon Gabsen am 18.11.2005, 14:14

Ich hab jetzt mal die auffällige tmp.exe auf nen anderen, sauberen Rechner geholt und gescant und siehe da es wurde ein "Backdoor.Win32.Delf.aie" gefunden. Wie werde ich den denn wieder los?
Gabsen
 
Beiträge: 10
Registriert: 18.11.2005, 13:30
Nach oben

Beitragvon Nikita am 18.11.2005, 15:35

garnicht mehr...du musst formatieren
Zuletzt geändert von Nikita am 18.11.2005, 16:08, insgesamt 1-mal geändert.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Gabsen am 18.11.2005, 16:05

Aber wie konnte das passieren? Auf dem Rechner wurden regelmäßig die Udpates installiert. Also wirklich mindestens einmal die Woche?! Ich will ja nicht, dass ich das jetzt formatiere und dann demnächst das Gleiche Problem wieder habe...
Gabsen
 
Beiträge: 10
Registriert: 18.11.2005, 13:30
Nach oben

Beitragvon Nikita am 18.11.2005, 16:07

sorry....ich hab nicht aufgepasst...du hast ja Win2000, da gibt es kein Sp2

aber du musst formatieren, denn anders bekommst du den Backdoor nicht weg

wenn du willst, koennen wir die malware vorher analysieren...
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Gabsen am 18.11.2005, 16:45

Wie können wir die analysieren? Was brauchst Du dafür?
Gabsen
 
Beiträge: 10
Registriert: 18.11.2005, 13:30
Nach oben

Beitragvon Holy Marcell am 18.11.2005, 16:48

Nun:

folgende Logs:

ARbeite das hier ab und poste alle 4 logs dem Datum nach der letzten 3 monate:

www.virus-protect.net/datfindbat.html

(ANsonsten in dem Link in Nikitas Signatur. Ein bisschen unten links ganz klein.)
Holy Marcell
 
Nach oben

Beitragvon Gabsen am 18.11.2005, 16:57

Ok. Hier die Logs der datFind.bat:

===> Nummer 1:

Verzeichnis von C:\WINNT\system32

18.11.2005 13:37 175.386 wintcpiplan.dll
16.11.2005 19:07 8.192 knlps.exe
10.11.2005 03:13 90.296 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
24.10.2005 02:22 31.232 sc.exe
24.10.2005 02:22 31.232 vai.exe
24.10.2005 02:19 428.499 temp.exe
18.10.2005 19:35 635.392 dhcpcl.exe
07.10.2005 07:19 233.744 GDI32.DLL
07.10.2005 07:17 1.638.832 WIN32K.SYS
04.10.2005 11:33 2.700.288 MSHTML.DLL
23.09.2005 12:03 245.520 WINSRV.DLL
23.09.2005 12:03 1.122.576 webvw.dll
23.09.2005 12:03 17.680 linkinfo.dll
23.09.2005 12:03 2.385.168 SHELL32.DLL
18.09.2005 04:15 676 msloginservtemp.dll
05.09.2005 09:18 20.240 xolehlp.dll
05.09.2005 09:18 71.440 stclient.dll
05.09.2005 09:18 26.896 mtxdm.dll
05.09.2005 09:18 122.640 mtxoci.dll
05.09.2005 09:18 35.600 mtxlegih.dll
05.09.2005 09:18 52.496 mtxclu.dll
05.09.2005 09:18 1.200.400 msdtctm.dll
05.09.2005 09:18 153.872 msdtcui.dll
05.09.2005 09:18 739.600 msdtcprx.dll
05.09.2005 09:18 1.477.904 comsvcs.dll
05.09.2005 09:18 641.296 comuid.dll
05.09.2005 09:18 96.016 msdtclog.dll
05.09.2005 09:18 97.040 clbcatex.dll
05.09.2005 09:18 595.728 catsrvut.dll
05.09.2005 09:18 551.184 clbcatq.dll
05.09.2005 09:18 99.088 comrepl.dll
05.09.2005 09:18 41.744 colbact.dll
05.09.2005 09:18 165.648 catsrv.dll
05.09.2005 09:18 242.960 es.dll
05.09.2005 09:18 212.240 rpcss.dll
05.09.2005 09:18 398.608 txfaux.dll
05.09.2005 09:18 36.624 OLECNV32.DLL
05.09.2005 09:18 957.712 OLE32.DLL
02.09.2005 16:31 496.128 MSTIME.DLL
02.09.2005 16:31 458.752 URLMON.DLL
02.09.2005 15:35 192.000 DXTRANS.DLL
02.09.2005 10:24 94.992 UMPNPMGR.DLL
02.09.2005 10:07 988.160 DANIM.DLL

===> Nummer 2:

Verzeichnis von C:\DOKUME~1\ADMINI~1.LOP\LOKALE~1\Temp

18.11.2005 13:46 1.632 Sophos Standalone Installer.txt
18.11.2005 13:46 115.126 Sophos AutoUpdate Install Log.txt
18.11.2005 13:46 421.328 Sophos Anti-Virus install log.txt
18.11.2005 13:46 39.920 Sophos Anti-Virus CustomActions Log.txt
18.11.2005 13:40 22.945 jusched.log
18.11.2005 13:29 16.384 ~DF6763.tmp
16.11.2005 12:04 3.268 ads42.tmp
16.11.2005 12:02 1.095 langpackSetup.log
05.04.2005 16:20 1.797 inst.log
05.04.2005 16:16 10.134 dat1C.tmp
05.04.2005 15:26 66 checkfw.log
05.04.2005 15:22 340 dellst01.txt
05.04.2005 15:19 71.680 GLB13.tmp
05.04.2005 15:19 71.680 GLB10.tmp
28.02.2005 15:53 495 dellst00.txt
24.02.2005 12:54 71.680 GLB4E.tmp
16.02.2005 12:33 0 SWV1.tmp
16.02.2005 12:16 7.100 netfxupdate.log
16.02.2005 12:16 21.452 netfxsl.log
16.02.2005 12:14 0 SWV73.tmp
24.12.2004 09:55 71.889 java_install.log
24.12.2004 09:47 143.872 47643867.mst
31.10.2004 09:33 824 st4j_icon_2305.ico
27.09.2004 16:14 0 JET1840.tmp
27.09.2004 16:13 71.680 GLB7.tmp
27.09.2004 16:08 3.734 msiutil(2).log
27.09.2004 15:51 8.137 ASPNETSetup.log
27.09.2004 15:48 3.734 msiutil(1).log
27.09.2004 15:39 143.872 5d924aa5.mst
02.09.2004 15:05 16.384 MMCE7.tmp

===> Nummer 3:

Verzeichnis von C:\WINNT

18.11.2005 13:35 606.381 WindowsUpdate.log
18.11.2005 13:35 32.604 SchedLgU.Txt
18.11.2005 12:20 119.335 F-Sdbot.log
18.11.2005 11:10 7.915 spupdsvc.log
18.11.2005 11:07 18.150 dahotfix.log
18.11.2005 11:07 93.580 UpdateRollupPack.log
18.11.2005 11:07 41.242 updspapi.log
18.11.2005 11:07 4.792 updcustom.dll.log
16.11.2005 19:27 2.894 OEWABLog.txt
16.11.2005 19:27 102.872 wmsetup.log
16.11.2005 12:04 26.021 dasetup.log
16.11.2005 12:04 340 muisetup.log
16.11.2005 12:04 5.538 ~TempMui.inf
16.11.2005 12:04 223 ODBC.INI
16.11.2005 12:04 4.073 ODBCINST.INI
16.11.2005 12:04 461.420 setupapi.log
10.11.2005 03:01 568.265 iis5.log
10.11.2005 03:01 228.781 comsetup.log
10.11.2005 03:01 140.354 tsoc.log
10.11.2005 03:01 2.679 imsins.log
10.11.2005 03:01 17.301 KB896424.log
10.11.2005 03:01 197.433 ocgen.log
10.11.2005 03:01 76.206 certocm.log
10.11.2005 03:01 15.864 ockodak.log
10.11.2005 03:01 39.811 LicenOc.log
24.10.2005 03:13 141.494 ShellIconCache
13.10.2005 02:03 2.679 imsins.BAK
13.10.2005 02:03 25.601 KB905414.log
13.10.2005 02:03 24.935 KB905749.log
13.10.2005 02:03 16.010 KB896688-IE6SP1-20051004.130236.log
13.10.2005 02:03 26.455 KB902400.log
13.10.2005 02:02 14.988 KB901017.log
13.10.2005 02:01 16.362 KB900725.log
13.10.2005 02:01 13.539 KB899589.log
13.10.2005 02:01 4.236 KB904706.log
13.10.2005 02:00 3.369 KB905495-IE6SP1-20050805.184113.log
11.10.2005 09:35 160.571 Directx.log
09.10.2005 02:21 630 EventSystem.log
09.10.2005 02:21 56.948 KB893756.log
09.10.2005 02:20 56.186 KB901214.log
09.10.2005 02:07 21.139 KB896358.log
09.10.2005 02:07 21.271 KB896423.log
09.10.2005 02:06 19.578 KB894320.log
09.10.2005 02:06 18.923 KB899591.log
09.10.2005 02:05 19.830 KB899587.log
09.10.2005 02:05 17.395 KB896422.log
09.10.2005 02:04 8.383 KB896727-IE6SP1-20050719.165959.log
09.10.2005 02:03 15.673 KB899588.log
09.10.2005 02:03 5.634 KB897715-OE6SP1-20050503.210336.log
09.10.2005 02:02 15.710 KB890046.log
08.10.2005 02:02 6.540 KB893803v2.log
08.10.2005 02:01 5.507 KB842773.log
08.10.2005 02:01 146.610 setupact.log

===> Nummer 4:

Verzeichnis von C:\

18.11.2005 15:56 0 sys.txt
18.11.2005 15:55 9.961 system.txt
18.11.2005 15:54 3.027 systemtemp.txt
18.11.2005 15:52 104.383 system32.txt
18.11.2005 15:49 14 s1c0
18.11.2005 13:37 2.097.152 pagefile.sys
18.11.2005 11:49 1.224 resolve.log
18.11.2005 10:56 14 s1dg
16.11.2005 19:27 730 odbcconf.log
10.10.2005 08:33 14 s19o.1
10.10.2005 07:44 14 s1a4
10.10.2005 07:28 14 s1ac
17.09.2005 23:37 14 s1bk
01.09.2005 01:00 132 monat3_archiv.txt
01.09.2005 01:00 132 monat3_delete.txt
Gabsen
 
Beiträge: 10
Registriert: 18.11.2005, 13:30
Nach oben

Beitragvon Nikita am 18.11.2005, 20:58

danke holy ;)
---------------------------------------------------------------------------------
hier gab es stundenlang kein Internet und ich weiss auch nicht, ob ich es haben werde, wenn ich nach Hause komme.
Sobald ich es kann...schaue ich alles durch....ich sehe schon die lieben Tierchen :D :D :D
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Gabsen am 18.11.2005, 21:19

ich tippe mal auf den 24.10. als befallsdatum. an diesem tag wurde zum letzten mal sophos aktualisiert. seitdem geht das nicht mehr.
Gabsen
 
Beiträge: 10
Registriert: 18.11.2005, 13:30
Nach oben

Beitragvon Nikita am 19.11.2005, 01:37

damit die Virenscanner diese Malware in Zukunft erkennen:

C:\WINNT\system32\wintcpiplan.dll
C:\WINNT\system32\knlps.exe
c:\winnt\system32\ClipBookSrv.exe
C:\WINNT\system32\sc.exe
C:\WINNT\system32\psex.exe
C:\WINNT\system32\shellsd.exe
C:\WINNT\system32\svchostt.exe
C:\WINNT\system32\vai.exe
C:\WINNT\system32\temp.exe
C:\WINNT\system32\dhcpcl.exe
C:\WINNT\system32\netsvcs.exe
c:\winnt\system32\ccsvc.exe
C:\WINNT\system32\tree.exe
C:\WINNT\system32\shellsd.exe

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html


Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen O23 Einträgen!

O23 - Service: Indexing Service (CiSvc) - Unknown owner - c:\winnt\system32\ccsvc.exe
O23 - Service: ClipBook (ClipSrv) - Unknown owner - c:\winnt\system32\ClipBookSrv.exe
O23 - Service: COM+ Component (COM+) - None - C:\WINNT\system32\tree.exe
O23 - Service: DHCP Controller (DHCPCL) - Cat Soft - C:\WINNT\system32\dhcpcl.exe
O23 - Service: .NET Framework (MSDOTNET) - None - C:\WINNT\system32\tree.exe
O23 - Service: NatSs - Unknown owner - C:\WINNT\system32\netsvcs.exe
O23 - Service: Office Source Engine Control (osec) - - C:\WINNT\system32\psex.exe
O23 - Service: Shell Software Detection (ShellSD) - Unknown owner - C:\WINNT\system32\shellsd.exe
O23 - Service: Spooling Service (Spoolings) - Unknown owner - C:\WINNT\system32\NTSVC32.EXE
O23 - Service: System Recovery (Sysrec) - Unknown owner - C:\WINNT\system32\SYSREC.EXE (file missing)
O23 - Service: Universel Information Service (UISVC) - Unknown owner - C:\WINNT\system32\UISVC.EXE (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)

PC neustarten

Setze ein Häckchen in das Kästchen vor den genannten Eintrag der im SicherheitsForum als zu "fixen" (löschen) empfohlen wurde) und wähle fix checked.

O4 - HKLM\..\Run: [Configuration Loader] svchostt.exe
Kennen Sie die IP oder die Domäne '131.246.9.116,131.246.1.116' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{888D9C87-21E1-42CC-9DB8-03E327547796}: NameServer = 131.246.9.116,131.246.1.116

PC NEUSTARTEN

KILLBOX - Pocket KillBox
http://virus-protect.net/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\s1c0
C:\s1dg
C:\s19o.1
C:\s1a4
C:\s1ac
C:\s1bk
C:\WINNT\system32\wintcpiplan.dll
c:\winnt\system32\ClipBookSrv.exe
C:\WINNT\system32\svchostt.exe
C:\WINNT\system32\knlps.exe
C:\WINNT\system32\sc.exe
C:\WINNT\system32\vai.exe
C:\WINNT\system32\temp.exe
C:\WINNT\system32\netsvcs.exe
c:\winnt\system32\ccsvc.exe
C:\WINNT\system32\tree.exe
C:\WINNT\system32\dhcpcl.exe
C:\WINNT\system32\shellsd.exe
C:\WINNT\system32\psex.exe

PC neustarten

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien

ServiceFilter.zip
http://virus-protect.net/artikel/tools/ ... Filter.zip
- entzippen
- scannen
- POST_THIS.TXT abkopieren

scanne und poste die scanreporte
http://virus-protect.net/multiavtool.html

scane mit Kaspersky und poste den scanreport
http://virus-protect.net/onlinescan.html
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Gabsen am 19.11.2005, 11:03

Danke! Und das darf ich machen _nachdem_ ich formatiert und neuinstalliert habe? Siehst Du irgendeine Chance dass zu vermeiden?
Gabsen
 
Beiträge: 10
Registriert: 18.11.2005, 13:30
Nach oben

Beitragvon Nikita am 19.11.2005, 11:18

natuerlich musst du das alles machen, solange die viren drauf sind :D
wenn du formatiert hast...sind sie alle weg ...logisch

(uebrigens kann man das reinigen....ich weiss noch nicht mit welchem Ergebnis...aber wie du siehst, habe ich eine Reinigung begonnen.....)
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Gabsen am 19.11.2005, 15:36

Das klingt doch gut. An die Arbeit... :)

Teil A - Ergebnisse von Virustotal.com:

C:\WINNT\system32\wintcpiplan.dll
-> no virus found

C:\WINNT\system32\knlps.exe
-> CAT-QuickHeal: (Suspicous) - DNAScan
-> McAfee: potentially unwanted program ProcKill-KnlKillP

c:\winnt\system32\ClipBookSrv.exe
-> CAT-QuickHeal: (Suspicious) - DNAScan
-> DrWeb: Trojan.MulDrop.2798
-> Ikarus: Win32.VB.AA
-> VBA32: Trojan.MulDrop.2798

C:\WINNT\system32\sc.exe
-> no virus found

C:\WINNT\system32\psex.exe
-> BitDefender: Virtool.Constructor.Delf.G
-> Fortinet: RAT/ProcLaunch
-> F-Prot: virus tool named W32/VirTool.CZ
-> Ikarus: Trojan.Dropper.Win32.Delf.NO
-> McAfee: potentially unwanted program RemAdm-ProcLaunch
-> VBA32: Constructor.Win32.Delf.g

C:\WINNT\system32\shellsd.exe
-> AntiVir: Heuristic/Trojan.Downloader
-> Avira: Heuristic/Trojan.Downloader
-> CAT-QuickHeal: (Suspicious) - DNAScan
-> DrWeb: BackDoor.WinShell.50
-> fortinet: suspicious
-> Kaspersky: Backdoor.Win32.WinShell.50
-> NOD32v2: Win32/WinShell.50

C:\WINNT\system32\svchostt.exe
-> File size more than 10 Megabytes, Datei wird mir im Explorer aber gar nicht angezeigt (wollte sie packen)...

Meintest Du C:\WINNT\system32\svchost.exe ?
-> no virus found

C:\WINNT\system32\vai.exe
-> no virus found

C:\WINNT\system32\temp.exe
-> AntiVir: BDS/RemoteNothing.B
-> BitDefender: Backdoor.RemoteNothing.B
-> Kaspersky: not-a-virus:RemoteAdmin.Win32.RA.575
-> McAfee: potentially unwanted program RemAdm-RemoteAnythng
-> NOD32v2: Win32/RemoteAnything
-> Panda: Application/RemoteAnything

C:\WINNT\system32\dhcpcl.exe
-> DrWeb: BackDoor.Servu.60
-> Fortinet: suspicious
-> Kaspersky: not-a-virus:Server-FTP.Win32.Serv-U.gen

C:\WINNT\system32\netsvcs.exe
-> File size more than 10 Megabytes
Ich kann die Datei ebenfalls im Explorer nicht finden, nicht mal eine ähnlich klingende...

c:\winnt\system32\ccsvc.exe
-> AntiVir: BDS/Delf.aie
-> AVG: BackDoor.Generic.SGF
-> Avira: BDS/Delf.aie
-> CAT-QuickHeal: (Suspicious) - DNAScan
-> DrWeb: Trojan.MulDrop.2798
-> Fortinet: W32/Delf.AIE-bdr
-> Ikarus: Win32.VB.AA
-> Kaspersky: Backdoor.Win32.Delf.aie
-> Norman: W32/Delf.BLS
-> VBA32: Trojan.MulDrop.2798

C:\WINNT\system32\tree.exe
-> AntiVir: TR/Areser.A
-> AVG: Generic.BMH
-> Avira: TR/Areser.A
-> BitDefender: Trojan.Areser.A
-> DrWeb: Trojan.Ares.618
-> Fortinet: Areser
-> McAfee: potentially unwanted program Areser
-> Panda: Trj/Areser.A

C:\WINNT\system32\shellsd.exe
-> AntiVir: Heuristic/Trojan.Downloader
-> Avira: Heuristic/Trojan.Downloader
-> CAT-QuickHeal: (Suspicious) - DNAScan
-> DrWeb: BackDoor.WinShell.50
-> Fortinet: suspicious
-> Kaspersky: Backdoor.Win32.WinShell.50
-> NOD32v2: Win32/WinShell.50

Ganz schön was los... :(

Teil B - HijackThis

"Delete an NT Service" mit HijackThis will nicht. Die Services laufen und können deshalb nicht gelöscht werden. Hab die alle mal nach einem HijackThis-Scan markiert und gefixed, aber nach dem Neustart waren die alle wieder aktiv. Was kann ich nun tun?
Gabsen
 
Beiträge: 10
Registriert: 18.11.2005, 13:30
Nach oben

Beitragvon Nikita am 19.11.2005, 15:52

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "X" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"X " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Indexing Service (CiSvc)
ClipBook (ClipSrv)
COM+ Component (COM+)
DHCP Controller (DHCPCL) - Cat Soft - C
NET Framework (MSDOTNET)
NatSs
Office Source Engine Control (osec)
Shell Software Detection (ShellSD)
Spooling Service (Spoolings)
System Recovery (Sysrec) -
Universel Information Service (UISVC)

O23 - Service: Indexing Service (CiSvc) - Unknown owner - c:\winnt\system32\ccsvc.exe
O23 - Service: ClipBook (ClipSrv) - Unknown owner - c:\winnt\system32\ClipBookSrv.exe
O23 - Service: COM+ Component (COM+) - None - C:\WINNT\system32\tree.exe
O23 - Service: DHCP Controller (DHCPCL) - Cat Soft - C:\WINNT\system32\dhcpcl.exe
O23 - Service: .NET Framework (MSDOTNET) - None - C:\WINNT\system32\tree.exe
O23 - Service: NatSs - Unknown owner - C:\WINNT\system32\netsvcs.exe
O23 - Service: Office Source Engine Control (osec) - - C:\WINNT\system32\psex.exe
O23 - Service: Shell Software Detection (ShellSD) - Unknown owner - C:\WINNT\system32\shellsd.exe
O23 - Service: Spooling Service (Spoolings) - Unknown owner - C:\WINNT\system32\NTSVC32.EXE
O23 - Service: System Recovery (Sysrec) - Unknown owner - C:\WINNT\system32\SYSREC.EXE (file missing)
O23 - Service: Universel Information Service (UISVC) - Unknown owner - C:\WINNT\system32\UISVC.EXE (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)

ServiceFilter.zip
http://virus-protect.net/artikel/tools/ ... Filter.zip
- entzippen
- scannen
- POST_THIS.TXT abkopieren
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben
Nächste
Antwort erstellen

Ähnliche Themen

Registrierung ja oder nein?
Forum: Aktuelles und News (hier sind die Forenregeln)
Autor: Computerdirk
Antworten:
Mein Brenner nimmt meine Rohlinge nich oder was?
Forum: Hardware-Hilfe
Autor: Anonymous
Antworten:
Win2k Restarts und BlueScreens aus heiterem himmel
Forum: Software-Hilfe
Autor: That Guy
Antworten:
Seiten werden nicht mehr gefunden, z.B. Ebay oder Google
Forum: Software-Hilfe
Autor: Anonymous
Antworten:
virus oder windows?
Forum: Hardware-Hilfe
Autor: kamalura
Antworten:
Nach oben

Zurück zu Online- und PC-Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO