  | |
| PC mit Email-Worm befallen | |
|
Von: MaxiH am 21.04.2007 am anfang waren es noch nur unwichtige Programme mittlerweile sind aber glaube ich auch systemnotwendige Programme betroffen. hier mal das logfile von hijackhits: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 10:45:45, on 21.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Fingerprint Sensor\ATSwpNav.exe C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\Programme\Gemeinsame Dateien\ACD Systems\de\DevDetect.exe C:\Programme\Santa Cruz Networks\Festoon\Festoon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\eHome\ehmsas.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe C:\Programme\Internet Explorer\iexplore.exe D:\Dokumente und Einstellungen\Maxi.SN112638230312\Desktop\HiJackThis_v2.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu29\toolbaru.dll O2 - BHO: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu29\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu29\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NECHotkey] mHotkey.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ATICCC] "c:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun O4 - HKLM\..\Run: [Festoon] C:\Programme\Santa Cruz Networks\Festoon\Festoon.exe /BOOT O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: G DATA Firewall Tray.lnk = ? O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: Festoon - (no CLSID) - (no file) O20 - AppInit_DLLs: e1.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 9047 bytes wäre echt gut, wenn ihr mir da helfen könntet. | |
|
Antwort 1 von crying-eagle *** am 21.04.2007 Zitat O20 - AppInit_DLLs: e1.dll Das gehört schon mal zu dem BösewichtWas man Dir jetzt raten sollte, ist aufgrund Deiner o.g. Angaben nicht gerade einfach. Du sagst, dass Du mehrere Meldungen mit verschiedenen Varianten dieses Wurms bekommen hast. Verschieden Varianten dieser Malware haben Backdoor-Funktionalität. Das heißt, Du solltest Dein System neu aufsetzen. Zu dem Thema Backdoor: Zitat Original von SETI@home: Zum Thema Backdoors/Botwürmer Ein Bot-Wurm enthält Backdoortrojaner-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer ermöglicht. Eine Backdoor ist ein Programm, mit dem ein Angreifer die vollständige Kontrolle über ein fremdes Betriebs-System übernehmen kann. Daher ist ein Betriebs-System, bei dem eine Backdoor entdeckt worden ist, als kompromittiert anzusehen. In so einem Fall hilft nur noch ein Neuaufsetzen des Betriebs-Systems und ein Überdenken des bisherigen Sicherheitskonzepts! Zusätzlich sollten alle jemals auf dem System verwendeten bzw. gespeicherten Passwörter als nicht mehr vertrauenswürdig angesehen und daher geändert werden! Evtl. kann man die Backdoor selbst ja noch relativ einfach entfernen. Die Löcher, welche die Backdoor ins System gerissen hat, sind aber nahezu unmöglich aufzuspüren und damit leider auch nicht zu entfernen! Über diese Löcher kann dann jederzeit Dein System erneut infiziert werden, die Kontrolle über Dein System erneut übernommen werden und das System kann so weiterhin für illegale Ativitäten genutzt werden, für die Du am Ende sogar noch zu Verantwortung gezogen werden kannst! Aufgrund der wahrscheinlich vorgenommen Manipulationen steht der Aufwand eines Versuchs der vollständigen Beseitigung der ins System gerissenen Löcher in keinem Verhältnis zum Ergebnis, welches noch dazu immer mit der Unsicherheit, doch nicht alle Löcher geschlossen zu haben, behaftet bleiben wird; und es steht auch in keinem Verhältnis zum Aufwand, der beim Neuaufsetzen des Systems entstehen würde. Das Betriebssystem neuaufzusetzen, ist in so einer Situation auf jeden Fall deutlich schneller, eindeutig weniger aufwendig und wesentlich sicherer als ein Versuch der Bereinigung aller ins System gerissenen Löcher. Natürlich können wir in vielen Schritten versuchen, allen Infektionen auf den Grund zu gehen. Jedoch steht es meiner Meinung nach nicht im Verhältnis zu dem evtl. zu erwartenden Ergebnis. Aus diesem Grund rate ich Dir zu einem Neuaufsetzen des Systems... MfG | |
|
Antwort 2 von HELP am 21.04.2007 Fixe aus dem HijackThis Lode diesen Eintrag, er gehört zu Malware Warezov: O20 - AppInit_DLLs: e1.dll Weiter lösche per Hand diese Dateien aus dem Windows System Verzeichnis, sofern vorhanden: %System%\dxtmmnmd.exe %System%\dxtmmnmd.dll system32\mprwanp.dll system32\idqdfrg.dll Danach boote den PC im abgesicherten Modus von Windows und führe einen vollständigen Scan mit G Data aus. Poste den Bericht hier! | |
|
Antwort 3 von MaxiH am 21.04.2007 Die angegeben Dateien waren alle nicht vorhanden im System Verzeichnis. Virencheck läuft gerade, werde dann das Ergebnis posten sobald es fertig ist. Vielen Dank auf jeden Fall schon mal für die Hilfe. Ist das eigentlich ein schlimmer Virus oder ein vergleichsweise harmloser ? | |
|
Antwort 4 von HELP am 21.04.2007 Hier eine Beschreibung zu Win32.Warezov.la: http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=%Warezov%&submit=suche&show=Email-Worm.Win32.Warezov.la Eine Backdoor Funktion hat dieser schon Mal nicht, nur kann er weitere Dateien, meist Trojaner, nachladen. Deshalb ist wohl dein PC mehrfach infiziert, obgleich AVK dies verhindern müsste. Ist deine AVK Lizenz noch gültig? | |
|
Antwort 5 von MaxiH am 21.04.2007 | |
|
Antwort 6 von HCK ***** am 21.04.2007 http://www.computerhilfen.de/hilfen/index.php/topic,30578.msg562991.html#msg562991 Log oder Zusammenfassung ggf hier posten. ------------------------------------------------------------------------------------------------------------- Unbedingt : Im abgesicherten Modus ! unter SYSTEM die Systemwiederherstellumg AUS , (vorsicht, alle Punkte sind dann weg) Virenscan machen & ggf Adwarscan mit Spybot S&D oder Adware-SE Systemwiederherst. wenn OK = wieder AN Normalstart ------------------------------------------------------------------------------------------------------------- Abgesicherter Modus: Beim Start des PC mehrfach die F8 drücken , spätestens beim PIEP des schwarzen Schirms mit dem Blinkstrich .... Alternativ : msconfig <<< ausführen , dann Diagnosestart wählen . Später wieder auf "normalen Systemstart" umstellen !! ------------------------------------------------------------------------------------------------------------- Systemwiederherstellung AUS Rechtsklick auf Arbeitsplatz Eigenschaften , Systemwiederherstellung Deaktivieren anhaken : <<< Vorsicht , damit sind ALLE Punkte weg !! Fertig damit : Rechtsklick auf Arbeitsplatz Eigenschaften , Systemwiederherstellung Deaktivieren AB-haken Danach ggf einen Punkt mit Bemerkung setzen. ------------------------------------------------------------------------------------------------------------- Der Virendoktor http://www.heise.de/security/artikel/80369 ------------------------------------------------------------------------------------------------------------- | |
|
Antwort 7 von MaxiH am 21.04.2007 1.) Virus: Email-Worm.Win32.Warezov.la(Engine A) Datei: e1.dll Verzeichnis: C:\Windows\system32 2.) Virus: Email-Worm.Win32.Warezov.iq(Engine A) Datei: msbiwimp.dll Verzeichnis: C:\Windows\system32 3.) Virus: Email-Worm.Win32.Warezov.la(Engine A) Datei: test.exe.exe Verzeichnis: C:\Windows | |
|
Antwort 8 von HELP am 21.04.2007 Mit dem Tool The Avenger können die Dateien und Einträge die für Infektion verantwortlich sind manuell gelöscht werden. Eine gute Anleitung zum Tool und einen Downloadlink findet man hier: http://virus-protect.org/artikel/tools/avenger.html Der folgende Script muss komplett nach Avenger unter View/edit script kopiert werden: ###Diese Zeile nicht kopieren!### Files to delete: C:\Windows\system32\e1.dll C:\Windows\system32\msbiwimp.dll C:\Windows\system32\test.exe.exe Registry values to replace with dummy: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs ###Diese Zeile nicht kopieren!### Anschließend sollte um eine weitere mögliche Malwareinfizierung auszuschließen bzw. zuerkennen zur Kontrolle auch eine Überprüfung mit dem Freeware Online-Scanner von F-Secure vorgenommen werden. Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion. F-Secure Online Scanner http://support.f-secure.com/enu/home/ols3.shtml (Einige wenige Teile der Software sind in Englisch) Wähle die Option Vollständiger Systemscan | |
|
Antwort 9 von MaxiH am 21.04.2007 | |
| « zurück | Antworten |
