Hallo,

ich frage mich schon seit einiger zeit was diese exe zu sagen hat. Ich hab sie vor ein paar wochen schon aus dem autostart genommen. Jetzt bin ich wieder drauf aufmerksam geworden durch den hijack-log.

Hat jemand eine ahnung was das für eine exe ist bzw. ob sie gefährlich ist? Aktueller virenscann ergab nix...

Logfile of HijackThis v1.98.0
Scan saved at 16:41:53, on 27.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Opera75\opera.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Helmut1\LOKALE~1\Temp\Rar$EX00.683\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - Startup: Verknüpfung mit AVGUARD.lnk = C:\Programme\AVPersonal\AVGUARD.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

Hallo Helmut,

willkommen an Board.

Zitat:

Hat jemand eine ahnung was das für eine exe ist bzw. ob sie gefährlich ist? Aktueller virenscann ergab nix...

Hört sich nach RBot an: http://www.trendmicro.com/vinfo/viru...BOT.AF&VSect=T

Prüf die Datei mal unter
http://www.kaspersky.com/de/scanforvirus

Wenn es der Schädling ist solltest Du Dein System am besten formatieren und neu installieren, denn mit ihm hatte ein Dritter Kontrolle über Deinen Rechner. ( http://oschad.de/wiki/index.php/Kompromittierung )

Wenn ich die Trendmicro-Site richtig verstanden hab, konnte er auf Dein System, weil Du nicht alle Sicherheitsupdates installiert hattest.

Gruß
Yopie

Welchen Virenscanner verwendest du denn? Ist dein Windows mit den aktuellen Sicherheitspatches versehen? Es handelt sich hier um einen Wurm:

http://www.trendmicro.com/vinfo/viru...e=WORM_RBOT.AF

http://www.sophos.com/virusinfo/analyses/w32rbotw.html



Versuche es zunächst mal mit E-Scan im SafeMode:

http://www.sophos.com/virusinfo/analyses/w32rbotw.html

Danach dann auch noch mal nach den oben aufgeführten Registry-Einträgen suchen und, falls nicht, vorhanden, unbedingt Windows-Updates aufspielen, da dieser Wurm auch die LSass-Lücke nutzen kann.

Hallo,

also erstmal danke für die schnellen antworten!

Jetzt versuch ich auch schnell zu antworten, das ganze ist aber irgendwie etwas seltsam bei mir:

also erstmal, die datei wserv32.exe gibt es nicht. Hab alles durchsucht (auch versteckte/systemordner, gesamte festplatten). Sie ist aber im autostart (ohne häkchen) - allerdings steht dort kein pfad dahinter, nur der registry-pfad: "HKLM\Software\Microsoft\Windows\CurrentVersion\Run"

in der registry kann ich aber unter der adresse nix finden was auf den deutet. Kein wserv32-eintrag.

Möglicherweise wurde er von einem virenscanner gelöscht ?

Trotzdem hab ich ein ungutes gefühl:
Ich habe seit Gestern abend ständig Remote zugriffe auf svchost.exe über port 135. Als ich es gestern abend noch zugelassen hab das svchost ins internet konnte hatte ich mehrere portscans und Buffer-overflow attacken von verschiedenen IPs (ich verwende Sygate-Firewall, bin aber mit sicherheit kein experte der das ganze deuten kann...).
Jetzt kommt alle paar minuten ein remoteprozedure aufruf aus dme internet der mit svchost kontakten will - was ich natürlich nicht erlaube.

Jedenfalls hab ich das gefühl das das alles irgendwie zusammenhängt. Der updateservice mit dem sich der wurm tarnt geht ja auch über port 135.

Dazu hab ich das gefunden was ziemlich genau das problem zeigt:
http://forums.sygate.com/vb/showthre...?threadid=6703

Ich habe jetzt Network-Sharing in der firewall ausgestellt - trotzdem kommen nocht die aufrufe über den generic-host prozess (svchost).

Als virenscanner verwende ich AVGuard (hab heute einen kompletten scan gemacht mit aktueller definition, nichts gefunden).

Ist das nun nurnoch die leiche des wurmes? Oder hab ich überall lücken im system?

Zitat:

Zitat von Helmut

in der registry kann ich aber unter der adresse nix finden was auf den deutet. Kein wserv32-eintrag.

Möglicherweise wurde er von einem virenscanner gelöscht ?

Das ist durchaus möglich. Allerdings solltest Du es dann wissen, denn der AV-Scanner sollte Dir sowas melden.
Nur: wenn Du sie schon aus dem Autostart rausgenommen hast, und sie jetzt wieder drin steht, war entweder ein Schadprozess noch aktiv oder Du hast Dir den Wurm erneut eingehandelt.

Die Netzwerkaktivitäten müssen nicht zwangsläufig bedeuten, dass Du den Schädling noch an Bord hast. Auch an meinem Rechner dürften ständig Anfragen von wurmverseuchten Kisten kommen. Nur bekomme ich darüber keine Meldungen, da ich keine gesonderte Firewall habe. Durch sichere Netzwerkeinstellungen (s.u.) kann bei mir aber auch kein Schaden verursacht werden.

Du hast ein ungutes Gefühl, das hätte ich auch. Du kannst das eigentlich nur durch eine Neu-Installation ändern. Durch den Wurm wurde eine Hintertür auf dem Rechner geöffnet, mit dem viele Sachen geändert werden konnten. Diese Änderungen können von einem Virenscanner nicht wieder rückgängig gemacht werden.

Achte darauf, dass Du, wenn Du nach Neuinstallation online gehst, um die Sicherheitsupdates zu installieren, auf jeden Fall die XP-interne Firewall zu aktivieren! Ansonsten ist Dein Rechner in sekundenschnelle wieder infiziert mit Blaster, Sasser, Korgo, RBot und wie sie alle heißen.

Du solltest (nach Neuinstallation) trotz Firewall Deine Netzwerkeinstellungen mit Hilfe der Scripts auf http://www.ntsvcfg.de/ oder http://dingens.org absichern. Ich würde allerdings auf eine gesonderte Firewall wie Sygate verzichten.

Gruß
Yopie

hm, danke, hier mal ne kurze history:

ich hab vor 2 wochen formatiert, danach hatte ich Norton Antivirus drauf und ZoneAlarm. Als ich herausfand das es an NAV liegt das mein pc nach dem starten 3 minuten nicht benutzbar ist, hab ich F-secure als Antiirus installiert. Allerdings funktioniert f-secure nicht mit Zonealarm. Also brauchte ich ne neue firewall und virenscanner. Da hab ich Sygate und Antivir genommen.
Zwischenzeitlich war ich nur mit der XP-firewall online um mir eine neue firewall herunterzuladen - da bekam ich den blaster wurm (trotz XP-firewall). Hab mir dann das FixBlast.exe von Symantec geladen und den blaster entfernt. Danach ging alles.

Achja, so sieht übrigends der zugriff aus der alle paar minuten kommt:


wenn ich das erlaube bekomm ich ne menge hackerwarungungen (bufferoverflow usw.)

Naja, wenigstens bin ich mir jetzt ziemlich sicher das ich keinen virus hab, allerdings bin ich nicht sicher ob ich ein sicherheitsloch hab...

ich werd mir die seite mal durchlesen (ich war auch schon vorher auf dieser, der text war mir allerdings zu lang und zu viel aufwand <g>)

[edit]
achja, letzte woche hab ich alle XP updates & fixes installiert