Hallo, ich habe folgendes Problem. Hatte Korgo drauf. Wurde von AntiViir und NortonAntiVirus erkannt und angeblich beseitigt. Neue Suchläufe zeigen auch nichts mehr an. Autostart und Registryeinträge sehen auch sauber aus. Beide Virusprogramme auf Stand von heute.

Trotzdem versucht irgendetwas übers Netz zu kommunizieren. Netstat sagt zum Beispiel folgendes:

TCP benutzer-0kp3v7:2038 dialin-212-144-184-134.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2046 dialin-212-144-157-125.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2080 dialin-212-144-157-125.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:2082 dialin-212-144-040-058.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2129 dialin-212-144-169-075.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2160 dialin-212-144-169-075.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:2182 dialin-212-144-012-141.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2187 dialin-212-144-012-141.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:2196 dialin-212-144-010-181.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2275 dialin-212-144-151-087.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2293 dialin-212-144-164-184.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2818 dialin-212-144-157-090.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2964 dialin-212-144-111-077.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2979 dialin-212-144-105-089.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2985 dialin-212-144-105-089.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:3011 dialin-212-144-105-089.arcor-ip.net:44445 SYN_GESENDET
TCP benutzer-0kp3v7:3015 dialin-212-144-194-232.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:3018 dialin-212-144-194-232.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:3021 dialin-212-144-169-246.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:3029 dialin-212-144-194-232.arcor-ip.net:44445 SYN_GESENDET
TCP benutzer-0kp3v7:3076 dialin-212-144-045-043.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:3083 dialin-212-144-149-211.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:3089 dialin-212-144-045-043.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:3106 dialin-212-144-154-005.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:3115 dialin-212-144-149-211.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:3120 dialin-212-144-073-229.arcor-ip.net:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3121 dialin-212-144-136-180.arcor-ip.net:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3123 dialin-212-144-175-236.arcor-ip.net:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3124 dialin-212-144-045-043.arcor-ip.net:44445 SYN_GESENDET
TCP benutzer-0kp3v7:3125 dialin-212-144-049-019.arcor-ip.net:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3126 dialin-212-144-094-157.arcor-ip.net:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3127 212.144.4.240:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3128 dialin-212-144-245-122.arcor-ip.net:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3129 dialin-212-144-186-226.arcor-ip.net:microsoft-ds SYN_GESENDET


Das sieht doch mächtig nach Wurm aus! Welcher? Wie bekomme ich ihn weg? Gehts auch ohne Neuinstallation? Was braucht ihr noch für Daten für Ferndiagnose?

Freue mich auf Hilfe. Danke! Jörg.

Hallo,

konfiguriere deine NT-Dienste sicher http://www.ntsvcfg.de/ oder www.dingens.org und erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Lade dir HijackThis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier

Mach auch mal netstat -a -b (damit wird das programm angezeigt das da kommuniziert)

EDIT: Cidre war mal wieder schneller

Woher haste den des'???
Router Protokoll oder so was??

Lade dir HijackThis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

Poste mal wir saufen und suchen für dich. *g* warte noch mit dem lustigen c:format etc...

Ich habs zuerst gesehn und zwei wahrn schneller. *snif* bin ein misser user *heul*

Hallo, hier das HijackThis Logfile.

netstat -a -b geht bei mir nicht. -b Option wird nicht unterstützt. (Wie kommt denn das?)

Hoffe das hilft erstmal. Jetzt kümmere ich mich um die Dienste.



Logfile of HijackThis v1.98.2
Scan saved at 23:28:00, on 26.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\service32.exe
C:\WINDOWS\System32\ltmsg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\cmd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Configuration Uploader] service32.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Microsoft Configuration Uploader] service32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098744314820

Das sieht gar nicht gut aus für dich.

Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\System32\service32.exe

So, habe jetzt mal die Dienste angepasst mit svc2kxp.cmd /all

Leider keine Veränderung. Das netstat Protokoll sieht immer noch so wild aus und es finden immer noch genausoviele uploads statt.


p.s. Ich bin nicht ganz blauäugig. Zum Glück steckt mein DSL Heim-Netz hinter zwei firewalls (Router und Soft). Das ist sauber. Es hat "nur" meinen Laptop erwischt, der ausschließlich per Modem ins Internet geht und nicht im Heim-Netz steckt.

Danke für die Seite, die ist ja wirklich toll....auch wenn mit der Datei wohl was nicht stimmt.

Was empfehlt ihr zu tun?




File: service32.exe
Status: INFECTED/MALWARE
Packers detected: PE-DIMINISHER

AntiVir No viruses found (2.44 seconds taken)
Avast No viruses found (4.94 seconds taken)
BitDefender Backdoor.SDBot.Gen (8.49 seconds taken)
ClamAV No viruses found (4.34 seconds taken)
Dr.Web Win32.HLLW.MyBot.based (6.00 seconds taken)
F-Prot Antivirus W32/Spybot.BEI (1.35 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (7.28 seconds taken)
mks_vir No viruses found (2.56 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (3.87 seconds taken)
Norman Virus Control W32/Spybot.AIJ (2.03 seconds taken)

Zitat:

Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (7.28 seconds taken)

Info:
http://www.trojaner-board.de/showpos...9&postcount=33
http://www.trojaner-board.de/showpos...0&postcount=37

Meine Empfehlung:
http://www.trojaner-board.de/showpos...28&postcount=2

Danke für die schnelle Hilfe! Das ist echt nett von Dir.

Da hat man nun schon zwei Virenscanner und beide funktionieren nicht. Ok, ich weiß, dass die keinen bombensicheren Schutz bieten, aber das allermeiste ist damit erstmal abgewehrt. Werde mich dann mal an die Neuinstallation setzen :-(