W32.Glieder.BR und W32.Efewe.E

Ursadon · 22.09.2005, 20:48

und wieder geht es auf die jagt.

Habe mir zwei W32ger (W32.Glieder.BR und W32.Efewe.E) gefangen.
Toll nich.

Wie werde ich die wieder los? Miene Virensoftware etrust und auch norten kommen damit nicht klar. ein tool zum entfernen habe ich auch noch nicht gefunden.

Vielen Dank im Vorraus!

Urs

hier mein aktuelles HJT:

Logfile of HijackThis v1.99.1
Scan saved at 21:45:37, on 22.09.2001
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\System32\nvsvc32.exe
C:\windows\Explorer.EXE
C:\windows\SOUNDMAN.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [ssgrate.exe] C:\windows\System32\wintems.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC403973-DE60-4CCC-8EE8-0C697B5D4132}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\debughlp.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Cidre · 22.09.2005, 21:04

Hallo,

du hast mehrere folgenschweren Fehler [1] begangen und dadurch konnte sich die Malware problemlos installieren.

[1]
- Dein System ist nicht up to date
- Du surfst mit Admin Rechten durchs Netz
- Du verwendest den IE der mit Sicherheit nicht richtig konfiguriert wurde
- Du verlässt dich offensichtlich nur auf deine 'Schutzsoftware' usw.

Scanne zunächst mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

Aber du wirst nicht um ein Neuaufsetzen herumkommen.

Ursadon · 23.09.2005, 09:15

die escan logdatei ist 8.5 MB groß.

ich kann die nicht anhängenund auch nicht rein pasten.

Was nun?

Ich brauche dringends eine antwort, da der Rechner im Laden sofort gebraucht wird. Ich muss wissen, ob es noch ne chance gibt die Würmer und Viren weg zu bekommen, oder ob ich das system gleich neu aufsetzten sollte!

Danke
Urs

stupormundi · 23.09.2005, 09:25

Hallo, ursadon!

Zitat:

die escan logdatei ist 8.5 MB groß.
ich kann die nicht anhängenund auch nicht rein pasten.

Sollst Du auch nicht! Im Link von Cidre steht unter dem Punkt

Zitat:

Einsetzen von eScan – Auswertung:

genau beschrieben, was zu tun wäre

Zitat:

[5] Rechtsklick auf die Find.rar http://www.cidres-security.de/picture/Find.rar -> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.

An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.
Sollten Probleme beim Ausführen der Find.bat auftreten, dann lies bitte folgenden Thread von Haui durch.
Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor du es postest.
[6] Strg + A (alles markieren) -> Strg + C (kopieren) -> Strg + V (Thread einfügen).
Alternativ:
Öffne die 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

@cidre: Was sagst Du dazu

Zitat:

O4 - HKCU\..\Run: [ssgrate.exe] C:\windows\System32\wintems.exe

http://securityresponse.symantec.com...glieder.q.html Könnte man sich da nicht die weitere Sucherei ersparen?
Cu, stupormundi

felix1 · 23.09.2005, 10:11

Ich denke mal auch das hier:
O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe
http://www.sophos.de/virusinfo/analy...jnetdenyb.html

stupormundi · 23.09.2005, 10:23

@felix1: Servus

Hast natürlich recht, habe aber nur wegen der Backdoor-Sache meine Aufmerksamkeit auf die von mir zitierte Datei beschränkt!
Cu, stupormundi

Ursadon · 23.09.2005, 11:09

so jetzt habe ich gerafft. sorry

hier bitte:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Sep 23 08:20:53 2001 => File C:\WINDOWS\SYSTEM32\RDRIV.SYS infected by "Rootkit.Win32.Agent.p" Virus! Action Taken: No Action Taken.
Sun Sep 23 08:20:59 2001 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun Sep 23 08:22:03 2001 => System found infected with WhenU.SaveNow Spyware/Adware (setup_wm.exe)! Action taken: No Action Taken.
Sun Sep 23 08:48:40 2001 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Sep 23 08:22:03 2001 => Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\setup_wm.exe
Sun Sep 23 08:48:40 2001 => Total Virus(es) Found: 3
Sun Sep 23 08:48:40 2001 => Total Errors: 169
Sun Sep 23 08:48:40 2001 => Time Elapsed: 00:28:22
Sun Sep 23 08:48:40 2001 => Total Objects Scanned: 76113
Sun Sep 23 08:19:54 2001 => Virus Database Date: 2005/09/09
Sun Sep 23 08:48:40 2001 => Virus Database Date: 2005/09/09
Sun Sep 23 08:49:30 2001 => Virus Database Date: 2005/09/09
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

felix1 · 23.09.2005, 18:22

Das ist bedenklich:
C:\WINDOWS\SYSTEM32\RDRIV.SYS infected by "Rootkit.Win32.Agent.p
Denn das ist das hier:
http://www.sophos.de/virusinfo/analy...jrootkitw.html

Ich denke mal, Du solltest das tun:
http://www.trojaner-board.de/showthread.php?t=12154

Ursadon · 23.09.2005, 18:45

ja hatte auch keine bock mehr auf virenjagen. habe das system jetzt neu aufgesetzt, nach TB anleitung. dank an alle

Urs

23.09.2005, 10:11	#5
felix1 /// Helfer-Team	W32.Glieder.BR und W32.Efewe.E Ich denke mal auch das hier: O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe http://www.sophos.de/virusinfo/analy...jnetdenyb.html

23.09.2005, 18:22	#8
felix1 /// Helfer-Team	W32.Glieder.BR und W32.Efewe.E Das ist bedenklich: C:\WINDOWS\SYSTEM32\RDRIV.SYS infected by "Rootkit.Win32.Agent.p Denn das ist das hier: http://www.sophos.de/virusinfo/analy...jrootkitw.html Ich denke mal, Du solltest das tun: http://www.trojaner-board.de/showthread.php?t=12154

W32.Glieder.BR und W32.Efewe.E

Plagegeister aller Art und deren Bekämpfung: W32.Glieder.BR und W32.Efewe.E