jezz geht wohl die seuche mit dem schlingel um....

Ich versteh nur nicht, woher ich diesen Virus habe.

Habe nichts installiert, keine bösen Sachen "angeklickt" und mein AntiVir sowie Windows und Internet Explorer immer auf dem aktuellen Stand. Mache auch immer brav Malwarescan usw.

Wie kann ich mich vor diesem Virus schützen (habe noch einen 2. PC der noch nichts abbekommen hat).

Hoffe es kann mir da jemand helfen!

falls es dich tröstet (wohl eher nich ), ich stehe vor demselben rätsel. war die ganze zeit online, hab aber nix gemacht, außer an meiner facharbeit geschrieben, wollte dann was googlen und bums hat sich der IE aufgehängt und AV hat mir die meldung angezeigt......
ich hab auch ne email an AV mit den infizierten dateien geschickt. hab bis jezz aber noch keine antwort

Siehste genauso ging es mir auch, jetzt habe ich noch einen 2. Rechner im Netzwerk und traue mich nicht mehr diesen anzumachen (bzw. ins Internet zu gehen) weil ich den nicht auch noch infizieren möchte.

Und wie es aussieht, ist es kaum möglich das Problem zu lösen ohne alles komplett neu zu machen :-( Und das wird eine große Arbeit für mich!

Hallo,
klingt interessant. Nur mal so vorneweg, wahrscheinlich werdet ihr alle um ein Neuaufsetzen nicht herum kommen.
Ist euer System auf dem neusten Patchstand?
Habt ihr irgendwelche Software aus unseriösen Quellen installiert (P2P, Crackseiten, Videocodecs...)?
@Anna200985
Du kannst schonmal damit anfangen weil du noch zusätzlich zu der Malware ein Rootkit auf dem Rechner hast das sich nicht ohne weiteres beseitigen läßt, eine Anleitung wie du dabei und bei der anschließenden Absicherung vorgehen solltest hier.

Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
klingt interessant. Nur mal so vorneweg, wahrscheinlich werdet ihr alle um ein Neuaufsetzen nicht herum kommen.
Ist euer System auf dem neusten Patchstand?
Habt ihr irgendwelche Software aus unseriösen Quellen installiert (P2P, Crackseiten, Videocodecs...)?
@Anna200985
Du kannst schonmal damit anfangen weil du noch zusätzlich zu der Malware ein Rootkit auf dem Rechner hast das sich nicht ohne weiteres beseitigen läßt, eine Anleitung wie du dabei und bei der anschließenden Absicherung vorgehen solltest hier.

Grüße Wildone

1.hab ich/haben wir dieses rootkit auch?
2.wie weit fasst du den patchstand?bezogen auf AntiVir und MS SP aktualisierungen?
3.ich habe nichts dergleichen in letzter zeit runtergeladen o.ä. ...das is ja genau der punkt, wo die sache ziemlich stinkt. kann sich so ein virus freibewegen?

Schließe mich da an, gerade den Laptop den es erwischt hat, ist nicht so häufig im Internet.
Patches sind alle auf dem aktuellsten Stand, daran kann es eigentlich nicht liegen.
Bin eh immer sehr vorsichtig bei solche Sachen und jetzt habe ich wieder so einen Dreck eingefangen und konnte nichts dagegen machen.

Versuche jetzt mal so ein Log zu machen und poste es dann in meinem anderen Beitrag!

Hallo,
zu 1.) Nein
zu 2.) Ich meine ausschließlich den Patchstand von Windows, sprich sind die Patches von März (immer jeder zweite Dienstag im Monat), bzw. alle weiteren die davor erschienen sind, installiert?
zu 3.) Netzwerkwürmer können sich frei bewegen, aber meines Wissens sind da die relevanten Lücken schon von SP2 gestopft. Wie geht ihr ins Internet, sitzt ihr hinter einem Router? Geht ihr mit dem IE ins Internet?


Grüße Wildone

2.) Ja Windows war bzw. ist auf dem aktuellsten Stand (Windows XP SP 2 mit allen verfügbaren Updates übers Internet)

3.) Ja ich nutze leider den Internet Explorer

Zitat:

Zitat von Wildone

Hallo,
zu 1.) Nein
zu 2.) Ich meine ausschließlich den Patchstand von Windows, sprich sind die Patches von März (immer jeder zweite Dienstag im Monat), bzw. alle weiteren die davor erschienen sind, installiert?
zu 3.) Netzwerkwürmer können sich frei bewegen, aber meines Wissens sind da die relevanten Lücken schon von SP2 gestopft. Wie geht ihr ins Internet, sitzt ihr hinter einem Router? Geht ihr mit dem IE ins Internet?


Grüße Wildone

1.)ergo, wir kommen u.U. um ein Neuaufsetzen herum?
2.)die aktualisierungen geschehen bei mir automatisch. ich werd aber gleich mal schauen, wie es darum bestellt ist
3.)IE und PPPoE

soeben beendetes windows update ergab fogendes:
Windows Genuine Advantage-Gültigkeitsprüfungstool

Zitat:

Zitat von Wildone

Hallo,
@Anna200985
Du kannst schonmal damit anfangen weil du noch zusätzlich zu der Malware ein Rootkit auf dem Rechner hast das sich nicht ohne weiteres beseitigen läßt, eine Anleitung wie du dabei und bei der anschließenden Absicherung vorgehen solltest hier.

Grüße Wildone

*hüstel* das gilt aber immernoch.
Besser wäre es gewesen wenn ihr die Samples an die großen AV Hersteller(Symantec, CA, Kaspersky (der erkennt es ja eigentlich schon), Sophos usw.) geschickt hättet.


Grüße Wildone

Hallo zusammen!

habe seit gestern auch dieses Prob und auch wie alle anderen nix komischen angesurft, installiert etc. habe hier auchmal die Scans reingesetzt und das HJT Log. Vielleicht könnte ja einer mal rüberschauen! Ich habe bei der Suche auf meinem Comp nämlich noch TASKDIR.DLL.vir gefunden und gestern sah ich da auch noch die prefetch Datei wie bei Anna, welche aber heute weg ist!

Bitte bitte bloß kein neu Aufsetzen des Systems!!!


Datei: taskdir.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Trojan/Proxy.Lager.AQ.1 gefunden
ArcaVir Trojan.Proxy.Lager.Aq gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.PWS.Alanchum gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Lager.AQ!tr gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Lager.aq gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.PWS.Alanchum gefunden

-------------------------

Datei: TASKDIR.DLL.vir
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Trojan/Proxy.Lager.AQ.1 gefunden
ArcaVir Trojan.Proxy.Lager.Aq gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.PWS.Alanchum gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Lager.AQ!tr gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Lager.aq gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.PWS.Alanchum gefunden

-------------------------------------------------------------------------
This is a report processed by VirusTotal on 03/23/2006 at 11:53:13 (CET) after scanning the file "TASKDIR.DLL" file.

Antivirus Version Update Result
AntiVir 6.34.0.14 03.23.2006 TR/Proxy.Lager.AQ.1
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.22.2006 Proxy.BRR
Avira 6.34.0.53 03.23.2006 TR/Proxy.Lager.AQ.1
BitDefender 7.2 03.23.2006 no virus found
CAT-QuickHeal 8.00 03.23.2006 no virus found
ClamAV devel-20060126 03.23.2006 no virus found
DrWeb 4.33 03.23.2006 Trojan.PWS.Alanchum
eTrust-InoculateIT 23.71.109 03.23.2006 Win32/Lager.1xn!DLL!Trojan
eTrust-Vet 12.4.2131 03.23.2006 no virus found
Ewido 3.5 03.23.2006 Proxy.Lager.aq
Fortinet 2.71.0.0 03.23.2006 W32/Lager.AQ!tr
F-Prot 3.16c 03.22.2006 no virus found
Ikarus 0.2.59.0 03.23.2006 Trojan-Proxy.Win32.Lager.AQ
Kaspersky 4.0.2.24 03.23.2006 Trojan-Proxy.Win32.Lager.aq
McAfee 4724 03.22.2006 no virus found
NOD32v2 1.1455 03.22.2006 no virus found
Norman 5.70.10 03.22.2006 no virus found
Panda 9.0.0.4 03.22.2006 no virus found
Sophos 4.03.0 03.23.2006 Troj/HideDl-A
Symantec 8.0 03.23.2006 Trojan.Abwiz.F
TheHacker 5.9.7.118 03.23.2006 Trojan/Proxy.Lager.aq
UNA 1.83 03.22.2006 TrojanProxy.Win32.Lager
VBA32 3.10.5 03.22.2006 Trojan.PWS.Alanchum

---------------------------
This is a report processed by VirusTotal on 03/23/2006 at 11:53:13 (CET) after scanning the file "TASKDIR.DLL.vir" file.

Antivirus Version Update Result
AntiVir 6.34.0.14 03.23.2006 TR/Proxy.Lager.AQ.1
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.22.2006 Proxy.BRR
Avira 6.34.0.53 03.23.2006 TR/Proxy.Lager.AQ.1
BitDefender 7.2 03.23.2006 no virus found
CAT-QuickHeal 8.00 03.23.2006 no virus found
ClamAV devel-20060126 03.23.2006 no virus found
DrWeb 4.33 03.23.2006 Trojan.PWS.Alanchum
eTrust-InoculateIT 23.71.109 03.23.2006 Win32/Lager.1xn!DLL!Trojan
eTrust-Vet 12.4.2131 03.23.2006 no virus found
Ewido 3.5 03.23.2006 Proxy.Lager.aq
Fortinet 2.71.0.0 03.23.2006 W32/Lager.AQ!tr
F-Prot 3.16c 03.22.2006 no virus found
Ikarus 0.2.59.0 03.23.2006 Trojan-Proxy.Win32.Lager.AQ
Kaspersky 4.0.2.24 03.23.2006 Trojan-Proxy.Win32.Lager.aq
McAfee 4724 03.22.2006 no virus found
NOD32v2 1.1455 03.22.2006 no virus found
Norman 5.70.10 03.22.2006 no virus found
Panda 9.0.0.4 03.22.2006 no virus found
Sophos 4.03.0 03.23.2006 Troj/HideDl-A
Symantec 8.0 03.23.2006 Trojan.Abwiz.F
TheHacker 5.9.7.118 03.23.2006 Trojan/Proxy.Lager.aq
UNA 1.83 03.22.2006 TrojanProxy.Win32.Lager
VBA32 3.10.5 03.22.2006 Trojan.PWS.Alanchum

---------------------------

HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:35:50, on 23.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Share...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Share...n/bin/cabsa.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Hallo @all (speziell zuletzt Caranthir)!
Bitte eröffnet - auch wenn ihr glaubt, ein gleiches/ähnliches Problem zu haben - ein eigenes Thema. Es wird sonst vollkommen unübersichtlich wer auf wessen Frage oder zu wessen Problem antwortet!

Im Übrigen: @Caranthir: Du hast einen Backdoor im System - das heißt eben schon neu Aufsetzen

@wildone: Full ack, habe übersehen, dass Du ohnedies schon eine entsprechende Empfehlung gegeben hast!
stupormundi