Hallo! Ein Bekannter bat mich mit folgendem Problem um Hilfe:

Wenn der PC mit WinXP Prof. (SP2) hochgefahren wird, kommt er noch ganz normal zum Bildschirm, wo er sich einloggen kann (es sind mehrere Benutzerkonten eingerichtet). Gibt er dort sein Passwort ein, fängt der PC an zu laden (ca. 30 Sekunden) und schaltet letztendlich noch um auf die Windows-Oberfläche. Dort ist allerdings nur der Hintergrund zu sehen, keine Desktop-Symbole etc. Nicht einmal den Task-Manager kann man aufrufen, einfach gar nichts.

Man kann nur im abgesicherten Modus starten.

Ich habe nun im abgesicherten Modus mit MWAV (eScan) auf Viren etc geprüft und dabei ca. 30 Dateien gefunden, die mit Varianten des "Email-Worm.Win32.Warezov" infiziert waren. Ich habe von dem Scan ein ca. 16 MB großes Log-File gespeichert.

Die infizierten Dateien wurden gelöscht und bei einem erneuten Scan wurde auch nichts mehr gefunden.

Leider besteht das o.g. Problem nach wie vor. Kann sich das jemand erklären? Kommt das Problem vielleicht gar nicht von dem Virus?

Ich habe nun eben noch (im abgesicherten Modus) mit HijackThis gescannt. Hier das Log-File:


Logfile of HijackThis v1.99.1
Scan saved at 22:25:48, on 22.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Temp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [cscrsc.exe] C:\WINDOWS\system32\sys_rsc.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [zxcdiag] C:\WINDOWS\system32\zxcconf.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [prt.exe] C:\WINDOWS\system32\prt.exe s
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B82B45A9-F8F0-411F-B368-647B9DA4CBAC}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll ipsemsw3.dll e1.dll confxxn.dll confzxc.dll zxcstat.dll lv73l11.dll diagisr.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


Kann uns hier jemand weiterhelfen? Danke!


grtz
BuggerT

Überprüfe mal folgende Sachen bei :
h**p://virusscan.jotti.org/

O4 - HKLM\..\Run: [prt.exe] C:\WINDOWS\system32\prt.exe s
O4 - HKLM\..\Run: [zxcdiag] C:\WINDOWS\system32\zxcconf.exe
O4 - HKLM\..\Run: [cscrsc.exe] C:\WINDOWS\system32\sys_rsc.exe -s

Ach ja, das hier hört sich wirklich nach Warezow/Stration an:
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll ipsemsw3.dll e1.dll confxxn.dll confzxc.dll zxcstat.dll lv73l11.dll diagisr.dll

Auswirkungen:
• Lädt Dateien herunter
• Erstellt schädliche Dateien
• Verfügt über eigene Email Engine
• Änderung an der Registry
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer

Ich trau mich das zwar gar nicht zu schreiben, aber in diesem Falle würde ich Neuaufsetzen!

Zitat:

Zitat von Mobius07

Überprüfe mal folgende Sachen bei :
h**p://virusscan.jotti.org/

O4 - HKLM\..\Run: [prt.exe] C:\WINDOWS\system32\prt.exe s
O4 - HKLM\..\Run: [zxcdiag] C:\WINDOWS\system32\zxcconf.exe
O4 - HKLM\..\Run: [cscrsc.exe] C:\WINDOWS\system32\sys_rsc.exe -s

Alle diese Dateien sind infiziert. Hier die Ergebnisse als JPG-Bilder:

Zitat:

Ach ja, das hier hört sich wirklich nach Warezow/Stration an:
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll ipsemsw3.dll e1.dll confxxn.dll confzxc.dll zxcstat.dll lv73l11.dll diagisr.dll

Ich habe eben nochmal das Log-File von MWAV (eScan) mit diesen Dateien abgeglichen. Folgende dieser Dateien waren laut MWAV infiziert:
- ipsemsw3.dll
- e1.dll
- confxxn.dll
- zxcstat.dll

Zitat:

Ich trau mich das zwar gar nicht zu schreiben, aber in diesem Falle würde ich Neuaufsetzen!

Das würde ich - wenn möglich - gerne vermeiden. Der PC gehört nicht mir, ich habe nicht einmal Datensicherungen, die installierten Programme etc. Und mein Bekannter dürfte damit überfordert sein.


Gibt es noch Hoffnung auf Rettung? Wie sollte ich weiter vorgehen?

Danke!


grtz
BuggerT

So, es scheint, als hätte ich das ganze nun halbwegs im Griff.

Die im Log unter Q20 aufgeführten DLLs waren allesamt infiziert (außer Outpost natürlich). Ich habe also die Dateien gelöscht und die Einträge gefixt. Dasselbe mit den auffälligen Q4-Einträgen.

Danach konnte man sich wieder ganz normal einloggen. Nun habe ich noch mit Nod32 (Demo) und Kaspersky Personal Pro (lizensiert) intensiv gescannt und die letzten Überreste hoffentlich entfernt.
Zu guter Letzt habe ich noch die Windows-Sicherheitsupdates auf aktuellen Stand gebracht .

Im Moment funktioniert alles bestens und die verschiedenen Scanner finden auch keine verdächtigen Dateien mehr.

Vermutlich werde ich den Rechner meinem Bekannten morgen so zurückgeben.


Danke für die Hilfe!


grtz
BuggerT