Virus/Trojaner: Bitte Helfen

Oegen · 12.10.2004, 19:58

Hallo,

ich habe seit kürzerer Zeit ein Virus oder Trojaner.

Meine Firewall und Virus Programme sind ausgefallen (Internet Security 2004 von Norton).
Außerdem funktioniert "regedit.exe" nicht mehr, bzw. ist nicht aufrufbar und wenn ich den Begriff Firewall in www.google.de schreibe oder ordner mit dem namen Firewall öffne schliesst es automatisch.

Wisst ihr vielleicht was das ist? Bzw. wie kann man mir helfen?

VIELEN DANK.

Gruß
Oegen

12.10.2004, 20:03

Poste ein HijackThis-Log: http://filepony.de/download-hijackthis/

Oegen · 12.10.2004, 20:27

Ich kann das Programm nicht auf dem infizierten PC starten, der Virus/Trojaner unterbindet diese Anwendung,bzw. schliesst sie beim starten. Auch wenn ich den Dateinamen ändere.

Bitte um Hilfe

Cidre · 12.10.2004, 20:32

Nach den Symptomen zu urteilen, dürfte es sich um mindestens einen aktiven Backdoor Trojaner aus der bot Familie handeln.

Erstelle das Log-File im abgesicherten Modus und poste es.

Oegen · 12.10.2004, 20:40

Logfile of HijackThis v1.98.2
Scan saved at 21:34:30, on 12.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\Widcomm\Bluetooth Software\BTTray.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\WINDOWS\System32\WDBtnMgr.exe
C:\Programme\WDC\SetIcon.exe
C:\Programme\Widcomm\Bluetooth Software\BTStackServer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\oodag.exe
C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
D:\Downloads\eMule\emule.exe
D:\Programme\Nero 6\Nero StartSmart\NeroStartSmart.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\WISPTIS.EXE
D:\Programme\Nero 6\nero\nero.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\System32\taskmgr.exe
D:\p.com

F2 - REG:system.ini: Shell=Explorer.exe,vxdload16.exe -shell
O1 - Hosts: 127.172.185.96 www.symantec.com
O1 - Hosts: 127.202.197.137 securityresponse.symantec.com
O1 - Hosts: 127.119.81.253 symantec.com
O1 - Hosts: 127.85.210.209 www.mcafee.com
O1 - Hosts: 127.11.201.39 mcafee.com
O1 - Hosts: 127.9.106.127 us.mcafee.com
O1 - Hosts: 127.22.245.120 www.sophos.com
O1 - Hosts: 127.146.83.23 sophos.com
O1 - Hosts: 127.14.190.239 www.viruslist.com
O1 - Hosts: 127.96.131.150 viruslist.com
O1 - Hosts: 127.82.156.80 f-secure.com
O1 - Hosts: 127.205.58.141 www.f-secure.com
O1 - Hosts: 127.238.211.50 kaspersky.com
O1 - Hosts: 127.216.242.84 www.avp.com
O1 - Hosts: 127.62.17.82 www.kaspersky.com
O1 - Hosts: 127.146.17.167 avp.com
O1 - Hosts: 127.227.72.194 www.networkassociates.com
O1 - Hosts: 127.147.147.63 networkassociates.com
O1 - Hosts: 127.202.212.15 www.ca.com
O1 - Hosts: 127.21.46.69 ca.com
O1 - Hosts: 127.49.84.114 my-etrust.com
O1 - Hosts: 127.128.164.189 www.my-etrust.com
O1 - Hosts: 127.240.183.165 secure.nai.com
O1 - Hosts: 127.144.54.43 nai.com
O1 - Hosts: 127.114.106.255 www.nai.com
O1 - Hosts: 127.92.119.45 trendmicro.com
O1 - Hosts: 127.31.185.208 www.trendmicro.com
O1 - Hosts: 127.226.241.187 housecall.trendmicro.com
O1 - Hosts: 127.37.176.68 www.pandasoftware.com
O1 - Hosts: 127.236.91.69 www.bitdefender.com
O1 - Hosts: 127.231.38.49 www.ravantivirus.com
O1 - Hosts: 127.101.80.244 www3.ca.com
O1 - Hosts: 127.119.188.157 v4.windowsupdate.microsoft.com
O1 - Hosts: 127.120.198.173 v5.windowsupdate.microsoft.com
O1 - Hosts: 127.230.239.221 v5windowsupdate.microsoft.nsatc.net
O1 - Hosts: 127.15.187.175 windowsupdate.microsoft.com
O1 - Hosts: 127.80.145.155 www.windowsupdate.com
O1 - Hosts: 127.138.199.221 windowsupdate.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [bttray] "C:\Programme\Widcomm\Bluetooth Software\BTTray.exe"
O4 - HKLM\..\Run: [GammaLoader] "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe"
O4 - HKLM\..\Run: [Erinnerung] C:\Dokumente und Einstellungen\Kurt\Eigene Dateien\Erinnerung.rtf
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [Seticons] C:\Programme\WDC\SetIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [I/O Controllers] svcnet.exe
O4 - HKLM\..\Run: [DLLInit] vxdload16.exe -services
O4 - HKLM\..\RunServices: [DLLInit] vxdload16.exe -services
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [I/O Controllers] svcnet.exe
O4 - HKCU\..\Run: [DLLInit] vxdload16.exe -drivers
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096633903406
O16 - DPF: {64D9B72C-E42A-490E-9181-221E1E035A14} (GDL Control) - http://www.gdlcentral.com/bin/files/....2.0.0.144.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

Ich habe auf dem System das Programm vxdload16.exe ausgemacht. Seit dem kann ich auf HiJack wieder zugreifen.

Ich war schonmal infiziert und habe den PC neugestartet, und das Prorgramm im Taskmanager NICHT gefunden. Dann habe ich Systemwiderherstellung gemacht und System war wieder gut.

Jetzt bei der 2. Infizierung habe ich nicht neugestartet und das Programm vxdload16.exe gefunden.

WAS IST DAS?

Cidre · 12.10.2004, 20:47

Wie gesagt, mein Tipp: Eine BOT Variante.

Überprüfe diese beiden Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
svcnet.exe
vxdload16.exe

Oegen · 12.10.2004, 21:18

Da fällt mir ein: Letztens habe ich so ein Half-Life 2 Keygenerator runtergeladen und seitdem versucht svcnet.exe (gemeldet von Norton Firewall) aufs Internet zuzugreifen.

Beim Virencheck kam raus:

File: vxdload16.exe
Status: INFECTED/MALWARE
Packers detected: PE_PATCH, TELOCK

AntiVir No viruses found (18.83 seconds taken)
Avast No viruses found (17.03 seconds taken)
BitDefender Backdoor.SDBot.Gen (77.24 seconds taken)
ClamAV No viruses found (34.22 seconds taken)
Dr.Web BackDoor.IRC.Sdbot.based (29.88 seconds taken)
F-Prot Antivirus No viruses found (3.35 seconds taken)
Kaspersky Anti-Virus No viruses found (27.97 seconds taken)
mks_vir No viruses found (6.45 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (21.45 seconds taken)
Norman Virus Control No viruses found (134.78 seconds taken)

File: svcnet.exe
Status: INFECTED/MALWARE
Packers detected: None

AntiVir Worm/IRCBot.53792xx (4.61 seconds taken)
Avast No viruses found (14.21 seconds taken)
BitDefender Trojan.Downloader.Gen (probable variant) (43.26 seconds taken)
ClamAV No viruses found (38.20 seconds taken)
Dr.Web Win32.HLLW.Tibic (18.07 seconds taken)
F-Prot Antivirus No viruses found (1.53 seconds taken)
Kaspersky Anti-Virus Worm.P2P.Tibick.b (16.23 seconds taken)
mks_vir Trojan.Hackarmy.U (38.81 seconds taken)
NOD32 Win32/Tibick.B (16.96 seconds taken)
Norman Virus Control Sandbox: W32/Backdoor; [ General information ]

* File length: 31277 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\svcnet.exe.
* Creates directory C:\WINDOWS\SYSTEM\msview.
* Creates file C:\WINDOWS\SYSTEM\msview\Ad-aware.exe.

[ Changes to registry ]
* Creates value "I/O Controllers"="svcnet.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "I/O Controllers"="svcnet.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Connects to "tibic.hackarmy.tk" on port 6667 (TCP).
* Connects to IRC server.
* IRC: Uses nickname jbctunp.
* IRC: Uses username hjfduzm.
* IRC: Joins channel ##TIBiC-P2P2##.

[ Process/window information ]
* Will automatically restart after boot (I'll be back...).
* Creates a mutex svcnet.exe.
* Attemps to open C:\WINDOWS\SYSTEM\svcnet.exe NULL. (328.33 seconds taken)

Cidre · 12.10.2004, 21:29

Meine Empfehlung lautet: http://www.trojaner-board.de/showpos...28&postcount=2

Oegen · 12.10.2004, 21:34

Alles neumachen hatte ich eh vor

12.10.2004, 20:03	#2
Christian Gast	Virus/Trojaner: Bitte Helfen Poste ein HijackThis-Log: http://filepony.de/download-hijackthis/ __________________

12.10.2004, 20:32	#4
Cidre Administrator, a.D.	Virus/Trojaner: Bitte Helfen Nach den Symptomen zu urteilen, dürfte es sich um mindestens einen aktiven Backdoor Trojaner aus der bot Familie handeln. Erstelle das Log-File im abgesicherten Modus und poste es. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

12.10.2004, 20:47	#6
Cidre Administrator, a.D.	Virus/Trojaner: Bitte Helfen Wie gesagt, mein Tipp: Eine BOT Variante. Überprüfe diese beiden Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis: svcnet.exe vxdload16.exe __________________ --> Virus/Trojaner: Bitte Helfen

12.10.2004, 21:29	#8
Cidre Administrator, a.D.	Virus/Trojaner: Bitte Helfen Meine Empfehlung lautet: http://www.trojaner-board.de/showpos...28&postcount=2 __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Virus/Trojaner: Bitte Helfen

Plagegeister aller Art und deren Bekämpfung: Virus/Trojaner: Bitte Helfen