Komisches verhalten.
 

Hallo liebes Supportteam,

ich hoffe mal, dass ich hier im Forum nix überlesen habe zu diesem Problem, aber seit meiner letzten Lan, scheint mein Sys ein wenig zu spinnen. Ich nutze die Kerio-Firewall und Antivir, welches ich regelmaessig aktualisiere.
Zum einen will jemand permanent über SRSS32.exe(ist doch eine Win2k Anwendung?) auf meinen Rechner connecten, was ich mit Kerio ablehne.
Diese Arte von Angriffen hatte ich vorher nie !?!Weiter lassen sich nun Seiten wie symantec.com, kaspersky.com etc nicht mehr aufrufen.

Ich weiss, Servicepack 3 für Win2k fehlt mir noch. Mache ich asap. Bin da immer bissl faul. Hatte aber vorher nie Sicherheitsprobleme.
Danke für Euer Feedback. Antivir findet nichts.
Habe ich ein Problem oder bin ich nur Paranoid?

Hier mein Logfile:
Logfile of HijackThis v1.99.0
Scan saved at 13:39:23, on 20.12.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\nvsvc32.exe
F:\Programme\Kerio\Personal Firewall\persfw.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\System32\MsPMSPSv.exe
F:\WINNT\Explorer.exe
F:\Programme\Microsoft Hardware\Mouse\point32.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
F:\WINNT\System32\CTHELPER.EXE
F:\Programme\MSI\Live Update 3\LMonitor.exe
F:\WINNT\System32\RUNDLL32.EXE
F:\WINNT\System32\srss32.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\Programme\Kerio\Personal Firewall\PFWADMIN.EXE
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\PROGRA~1\WINZIP\winzip32.exe
F:\Programme\Hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.camorra-clan.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - F:\Programme\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] F:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] F:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] F:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [LiveMonitor] F:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\Run: [ServRun] srss32.exe
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKLM\..\RunServices: [ServRun] srss32.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {0733B8F9-8B52-4693-A9FA-829E12D27F78} - http://www.thepaymentcentre.com/build/preload2.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - http://213.131.225.4/esel2/webinstall.cab
O16 - DPF: {E9C87343-0E63-4ACA-9B76-B155333EE67A} (Main Class) - http://213.131.225.4/ax/AXDownload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCEB5A55-771A-4F70-9DFF-5054D913D930}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - F:\WINNT\System32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall - Kerio Technologies - F:\Programme\Kerio\Personal Firewall\persfw.exe

Google meint dazu: Agobot!
Nein, Dir fehlt SP4! Jetzt ist es aber zu spät, falls es wirklich Agobot ist. Du solltest formatieren.

Warum, weshalb, wieso findest Du über die Boardsuche mit "*bot" sicher schnell raus.

Gruß :daumenhoc
Yopie

Vorab Danke für Deine Antwort.
Jup, über Google habe ich auch schon gesucht. Mache ich idR immer und mittlerweile hab ich ein eScan durchgeführt.
Hier der Auszug:
File F:\WINNT\System32\srss32.exe infected by "Backdoor.Win32.Agobot.ot" Virus. Action Taken: No Action Taken.
File F:\WINNT\System32\winsys.exe infected by "Backdoor.SdBot.mv" Virus. Action Taken: No Action Taken

Tolle Wurst. :(
Bis vor kurzem war noch alles gut. Aber gleich ein Format zu empfehlen? Gibt es denn nicht andere Möglichkeiten. So ein Kotz.
Ich habe erstmal eine Rule in meiner Kerio FW angelegt, dass alle Zugriffe über die SRSS32.exe geblockt werden. Bringt das erstmal etwas?

Thx 4 your help.

So wie ich das beim Überfliegen des HJT-Logs gesehen habe, hast Du noch zumindest Spuren anderer Bots (winole.exe) auf dem Rechner. Diese sind trotz Kerio auf Deinen Rechner gelangt, warum sollte es ihnen dann nicht auch gelingen, eine Verbindung nach draußen herzustellen?

Das bedeutet, dass ein Dritter vermutlich Vollzugriff auf Deinen PC gehabt hat. Damit steht er zwar noch bei Dir, er gehört Dir aber nicht mehr. Du weißt ja nicht, was alles geändert wurde und wozu er missbraucht wurde. Ein Einsatz als Spamzombie (siehe http://www.heise.de/newsticker/meldung/54444 ) ist da noch eine harmlose Vorstellung.

Deswegen solltest Du asap aus dem Netz und formatieren.

Gruß :daumenhoc
Yopie

Danke nochmal.
OMG! Winole.exe wurde ebenfalls auf der Lan von meiner FW entdeckt und ich habe aus Unwissenheit ihm Zugang gewährt, da ich von einem Mate erfahren habe, es wäre eine Win2k-Anwendung und alles undramatisch... :koch:

Ich werde diese Regel wieder aufheben und blocken. Das ist doch alles nicht wahr... :(

Weiter habe ich gelesen, dass sich man sich über diesen Worm per IRC Zugang verschaffen kann. Ist mit IRC der Chat client gemeint? Wenn ja, weiss ich dass ich mir auf der Lan nach dem Einloggen ins LAN-IRC diesen Worm eingefangen habe..

Ich benoetige noch einige wichtige Daten von meiner Sys-Partion(Outlook-Pst etc.). Kann ich die ohne Bedenken backuppen oder gibt es dort auch Probleme?

Update:
Ich habe mittlerweile mit einem Scantool von Trend Micro die SRSS32.exe in der Registry entfernen koennen oder die Worms wurden ebenfalls deleted.
Ich mache noch ein paar Tests und berichte, falls ich diesen aggressiven Freund nicht losgeworden bin. Bzgl des Formatierens werde ich dieses asap durchführen. Nur wollte ich es ein wenig aufschieben, da mir momentan die Zeit fehlt.