|
Fliege beim Surfen raus; schon viel probiert... Hallo! Schlag mich seit Tagen mit folgendem Problem rum und weiß jetzt langsam echt nicht mehr weiter... Hoffentlich könnt Ihr mir helfen?! Hab den Rechner eines Bekannten für's Netz startklar gemacht (Norton Antivirus 2004, Outpost, 0190 Warner), hab mich dann per Modem eingewählt und nach ca. 12 Minuten flieg ich seitdem jedesmal aus'm Netz mit der altbekannten Meldung: "Windows muss neu gestartet werden....NT-Autorität\System....60 Sekunden.... RPC..." -> Sasser? Agobot? Blaster? Norton Antivirus' Definitionen waren veraltet, die wollte ich dann updaten per Intelligent Updater (also nicht online), die Datei ließ sich aber nicht starten.(-> Virus??) Also Norton runter und Demo von Kaspersky Antivirus Personal Pro drauf. Das ließ sich dann online sogar auf den neuesten Stand bringen. Scan im abgesicherten Modus ging nicht, wurde unterbunden (von XP?), daher nur Scan im normalen Betrieb: Aber nichts gefunden. Folgende Scans konnte ich im abgesicherten Modus durchführen: 1. Stinger: nichts gefunden 2. eScan: Mon Jan 10 22:59:13 2005 => ERROR!!! Invalid Entry system32\drivers\srvkp.sys in SYSTEM\CurrentControlSet\Services\SiSkp... 3. Hijack This: Logfile of HijackThis v1.99.0 Scan saved at 23:08:27, on 10.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe C:\Dokumente und Einstellungen\Elisabeth\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mediamarkt.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [soundmanager] soundman.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe O23 - Service: KLBLMain - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe Was mir verdächtig erscheint, ist: O4 - HKLM\..\Run: [soundmanager] soundman.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE Eine der beiden Zeilen (die obere?) ist doch zuviel, oder?! Klang für mich nach Backdoor.Agobot.KH?! siehe: http://www.ikarus-software.at/portal...door.Agobot.KH Das File hosts ist vorhanden aber nicht verändert; keine Einträge. Aber, wie gesagt, bisher wurde nichts gefunden.... Woran kann's liegen? Was ich noch nicht gemacht hab, ist von SP1 auf SP2 upgraden, da ich da eigentlich vorher gern ein Backup machen würde - aber ohne Virus. Hab ich jetzt so'n Viech drauf? Oder kann's sein, dass sich aufgrund der Sicherheitslücke von XP SP1 immer irgendjemand/was inhackt, wenn ich ich online bin und dann den Rechner runterfährt? Dagegen spricht aber dass es immer so nach 12 Minuten passiert und ich Norton nicht aktualisieren konnte. Wie soll ich weiter vorgehen? Würd' mich echt freuen, wenn Ihr mir 'nen Tip geben könntet!! Danke und viele Grüße Matthias |
@mathpet es könnte auch der hier sein wechsle doch mal in den abgesicherten modus und lasse escan laufen. poste das ergebnis chaosman |
@chaosman erstmal danke für die Antwort. eScan hab ich schon laufen lassen und vorhin schon mit hingeschrieben: nur eine Fehlermeldung: Mon Jan 10 22:59:13 2005 => ERROR!!! Invalid Entry system32\drivers\srvkp.sys in SYSTEM\CurrentControlSet\Services\SiSkp... Ansonsten findet eScan nichts. Wegen des von Dir angegebenen links: Hab diesen Wurm auch schon im Verdacht gehabt. Aber gibt's dafür ein spezielles Removaltool? Ich verstehe die "Wiederherstellung" so, dass man nur die Registry-Einträge abändern soll?! Ist das richtig? Außerdem hab ich alle Removaltools für Agobots, die ich gefunden hab, laufen lassen. (FXGAOBOT, FXGAOBOTUJ, jeweils von Symantec,AGOBOTGUI.COM von Sohpos, F-Bot.EXE von www.f-secure.com) Wurde aber nie was gefunden.... Hab ich mir ein Viech eingefangen, das in keiner Antivirensoftware enthalten ist oder was? Viele Grüße Matthias |
@ mathpet Zitat:
Zitat:
Wenn KAV/eScan nicht anschlägt, werden die Dateien wohl in Ordnung sein oder es handelt sich um völlig neue Malware, die noch nicht bekannt ist. Du kannst die Dateien passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread senden. Diese Mail-Adresse gehört *Christian*, einem Boardmitglied, der unbekannte Dateien einer Prüfung unterziehen (lassen) kann. |
@ shadowdance Mit "Wiederherstellung" war nicht die Systemwiederherstellung von Windows gemeint, sondern war der Name der Rubrik, in der beschrieben ist, wie dieser Wurm behandelt werden soll. (siehe link von chaosman) Hab ich die dort beschriebene Vorgehensweise richtig verstanden? Nur die Registryeinträge löschen? Leider kann ich aber nicht sagen, ob das tatsächlich der richtige Wurm ist: Kein Scanner, den ich laufen ließ, hat was gefunden. Ich kann deshalb auch keine Datei einschicken. Wenn das der richtige Wurm sein sollte, hab ich das Problem, dass ich die befallene Datei SOUNDMAN.EXE nicht finden kann. Sie wird nach meiner Recherche vom Virus verborgen und demnach nirgends angezeigt. Außerdem gehört zu meinem System - glaube ich - tatsächlich auch eine Datei namens soundman.exe (Mixer oder sowas). Das ist wohl die nicht-infizierte. Hab jedenfalls keinen Plan, was ich noch weiter machen könnte. Das Problem besteht jedenfalls weiterhin: Gehe ich ins Netz, wird nach ca. 12 Minuten der Rechner runtergefahren. Das passiert übrigens nicht, wenn ich die firewall fast alles blockieren lasse. Dafür ist dann die CPU die ganze Zeit bei 100%.(Ursache: SVCHOST.EXE) Der Virus etc. versucht wohl ins Netz zu kommen. Schalt ich dann die Firewall wieder etwas weniger streng, ist die Cpu-Belastung sofort weg und der Rechner fährt nach 12 Minuten runter. Sieht mir schon sehr nach Virus/Wurtm etc. aus.... Wie könnte ich weiter vorgehen? Danke und viele Grüße Matthias |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:17 Uhr. |
Copyright ©2000-2024, Trojaner-Board