Trojaner-Board - MSN-Wurm

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - MSN-Wurm (https://www.trojaner-board.de/68767-msn-wurm.html)

Habe gestern bei MSN folgende Nachricht von einem Kumpel bekommen:
"guck dir ma das bild an ;) erinnerste dich noch dran? wa ne peinliche aktion wa? :P htp://imagesupload.biz/viewimage.php?=*hier stand meine Mail*"

Ich habe auf den Link geklickt (man denkt ja erst mal an nichts schlimmes bei Leuten die man kennt; übrigens meinte mein Kumpel, er hätte es auch nicht selbst geschickt). Daraufhin wurde Vista kurzzeitig etwas langsam und die selbe Nachricht wurde automatisch an 2 weitere Leute verschickt (die auch online waren).

Hab' dann im I-net etwas gesucht und offenbar handelt es sich dabei um einem MSN-Wurm, anschließend habe ich meinen PC mit dem "Microsoft Windows-Tool zum Entfernen bösartiger Software" gescannt sowie das selbe nochmal mit MC Afee Virenscanner und sicherheitshalber Spybot. Bei keinem wurde was gefunden.

Will aber doch noch sicher gehen, hier der HijackThis-Log:
Was wären denn die ersten Symptome, wenn ich den Virus/Wurm denn hätte?.

Guten Morgen!

Fixe bitte folgenden Eintrag:

Zitat:

Welche IPs stehen hier?

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B8BE12F-08BB-4E5F-BB34-825BC57721A4}: NameServer = xxx.xxx.x.xxx
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B8BE12F-08BB-4E5F-BB34-825BC57721A4}: NameServer = xxx.xxx.x.x

IPs bitte nicht editieren! Damit kann eh niemand was anfangen..

Hallo,
da steht:

Code:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B8BE12F-08BB-4E5F-BB34-825BC57721A4}: NameServer = 192.168.1.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{1B8BE12F-08BB-4E5F-BB34-825BC57721A4}: NameServer = 192.168.0.1

Wie gesagt, mir ist zwar noch nichts auffälliges aufgefallen, aber man weis ja nie.. .

Gut, das sind deine IPs.

Wenn du bereits Links verschickt hast dann ist der Trojaner aktiv!

Du solltest deine Kontakte warnen und den Rechner physikalisch vom Netz trennen! => LAN-Stecker ziehen.

Die benötigten Progs und die logs retoure solltest du über einen sauberen PC downloaden und schicken.

Hallo concorde,

bitte klicke umgehend auf Editieren und ändere http in htp.

Code:

Datei DSC07783.JPEG_www.imagesupload.bi empfangen 2009.01.18 11:37:44 (CET)

Status:    Beendet 

Ergebnis: 23/39 (58.98%) 

 Filter 

Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        4.0.0.73        2009.01.18        Backdoor.Win32.SdBot!IK

AhnLab-V3        2009.1.15.0        2009.01.17        Win-Trojan/Inject.626688.B

AntiVir        7.9.0.57        2009.01.17        PCK/Armadillo

Authentium        5.1.0.4        2009.01.17        W32/Trojan3.IA

Avast        4.8.1281.0        2009.01.16        Win32:IRCBot-BSX

AVG        8.0.0.229        2009.01.17        Generic_c.ADIZ

BitDefender        7.2        2009.01.18        MemScan:Backdoor.IRCBot.ACNF

CAT-QuickHeal        10.00        2009.01.17        Backdoor.SdBot.iwa

ClamAV        0.94.1        2009.01.18        -

Comodo        935        2009.01.18        Backdoor.Win32.SdBot.~FV

DrWeb        4.44.0.09170        2009.01.18        -

eSafe        7.0.17.0        2009.01.15        -

eTrust-Vet        31.6.6312        2009.01.17        Win32/Rbot.JKY

F-Prot        4.4.4.56        2009.01.17        W32/Trojan3.IA

F-Secure        8.0.14470.0        2009.01.18        -

Fortinet        3.117.0.0        2009.01.15        -

GData        19        2009.01.18        MemScan:Backdoor.IRCBot.ACNF

Ikarus        T3.1.1.45.0        2009.01.18        Backdoor.Win32.SdBot

K7AntiVirus        7.10.594        2009.01.17        Backdoor.Win32.SdBot.iux

Kaspersky        7.0.0.125        2009.01.18        Backdoor.Win32.SdBot.jpv

McAfee        5498        2009.01.17        -

McAfee+Artemis        5498        2009.01.17        Generic!Artemis

Microsoft        1.4205        2009.01.18        Worm:Win32/Pushbot.gen

NOD32        3774        2009.01.17        IRC/SdBot

Norman        5.93.01        2009.01.16        -

nProtect        2009.1.8.0        2009.01.16        Trojan/W32.Inject.626688

Panda        9.5.1.2        2009.01.17        -

PCTools        4.4.2.0        2009.01.17        -

Prevx1        V2        2009.01.18        -

Rising        21.12.62.00        2009.01.18        Backdoor.Win32.SdBot.fmg

SecureWeb-Gateway        6.7.6        2009.01.17        Packer.Armadillo

Sophos        4.37.0        2009.01.18        -

Sunbelt        3.2.1835.2        2009.01.16        -

Symantec        10        2009.01.18        -

TheHacker        6.3.1.5.222        2009.01.17        -

TrendMicro        8.700.0.1004        2009.01.16        -

VBA32        3.12.8.10        2009.01.17        Trojan.Win32.Inject.jux

ViRobot        2009.1.17.1563        2009.01.17        -

VirusBuster        4.5.11.0        2009.01.17        Worm.SdBot.ADHC

weitere Informationen

File size: 634880 bytes

MD5...: c4c26c6a12e36fefcb0702f3f959852b

SHA1..: 44f8cc37515e01b8fb73df0336deca3ae56edc69

SHA256: 6809a2663a326524c2e1f0586ea10b18613aa4040267e54f492540c93c440330

SHA512: 6b47a78a71ef00acb64b5483ba1bb60fcf30db307a8bd0e81b6e0c4c8f46d2c9

2f39408add80e34ae91ccfe574211557131cae8f50e7f68f1461bc3a4c49eadf

ssdeep: 12288:diWaUgLDhOPo0VdfG1mIn0sSelRnlUZrHQg:diWDgLAJH6m0hl9lUtw

PEiD..: -

TrID..: File type identification

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x484dd2

timedatestamp.....: 0x4970a2f8 (Fri Jan 16 15:08:40 2009)

machinetype.......: 0x14c (I386)
 

( 8 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x40a8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rdata 0x6000 0xc10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.data 0x7000 0x451bc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.text1 0x4d000 0x50000 0x42000 6.44 b1078f14803056b4994f6cec9c7bb064

.adata 0x9d000 0x10000 0xd000 0.00 938d6d97628275a512e07c66be5ccecf

.data1 0xad000 0x20000 0xb000 3.72 022040de35a86de19b0026d50c6c64a9

.pdata 0xcd000 0x40000 0x3e000 8.00 fce4cfdb9fefe4446ac8d1594b8a82f3

.rsrc 0x10d000 0x2000 0x2000 3.04 3fc091a06cac948526c44567fca7f8aa
 

( 3 imports ) 

> KERNEL32.dll: CreateThread, GlobalUnlock, GlobalLock, GlobalAlloc, GetTickCount, WideCharToMultiByte, IsBadReadPtr, GlobalAddAtomA, GlobalAddAtomW, GetModuleHandleA, GlobalFree, GlobalGetAtomNameA, GlobalDeleteAtom, GlobalGetAtomNameW, FreeConsole, GetEnvironmentVariableA, VirtualProtect, VirtualAlloc, GetProcAddress, GetLastError, LoadLibraryA, SetLastError, SetThreadPriority, GetCurrentThread, CreateProcessA, GetCommandLineA, GetStartupInfoA, SetEnvironmentVariableA, ReleaseMutex, WaitForSingleObject, CreateMutexA, OpenMutexA, GetCurrentThreadId, CreateFileA, FindClose, FindFirstFileA, FindFirstFileW, VirtualQueryEx, GetExitCodeProcess, ReadProcessMemory, UnmapViewOfFile, ContinueDebugEvent, SetThreadContext, GetThreadContext, WaitForDebugEvent, SuspendThread, DebugActiveProcess, ResumeThread, CreateProcessW, GetCommandLineW, GetStartupInfoW, CloseHandle, DuplicateHandle, GetCurrentProcess, CreateFileMappingA, VirtualProtectEx, WriteProcessMemory, ExitProcess, FlushFileBuffers, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, LCMapStringW, MultiByteToWideChar, LCMapStringA, HeapSize, HeapReAlloc, QueryPerformanceCounter, VirtualFree, HeapCreate, HeapDestroy, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, RtlUnwind, DeleteCriticalSection, GetStdHandle, WriteFile, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, Sleep, EnterCriticalSection, LeaveCriticalSection, GetVersionExA, InitializeCriticalSection, GetCurrentProcessId, GetModuleFileNameW, GetShortPathNameW, GetModuleFileNameA, MapViewOfFile, GetShortPathNameA, GetSystemTimeAsFileTime, HeapFree, HeapAlloc, GetProcessHeap, RaiseException, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage

> USER32.dll: GetDesktopWindow, MoveWindow, SetPropA, EnumThreadWindows, GetPropA, GetMessageA, GetSystemMetrics, SetTimer, GetAsyncKeyState, KillTimer, BeginPaint, EndPaint, SetWindowTextA, GetDlgItem, CreateDialogIndirectParamA, ShowWindow, UpdateWindow, LoadStringA, LoadStringW, FindWindowA, WaitForInputIdle, MessageBoxA, InSendMessage, UnpackDDElParam, FreeDDElParam, DefWindowProcA, LoadCursorA, RegisterClassW, CreateWindowExW, RegisterClassA, CreateWindowExA, GetWindowThreadProcessId, SendMessageW, SendMessageA, PeekMessageA, TranslateMessage, DispatchMessageA, EnumWindows, IsWindowUnicode, PackDDElParam, PostMessageW, PostMessageA, IsWindow, DestroyWindow

> GDI32.dll: CreateDCA, CreateDIBitmap, CreateCompatibleDC, SelectObject, SelectPalette, RealizePalette, BitBlt, DeleteDC, DeleteObject, CreatePalette
 

( 0 exports ) 

packers (Kaspersky): Armadillo

packers (Avast): Armadillo

Sorry für die Störung.

ciao, andreas

:) Da ist ja die Kavallarie...

Ich hab' auch grad egesehen was da los ist.

Backdoor.Win32.SdBot.jpv

Damit hat sich Combofix und AVZ erledigt.

Trenne den Rechner wie gesagt vom Netz und setzte ihn neu auf.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Zitat:

Zitat von undoreal (Beitrag 406832)

Werde ich mal gleich machen.. . Zu dem ersten Punkt, wenn ich auf fix drücke, erhalte ich folgende Fehlermeldung:
Anscheinend verteilt er die Nachricht aber nicht mehr, es waren soweit ich weis nur 2 Leute, andere haben den Link offenbar nicht erhalten (habe noch 2-3 Personen gefragt :O)

Wenn ich mbr starte, steht da

*EDIT*

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Gut der MBR ist in Ordnung.

Dann kannst du weitermachen den Reccner zu formatieren.

PS: Editiere unbedingt den Link! aus deinem ersten Post so wie john.doe es dir empfohlen hat!

Habe das http durch htp ersetzt, oder soll ich es ganz entfernen?.

Bevor ich aber nun neuinstalliere, habe ich "ganz sicher" den Wurm oder "denkst du" ,dass ich ihn habe und bist dir nicht zu 100% sicher?.
Soweit ich weis, habe ich nichts installiert, habe erst nur auf den Link geklickt, aber nichts ausgeführt.. .

Ganz entfernen ist wohl besser.

Also wenn du den Link an weitere Kontakte verschickt hast dann bist du sicher infiziert! Wenn nicht dann müsste wir uns das angucken. Aber wenn dein Rechner Links verschickt hat die zur schädlichen Datei führen dann hat das der Wurm gemacht. Und damit ist er als aktiv einzustufen.

Hier nochmal ein Log, dieses mal habe ich HijackThis (wie du gesagt hast), von einem anderen PC runtergeladen und es dann nochmal überprüfen lassen, sieht aber gleich aus:

Wenn der Trojaner aktiv wäre, müsste er nicht auch weiterhin die Link verschicken, oder reichen 1-2x aus?.

Sorry vergessen einzufügen:

Wenn er den Link verschickt hat, ist er aktiv. Da gibt es leider nichts drann zu rütteln.

Werde wohl sicherheitshalber neuinstallieren... .

Eine Frage noch: Ich habe 2 Partitionen , eine mit Windows und eine für Musik/Dokumente/Videos/Bilder.. .Kann ich wenigstens die Daten auf der anderen Partition sichern, oder wurden die auch irgendwie infiziert? (auch wenn ich da nochmal alles gescannt habe und nichts erkannt wurde)