Trojaner-Board - Bitte helft mir mit Worm/Roron.50.A

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bitte helft mir mit Worm/Roron.50.A (https://www.trojaner-board.de/10490-bitte-helft-mir-worm-roron-50-a.html)

Bitte helft mir mit Worm/Roron.50.A

Hallo,
kann mir jemand helfen diesen Wurm wegzubekommen? Habe selber leider keine Ahnung.
Dank und Gruß von der
Kosmokatze

Schicke mal ein HijackThis Log:
Logfile of HijackThis v1.98.2
Scan saved at 21:10:55, on 06.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\bases\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\PROGRAMME\office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\office\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

@Die Kosmokatze
ist dein logfile aus den normalen modus? wenn nicht, dann poste bitte eins.
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
als erstes könntest du dein system und IE updaten.

vielleicht findest du
hier
eine lösung

chaosman

Danke für die schnelle Antwort, schau mir den Link gleich an.
Nee war aus dem abgesicherten, hier normal:

Logfile of HijackThis v1.98.2
Scan saved at 21:39:44, on 06.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\bases\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\PROGRAMME\office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\office\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

@Die Kosmokatze
im logfile nichts neues, nichts auffälliges.

wo würde der Roron.50.A gefunden?

chaosman

Hey,
noch ein paar blöde Fragen:
Wird der IE nicht auch über das WindowsUpdate aktualisiert? Eigentlich wird Windows bei mir automatisch aktualisiert. Das ServicePack2 kann ich nicht installlieren, mit dem Keycode stimmt was nicht, ich glaube beim Neuinstallieren wurde mal ein fremdes windowsXP benutzt. Muss ich das deinstallieren und meines drauf machen?

LG K

Den Wurm, bzw. die betroffene Datei hatte ich kurz davor gelöscht (AntiVir), aber er taucht immer wieder auf. Gelegentlich auch der Worm/Sober.1. Betroffen sind immer Datein irgendwo aus
C:\Dokumente und Einstellungen\Administrator

Wenn du das SP2 installieren möchtest, was aus Sicherheitsgründen zu empfehlen wäre, dann benötigst du ein originales Win XP sprich legalen Linzenz Key.
Wäre sinnvoll, wenn du dein gecracktes XP deinstallieren würdest und dein originales aufspielst.

Lade und scanne mit eScan AntiVirus wie beschrieben und poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

EScan sucht gerade... Wie deinstalliere und installiere ich XP am einfachsten (sorry, hab echt keine Ahnung), was mach ich mit meinen Dateien, brennen?

Zitat:

Wie deinstalliere und installiere ich XP am einfachsten

http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Zitat:

ich mit meinen Dateien, brennen?

Ja, wäre sinnvoll. Beachte aber Punkt 5 Neuaufsetzen des Systems und http://www.trojaner-board.de/showpos...8&postcount=11 .

Wichtig ist die erneute Absicherung deines Systems VOR der ersten I-net Verbindung:
http://www.trojaner-board.de/showpos...28&postcount=2

Hey,
ja Danke, das mit dem neu installieren werde ich morgen mal in Angriff nehmen.
Habe jetzt die letzen 1,5h versucht eScan durchzuführen, aber irgendwie hängt das immer nach ner Weile und reagiert nicht mehr. Muss ich eScan im abgesicherten Modus durchführen? Beim ersten mal musste ich resetten, weil gar nichts mehr ging. Das 2. Mal habe ich auch abgebrochen aber ein Vorläufiges Ergebnis war:

Mon Dec 06 23:09:45 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.

Mon Dec 06 23:19:15 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Dec 06 23:19:15 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\ESRFERQLM.EXE.VIR
Mon Dec 06 23:19:15 2004 => File C:\Programme\AVPersonal\INFECTED\ESRFERQLM.EXE.VIR tagged as not-a-virus:AdWare.Gator. No Action Taken.
Mon Dec 06 23:19:15 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMRDEQFC.EXE.VIR
Mon Dec 06 23:19:15 2004 => File C:\Programme\AVPersonal\INFECTED\TMRDEQFC.EXE.VIR tagged as not-a-virus:AdWare.Gator. No Action Taken.
Mon Dec 06 23:19:15 2004 => File C:\Programme\AVPersonal\INFECTED\ESRFERQLM.EXE.VIR tagged as not-a-virus:AdWare.Gator. No Action Taken.
Mon Dec 06 23:19:15 2004 => File C:\Programme\AVPersonal\INFECTED\TMRDEQFC.EXE.VIR tagged as not-a-virus:AdWare.Gator. No Action Taken.

Mache heute nicht mehr so lange, Danke auf jeden Fall mal soweit!
Bis denn dann,
Gute Nacht sagt
die Kosmokatze