Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Worm/Sober.I.Base64A (https://www.trojaner-board.de/11422-worm-sober-i-base64a.html)

greendwarf 30.12.2004 18:39
Worm/Sober.I.Base64A
 
Hi,
ich bekam gerade folgende Warnmeldung von Antivir:
30.12.2004,17:14:01 [WARNUNG] Enthält Signatur des Wurmes Worm/Sober.I.Base64A!
C:\DOKUMENTE UND EINSTELLUNGEN\DAVID\ANWENDUNGSDATEN\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\USER\USR_STANDARD_000000\TMP\1
[INFO] Die Datei wurde gelöscht!
Ich habe daraufhin mit Antivir gescant und nichts mehr gefunden. Hier noch das HJT - Logfile. Könnt Ihr noch was finden?

Logfile of HijackThis v1.99.0
Scan saved at 18:35:57, on 30.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\David\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: Sicherheitscenter.lnk = C:\WINDOWS\system32\wscui.cpl
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44D09CF0-8228-4B13-ADC5-507890139627}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke im Voraus!! :)

Cidre 30.12.2004 20:04
Hallo,

dein Log-File ist sauber.

Anstelle der T-Online Software solltest du
- eine DFÜ Netzwerkverbindung manuell einrichten http://www.netzwerktotal.de/tdslwinxp.htm
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- Sichere eMail Clients wie Thunderbird einsetzen http://www.thunderbird-mail.de/

greendwarf 30.12.2004 20:10
Danke! Bin jetzt erstmal froh, dass es nicht schlimmer gekommen ist. :daumenhoc
Werde auf jeden Fall auf Mozilla umsteigen!
Guten Rutsch!

Cidre 30.12.2004 20:14
Ebenso einen guten Rutsch.

Sicherheitshalber kannst du mit eScan AntiVirus im abgesicherten Modus wie beschrieben scannen.

greendwarf 31.12.2004 09:21
Moin, :sleepy:
habe gestern noch im abgesicherten Modus mit escan gescant. Folgendes kam dabei raus:

Thu Dec 30 21:58:04 2004 => File C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP11\A0012932.exe infected by "not-a-virus:AdWare.SaveNow.am" Virus. Action Taken: No Action Taken.

Thu Dec 30 21:58:14 2004 => File C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP11\A0012970.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

Thu Dec 30 22:19:29 2004 => File C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP56\A0030671.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Ach ja, diese Sober Warnung von Antivir bekomme ich jetzt JEDES MAL wenn ich bei T-Online meine Emails abhole :mad: :headbang:

Die drei Dateien sind nur als Beispiel. Fast 30 Dateien sind mit diesem Gator/Save now Mist befallen, so 2 - 3 mit Win32.reboot. :snyper:
Was soll ich jetzt machen?! :confused:

Besonders ScheXXXXe ist, dass wohl Restore-Daten befallen sind!!!! :mad:

Cidre 31.12.2004 11:55
Zitat:
Besonders ScheXXXXe ist, dass wohl Restore-Daten befallen sind!!!!
Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren
http://www.bsi.bund.de/av/texte/wiederher_xp.htm


Zitat:
Ach ja, diese Sober Warnung von Antivir bekomme ich jetzt JEDES MAL wenn ich bei T-Online meine Emails abhole
http://www.heise.de/newsticker/meldung/53427
http://www.heise.de/security/artikel/53440

greendwarf 31.12.2004 12:39
Habe eben im abgesicherten Modus mal mit Antivir und Spysweeper gescant, beide brachten keine Funde. Mit der freeware Version von escan kann man nur scannen, aber nichts beheben?! :dummguck:
Kann ich die infizierten Dateien einfach "per Hand" löschen?!

Cidre 31.12.2004 12:54
Natürlich kannst du die Malware Dateien manuell löschen. eScan hat von den AV Scanner her, mit die grösste Erkennungsrate und so durchaus zu empfehlen.
Zur Erleichterung kannst du auch mit Hilfe von Killbox die Dateien löschen lassen. Kopiere dazu den Pfad der Datei, füge ihn bei Killbox ein und lösche.

greendwarf 31.12.2004 12:58
Nochmal danke :daumenhoc frohes neues an aller TBer! :party: Thanxs auch an Cacota!!

Cidre 31.12.2004 13:13
Gern geschehen und ebenso einen guten Rutsch. :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:17 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129