Trojaner-Board - Diverse hartnäckige Würmer

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Diverse hartnäckige Würmer (https://www.trojaner-board.de/14519-diverse-hartnaeckige-wuermer.html)

Diverse hartnäckige Würmer

Hallo zusammen,

seit zwei Tagen werde ich von einer ganzen Sammlung an Würmern heimgesucht.

Es läuft der Antivir-Guard im Hintergrund, von dem ich ca. alle fünf Minuten zwei Meldungen bezüglich eines Wurmes bekomme (ich wähle dann immer "Datei löschen"). Die gemeldeten Dateien befinden sich immer im Verzeichnis "C:\Windows\Temp", das ansonsten leer ist.

Im munteren Wechsel bekomme ich Besuch von Sober.C1, Dumaru.Y2, Sobig.F, Ganda, Sober und Mydoom.A.

Wenn ich mit AntiVir oder auch speziellen Enfernungprogrammen für bestimmte Würmer alle Festplattenpartitionen durchsuchen lasse, wird nie etwas gefunden. Nur hin und wieder meldet sich eben der AntiVir Guard wegen einer neuen Datei im Temp-Verzeichnis.
Die Virensuchprogramme lasse ich im abgesicherten Modus laufen, Systemwiederherstellung ist deaktiviert.

Das Phänomen tritt auch bei deaktivierter Internetverbindung auf. Die anderen PCs im Netzwerk sind abgeschaltet.

AdAware, Spybot S&D sowie HijackThis habe ich auch in Verwendung.

Betriebssystem: Windows XP SP2 mit aktuellen Updates

Ich würde mich freuen, wenn Ihr mir einen Tip geben könnte, wie ich die Plagegeister los werde.

Schöne Grüße,
Helge

Hallo erstmal,

wenn du sagst das die auch bei nicht aktivierter Internetverbindung kommen, dann sind diese schon fest auf deinem Rechner!

Du sagst auch, das sich diese in dem Ordner "C:\Windows\Temp" eingenisstet haben oder?!

lade www.clearprog.de und bereinige Temp und Temporary Internet Files,
gehe dann nochmal ins HijackThis, scanne das mal durch (Im Abgesicherten Modus) und poste es hier rein, dann könne wir mal nachsehen ob noch was probleme macht!

Hallo Stefano,

habe alles so gemacht, wie Du gesagt hast.

Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:06:01, on 26.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [mmtask] d:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: HotSync Manager.lnk = D:\Programme\PalmVx\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HotSync Manager.lnk = D:\Programme\PalmVx\HOTSYNC.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - D:\Programme\lotus\notes\ntmulti.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Den vorletzten und den iPod-Eintrag bekomme ich nicht weg.

Was mir noch eingefallen ist: Wenn ich von Antivir die Festplatte durchsuchen lasse, findet es in C:\Windows\Downloaded Program Files\rundlg32.exe die Datei rundlg32.dll mit dem Trojaner Clicker.Agent.N . Die Datei rundlg32.exe kann ich aber in dem Verzeichnis nicht finden (im Explorer ist das Anzeigen von versteckten/Systemdateien aktiviert).

Gruß,
Helge

Hi Bearwulf,

um mehr zu sehen, ist ein HJT-Logfile in normalen Modus besser.

Desweitern führe dies mal durch.

1. Downloade Dir escan und befolge diese Anleitung (dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.

dartus

Hallo Dartus,

hier das Ergebnis von escan:

Sat Feb 26 18:01:55 2005 => Total Files Scanned: 512986
Sat Feb 26 18:01:55 2005 => Total Virus(es) Found: 219
Sat Feb 26 18:01:55 2005 => Total Disinfected Files: 0
Sat Feb 26 18:01:55 2005 => Total Files Renamed: 0
Sat Feb 26 18:01:55 2005 => Total Deleted Files: 0
Sat Feb 26 18:01:55 2005 => Total Errors: 119
Sat Feb 26 18:01:55 2005 => Time Elapsed: 06:04:17
Sat Feb 26 18:01:55 2005 => Virus Database Date: 2005/02/26
Sat Feb 26 18:01:55 2005 => Virus Database Count: 119563

Das mit den 219 Viren liegt daran, dass ich auf meiner Festplatte noch ein Verzeichnis mit exportierten *.eml-Dateien hatte, u.a. die "gelöschten Objekte" aus Outlook Express. Da waren natürlich jede Menge Viren drin (die Mails hatte ich immer ungeöffnet gelöscht, Vorschau deaktiviert). Die habe ich gleich mal endgültig beseitigt.

Die Details zu denen habe ich weggelassen.

Hier der Rest:

Sat Feb 26 11:59:09 2005 => File C:\WINDOWS\system32\gawalob.dll infected by "not-a-virus:AdWare.AdultIt.a" Virus. Action Taken: No Action Taken.
Sat Feb 26 12:00:08 2005 => File C:\WINDOWS\system32\sosema.dll infected by "Trojan-Spy.Win32.Briss.n" Virus. Action Taken: No Action Taken.
Sat Feb 26 12:16:30 2005 => File C:\WINDOWS\Downloaded Program Files\rundlg32.exe infected by "not-a-virus:AdWare.ToolBar.SBSoft.e" Virus. Action Taken: No Action Taken.
Sat Feb 26 12:27:14 2005 => File C:\WINDOWS\system32\gawalob.dll infected by "not-a-virus:AdWare.AdultIt.a" Virus. Action Taken: No Action Taken.
Sat Feb 26 12:28:32 2005 => File C:\WINDOWS\system32\sosema.dll infected by "Trojan-Spy.Win32.Briss.n" Virus. Action Taken: No Action Taken.
Sat Feb 26 13:12:45 2005 => File D:\Programme\AVPersonal\INFECTED\A0004714.EXE.VIR infected by "Trojan.Win32.Spooner.f" Virus. Action Taken: No Action Taken.
Sat Feb 26 13:15:33 2005 => File D:\Programme\HijackThis\backups\backup-20050216-190531-738.dll infected by "not-a-virus:AdWare.AdultIt.a" Virus. Action Taken: No Action Taken.

Und noch ein HJT-Logfile im Normal-Modus:

Logfile of HijackThis v1.99.1
Scan saved at 18:31:08, on 26.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
D:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Programme\PalmVx\HOTSYNC.EXE
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
D:\Programme\lotus\notes\ntmulti.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [mmtask] d:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: HotSync Manager.lnk = D:\Programme\PalmVx\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HotSync Manager.lnk = D:\Programme\PalmVx\HOTSYNC.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - D:\Programme\lotus\notes\ntmulti.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Ich hatte jetzt längere Zeit die Internet-Verbindung deaktiviert und den Eindruck, dass wesentlich seltener (am Schluss gar keine mehr) Würmer von AntivirGuard gemeldet wurden.
Die XP-Firewall ist aktiv, soll ja aber wohl nicht so viel taugen.
In meinem Router (D-Link DI-604) gibt es auch eine Firewall, wie kann ich die sinnvoll konfigurieren?

Gruß,
Helge

Hallo,

zum Thema Router kann ich Dir leider nicht helfen,
Aber nutze mal das wissen von "Google".
Auf jeden Fall solltest Du Dich an die 10 Punkte hier halten:

http://www.trojaner-board.de/showthread.php?t=12154

Nun zu den Plagegeistern:

Nimm folgende Einstellung in Deinem Explorer vor (falls noch nicht getan):

Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg und "Alle Dateien und Ordner Anzeigen" anklicken

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html :
Scanne mit Hijackthis und setz ein Häckchen vor folgendem Eintrag:

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Lösche dann alle "infected" Funde von Escan.

Neustart-->Systemwiederherstellung aktivieren

Falls Du dann eine Datei nicht finden solltest, führe dies aus:
Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok
Gehe im linken Fenster zum entsprechenden Ordner (markieren -> F8 -> JA) die beanstandete Datei

Zur Sicherheit lass Escan nochmals durchlaufen.

dartus

Guten Morgen, also, zum Router, weitere Einstellungen machst du über die Registerkarten Advances, Tools und Status auf der Web- Oberfläche.
Und falls du das MPW noch nicht geändert hast, dann ersetze es durch ein persönliches schweres PW, denn die MPWs sind bekannt und geistern durchs ganze IN, nicht das dir wer den Router von außen konfiguriert, dass wäre ja nicht im Sinne des Erfinders.
LG, Charlie

Hallo zusammen,

danke an alle, die mir geholfen haben.

Bis jetzt sind die Wurmmeldungen nicht mehr aufgetreten, hoffentlich bleibt es so.

Der Tip mit Total Commander war gut, nur so konnte ich die Dateien in "Downloaded Program Files" anzeigen und löschen.

Den O23-Eintrag von HJT bin ich losgeworden, indem ich den Dienst in der Verwaltung deaktiviert habe. Nur löschen in HJT hat nicht funktioniert.

Zum Router: Das Passwort hatte ich gleich nach der Installation geändert. Die Firewall ist wohl schon standardmäßig aktiv und braucht nicht konfiguriert werden. Habe mal einen Sicherheitscheck von Symantec gemacht (http://security.symantec.com/sscv6/d...d=ge&venid=sym), da sah es ganz gut aus.

Gruß,
Helge