Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus oder Wurmbefall gestern Abend (https://www.trojaner-board.de/14681-virus-wurmbefall-gestern-abend.html)

Hondo 01.03.2005 08:52
Virus oder Wurmbefall gestern Abend
 
Hallo,
gestern hats mich zum 1. Mal richtig erwischt.
Irgend ein Virus oder Wurm (ich vermute letzteres) hat mich heimgesucht und versuchte gleich über alle Wege sich zu Verbreiten (Email, Messenger..)
Mein erster Griff war die Stromversorgung vom Router.

Habe McAfee und AntiVir gestern Nacht laufen gehabt, beide meldeten den Befall und zig Warnungen, die Dateien wurden gesperrt bzw. die Virenverseuchte Datei gelöscht.

Aber bin ich jetzt clean?

Anbei mal die Log von Hijackthis, wäre nett wenn ihr mir helfen könnt.
BTW: da gibts doch irgendwelche freie Zusatztools die eine bestimmte Gruppe von Würmern/Viren erkennen. Könnt ihr mir da ein Link posten?

Gruß Andreas


Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 08:43:37, on 01.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Apache\Apache\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\mysql\bin\mysqld-max-nt.exe
C:\Programme\Apache\Apache\Apache.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
C:\Programme\palmOne\HOTSYNC.EXE
C:\Programme\Microsoft Office97\Office\OSA.EXE
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: HotSync Manager.lnk = C:\Programme\palmOne\HOTSYNC.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office97\Office\OSA.EXE
O4 - Startup: WinMySQLadmin.lnk = C:\Programme\MySQL\MySQL Server 4.1\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office2002\Office10\OSA.EXE
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\Programme\PROFI\wzed.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...4/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/sh...21/mcgdmgr.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache - Unknown owner - C:\Programme\Apache\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: MySQL - Unknown owner - C:\mysql\bin\mysqld-max-nt.exe

Gigamail 01.03.2005 10:15
Hi,

Du solltes als aller erstes Dein System auf SP2 updaten sonst bist Du offen wie ein Scheunentor.
Ich würde vorschlagen, scanne Dein System mal mit eScan Beschreibung siehe unten. In Deinem Logfile ist so mal nicht's schlimmes zu erkennen.

folgenden Eintrag im abgesicherten Modus fixen:

O23 - Service: Apache - Unknown owner - C:\Programme\Apache\Apache\Apache.exe" --ntservice (file missing)

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Hondo 01.03.2005 11:10
Hi,
SP2 habe ich kürzlich wieder deinstalliert, da der Internetzugang mit IE6 ca. um den 10 sich verlangsamte, während der Firefox normal arbeitet.

Was meinst du mit fixen?
Zitat:
folgenden Eintrag im abgesicherten Modus fixen:
O23 - Service: Apache - Unknown owner - C:\Programme\Apache\Apache\Apache.exe" --ntservice (file missing)
Andreas

chaosman 01.03.2005 11:14
@Hondo
lese dich mal durch
anleitung

ansonsten hat Gigamail dir alles gepostet was du machen solltest.
Bei sp2 problemen mal in den MS datenbank nachschauen oder einfach googeln


chaosman

Hondo 01.03.2005 11:29
achso, in Hijackthis fixen.
danke.

Lutz 01.03.2005 11:38
Achtung:

Wie ich an anderer Stelle von raman gelesen habe, gibt es in der Version 1.99.1 von HijackThis offensichtlich ein Bug beim Auslesen, der 023-Einträge in Verbindung mit dem Status (file missing)!

Wenn wie hier der Dienst offensichtlich läuft:
Zitat:
C:\Programme\Apache\Apache\Apache.exe
sollte der entsprechende 023-Eintrag
Zitat:
O23 - Service: Apache - Unknown owner - C:\Programme\Apache\Apache\Apache.exe" --ntservice (file missing)
nicht gefixt werden!

Merjin (Autor von HijackThis) ist bereits informiert!

Hondo 01.03.2005 11:42
Hallo,
danke für die Antwort,
ja in der Tat läuft auf meiner Maschine u.a. der Apache Server.

Danke für die Zusatz-Info.
Andreas

PS: soll ich eigentlich erst mit eScan rangehen oder zuerst auf SP2 updaten?

Gigamail 01.03.2005 11:48
Zitat:
PS: soll ich eigentlich erst mit eScan rangehen oder zuerst auf SP2 updaten?
ich würde es schon erst drauf machen, es besteht aber die Möglichkeit damit Du es nochmal machen musst, nämlich wenn eScan einen Backdoor finden sollte


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:44 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129