Trojaner-Board - Worm/Netsky#1

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Worm/Netsky#1 (https://www.trojaner-board.de/22992-worm-netsky-1-a.html)

Hi!

Hab am Samstag folgede Meldung bei mir in Anti Vir gehabt, als ich einen anhang von ner Mail öffen wollte (dachte der Anhang ist ok)

Anti Vir stellte eine Signatur des Worm/Netsky#1 Viruses fest.
Irgendwo in C:Dokumente und Einstellungen/.../ Thunderbird/.../... . zip

Ich habe dann sofort die Datei mit Hilfe von AntiVir gelöscht.
Anschließend habe ich Adaware , Antvir und Spybot laufen lassen. Alles ohne Befund. Habe dann noch den Tip bekommen mit nem Programm, welches es bei sophos.de gibt speziell nach Netsky Würmern zu suchen.=> auch ohne Befund!
Ist der Wurm nun endgültig von meinem Rechner? Hatte ich ihn überhaupt komplett drauf, denn ich habe ja die gezipte Datei nit geöffnet (wollte es ja aber dann kam schon die Meldung)
Was kann dieser Wurm überhaupt anrichten?
Hier noch ne Hijackthisfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:05:39, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.1/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke im Vorraus!

Raphire

:mad: :mad:

Hallo,
so wie das aussieht wurde der Netzky ja nur in einem Emailanhang gefunden. Solange du den Anhang nicht geöffnet hast, ging auch keine Gefahr von ihm aus, und durch einfaches löschen hast du das Problem auch bereinigt.

Grüße Wildone

Ich weiß ja nicht genau ab wann die datei als geöffnet zählt. Thunderbird hat ja die Mail + Anhang auf meien Rechner geholt. Hab dann unten auf Den Anhang geklickt, als dann sofort die Meldung kam.Habe dann eben die Datei mit Anti Vir gelöscht. Was macht eigentlich der Wurm?Ist die Hijackthis file sauber?

MFG

Raphire

Hallo,
also das HijackThis Log ist sauber, da es haufenweise Variationen von Netsky gibt ist schwer zu beantworten was diese Version genau macht. Also, so wie ich das sehe bist du rechtzeitig gewarnt worden, und es ist keine Infektion eingetreten. Aber zukünftig solltest du die Finger von E-Mail Anhängen lassen die nicht eindeutig zugeordnet werden können.

Grüße Wildone

Ja werd ich auf jeden Fall auch lassen, aber was richten NetSky Dinger in der Regel an? Gefährlich oder quasi keine wirkliche Gefahr?

MFG Raphire :D :D

Hallo,
also die Dinger sind schon gefährlich, ursprünglich wurde der ja mal programmiert um Mydoom(oder Bagle) Registryeinträge zu entfernen (von dem Sasserautor), aber in Variationen werden Antivirenscanner ausgeschaltet, und DoS Atacken auf bestimmte Seiten durchgeführt, also nichts mit dem zu spaßen wäre.

Grüße Wildone

Irgendwie spinnt mein Antivir Update grade. Habe gestern, nachdem ich den Wurm ja schon lange drauf hatte noch updaten können. jetz sucht er die aktuelle Version aus dem netz, läd sie aber glaub ich net so ganz runter. Scannen kann ich aber. Sit wohl keine Auswirkung von Netsky. wird wohl an firewall liegen, oder?

Was meinst du mit Mydoom(oder Bagle)? Hab die Begriffe zwar schon mal gehört, kann sie aber nit zuorden.Kann durch diesen Wurm irgendwie für mich Kosten entstehen? (Habe DSL also keine Dialergefahr)

MFG
Raphire

Hallo,
denke eher das es mit einer Serverüberlastung von AntiVir zusammenhängt, ist ja nichts so ungewöhnliches. Übrigens gibt es auch Freeware Antivirenprogramme die eingehende Mails scannen (Avast und AVG), aber das nur am Rande erwähnt.
[EDIT]
Nein Kosten können sich dadurch keine ergeben, was ich mit Mydoom(ein anderer Wurm) meinte, war nur als Erklärung gedacht. Der Netsky hat den Mydoom entfernt, so eine Art "Hackerfede" wenn man so will.
[/EDIT]
Grüße Wildone

Sagmal kennst du dich mit eScan - Virus Log Information aus? hab das vor einigen Monaten aml laufen lassen und er hat gut 130 Meldungen gefunden. Aber alles irgendwie nur Warnungen, weil er auf irgendwas nicht zugreifen konnte. glaub mal das waren die dateinen, die bei adaware in Quarantäne sitzen.
Ich muss mir doch keine Sorgen machen, wenn eScan - Virus Log Information irgendwas findet aber alle anderen Programme net, oder?

MFG Raphire ;) ;)

Hallo,

nein da mußt du dir keine Sorgen wegen machen, das sind meist nur verwaiste Registryeinträge, diese können z.B. mit Registrybereinigungstools beseitigt werden (Wie bei allem das Veränderungen an der Registry vornimmt, auf eigene Gefahr), z.B. Regseeker.
Und man sollte auch hin und wieder mal die Quarantäneordner der Viren/Spywarescanner lehren.

Grüße Wildone

Ok danke für deine Hilfe! :daumenhoc

MFG Raphire

hey

Versuch mal folgende:
#Lade dir f-netsky.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und warte bis Procedur fertig ist!

#PC neustarten

Gruss
Expert

Ich bekomme andauernd e-mails von adresssen die ich nicht kenne. im anhang immer der gleich virus w32.netsky.w@mm .er wird immer automatisch behoben. das is ja net das problem aber ´hat das auch mal ein ende??

Zitat:

Zitat von Oliveroderwas

das is ja net das problem aber ´hat das auch mal ein ende??

Wenn die Mails alle vom gleichen Internet Sercice Provider versendet werden, dann handelt es sich vermutlich immer um den gleichen befallenen Rechner. Wenn es ein seriöser ISP ist, kannst du ihm den Wurmbefall seines Kunden melden, und er klemmt dann im günstigsten Fall die Kiste ab.

An welchen ISP du dich wenden musst verrät dir die Headerfaq. Du kannst ja mal einen anonymisierten Header (Mail-Adressen und Realnames aus-x-en!) posten, wenn du dir unsicher bist.

Gruß :daumenhoc
Yopie