|
Poebot.C.268 in lsass.exe Hallo Ich bin neu hier und dachte deshalb ich könnte mal mein problem schildern :D Also alles begann nach dem für heute 3 mal aufgesetzten Windows Server 2003. Ich habe vor dem Installieren alle Netzwerkkabel entfernt (somit kein Internet). Nach dem installieren hab ich folgendes Installiert Sygate Firewall 5.5 Antivir Personal Classic Nun als dies erfolgreich Installiert war, hab ich das internet wieder angeschlossen. Un sogleich kam die Meldung von AntiVir, dass ich folgenden Virus habe Worm/Poebot.C.268 in der datei C:\Windows\lsass.exe Ich hab dann zunächst mal zugriff verweigern gecklickt. Dies hat aber nicht geholfen (noch etwa 10 weitere gleiche meldungen). bei der 10 hab ich in Quarantäne verschieben geklickt. nun war für etwa 5 minuten ruhe. Danach gings wieder los. Ich hab den server 3 mal neu installiert weill ich zuvor (hab das internet drinn gelassen) gleich so um die 20 Viren hatte. Nun hoffe ich, dass ihr mir weiterhelfen könnt. Vielen Dank grüsschen Claudio |
Hallo. Wahrscheinlichste Infizierung: Sasser Wurm. Mache folgendes: -Erstelle ein Hijackthis log und poste es hier. -Update AntiVir. -Lade dir sassgui. -Ziehe alle LAN/I-Net Stecker. -Lasse "sassgui" arbeiten. -Deaktiviere die Systemwiederherstellung auf allen Laufwerken. -Konfiguriere AntiVir aggressiv. -Wechsel in den abgesicherten Modus (F8 beim Hochfahren) und mache einen kompletten scan mit AntiVir. Lösche ALLES was gefunden wird. -Dann arbeitest du die Anleitung aus meiner Signatur zu eScan/MWAVE ab und postest das logFile. -Erstelle zu guter letzt ein neues HJT log und poste auch dies sowie eine Beschreibung ob und welche Probleme du noch hast. Gruß und viel Erfolg Undoreal |
Ok Danke also dann geh ich mal an die Arbeit :D |
Also es ist folgendes passiert.... Ich habe alle schritte ausgeführt. Bei dem schritt mit dem sassgui kam jedoch die meldung, dass ich keine Administratoren rechte hätte, obwohl ich mich mit dem Administrator angemeldet habe (also ich hab 100% admin rechte). Erkannt hat das toll keinen einzigen Virus aber während des Scannen von sassgui, hat AntiVir wieder den selben Virus gemeldet in Lsass.exe ich habe dann löschen ausgewählt, geklappt hats wohl nicht. Und escan hat 7 Viren erkannt. so nun hier die Logfiles -----------------------------------Erstes HijackThis file------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 12:01:51, on 09.04.2007 Platform: Windows 2003 (WinNT 5.02.3790) MSIE: Internet Explorer v6.00 (6.00.3790.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\WINDOWS\system32\Dfssvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.ch/ O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\Isass.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) --------------------------------------------------------------------------------------------- ---------------------------------------EScan Log file----------------------------------------- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows [Version 5.2.3790] Mon Apr 09 12:38:27 2007 => Version 9.1.8 Mon Apr 09 12:37:28 2007 => Virus-Datenbank Datum: 4/5/2007 Mon Apr 09 13:02:29 2007 => Virus-Datenbank Datum: 4/5/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Mon Apr 09 12:41:19 2007 => Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Div.Downloads\vnc-4_1_2-x86_win32.exe//data0001 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Mon Apr 09 12:41:50 2007 => Datei C:\Programme\RealVNC\VNC4\WinVNC4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Mon Apr 09 12:48:01 2007 => Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Div.Downloads\vnc-4_1_2-x86_win32.exe//data0001 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Mon Apr 09 12:49:16 2007 => Datei C:\Programme\RealVNC\VNC4\vncconfig.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Mon Apr 09 12:49:17 2007 => Datei C:\Programme\RealVNC\VNC4\vncviewer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Mon Apr 09 12:49:17 2007 => Datei C:\Programme\RealVNC\VNC4\winvnc4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Mon Apr 09 12:49:17 2007 => Datei C:\Programme\RealVNC\VNC4\wm_hooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Apr 09 13:02:29 2007 => Gefundene Viren: 7 Mon Apr 09 13:02:29 2007 => Anzahl Fehler: 39 Mon Apr 09 13:02:29 2007 => Dauer des Scans bisher: 00:24:00 Mon Apr 09 13:02:29 2007 => Gescannte Dateien: 33624 Mon Apr 09 12:38:27 2007 => Specherüberprüfung: Aktiviert Mon Apr 09 12:38:27 2007 => Registry Überprüfung: Aktiviert Mon Apr 09 12:38:27 2007 => System-Ordner Überprüfung: Aktiviert Mon Apr 09 12:38:27 2007 => Überprüfung der Systembereiche: Deaktiviert Mon Apr 09 12:38:27 2007 => Überprüfung der Dienste: Aktiviert Mon Apr 09 12:38:27 2007 => Überprüfung der Festplatten: Deaktiviert Mon Apr 09 12:38:27 2007 => Überprüfung aller Festplatten :Aktiviert ---------------------------------------------------------------------------------------------- ----------------------------noch das letzte Hijack this log file---------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 13:06:01, on 09.04.2007 Platform: Windows 2003 (WinNT 5.02.3790) MSIE: Internet Explorer v6.00 (6.00.3790.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.ch/ O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\Isass.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) ------------------------------------------------------------------------------------------- Bis jetzt wurde noch kein virus gemeldet aber dass kann noch kommen..... |
So wie das aussieht kommst Du am Neuaufsetzen nicht drumherum. Dies solltest Du auch machen um auf Nummer Sicher zu gehen. Ansonsten verschickt Dein "Gast" diverse Dateien oder Spam von Deinem Rechner aus. |
Zitat:
Also hedie; du hast noch mehr zu tun. BItte alles wieder in Reinfolge ganz genau abarbeiten. Bei Fragen erst Boardsuche und google benutzen: -Scanne deinen Rechner auf Rootkits->F-Secure Blacklight > BlackLight Testversion -Lasse eScan noch einmal laufen.Diesmal lässt du das Häkchen bei "Scan only" weg. Dann sollte auf dem Button "Scan and Clean" erscheinen. -Dann meldest du dich als admin an.Nicht nur Benutzerkonto mit admin Rechten. -Nun schließt du AntiVir(beendest den Guard). -Dann lasse "sassgui" laufen. Diesmal sollte es klappen.(Beachte das sassgui nicht mehr im abgesicherten Modus laufen sollte) -Danach startest du den Rechner neu und machst einen kompletten scan mit AntiVir und danach einen mit SSW. -Dann erstellst du ein neues HJT log (nicht aus dem abgesicherten MOdus sondern aus dem Normalen.. ;) ) Gruß und viel Glück Undoreal |
Aber das ist ja das Problem Neuaufsetzen nützt nichts... Das hab ich jetzt sicher schon 5 mal gemacht doch der besteht weiterhin |
Zitat:
mfg Undoreal |
also so wie es aussieht ist der virus doch weg (keine meldungen mehr bekommen) aber nun hat es 2 neue "VIREN" auf jedenfall Heuristische meldunge die unbekannt sind Die in zwei merkwürdigen dateien beide im System32 yseqy.exe mgxsewgl.exe |
Zitat:
|
Zitat:
mfg Undoreal |
Zitat:
|
ok werd ich machen.... Danke für eure hilfe |
Undoreal schrieb : "warum das denn???? Sieht hier jemand einen Backdoorbefall? Dann bitte ich um Info." Ich halte die Kiste für verseucht, Du anscheinend nicht...... Man kann Du soviel wursteln wie man will, richtig sicher das alles wech ist, kann man sich nie sein. Dieses WIN VFC ist ein Dienstprogramm von AT&T Labors, Cambridge und kann kann böswillig verwendet werden. Es ermöglicht "VOLLEN" Zugriff auf den Rechner. Naja, und wenn man den Regeln dieses Forums folgen soll, empfiehlt es in diesem Fall immer das "Neuaufsetzen", oder irre ich mich jetzt schon wieder??? |
Jetzt sehe ich das auch so. Aber bis dort unten hin war davon noch nischts zu sehen.. Gruß Undoreal |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:38 Uhr. |
Copyright ©2000-2024, Trojaner-Board