Worm/Sober.I.Base64A

greendwarf · 30.12.2004, 18:39

Hi,
ich bekam gerade folgende Warnmeldung von Antivir:
30.12.2004,17:14:01 [WARNUNG] Enthält Signatur des Wurmes Worm/Sober.I.Base64A!
C:\DOKUMENTE UND EINSTELLUNGEN\DAVID\ANWENDUNGSDATEN\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\USER\USR_STANDARD_000000\TMP\1
[INFO] Die Datei wurde gelöscht!
Ich habe daraufhin mit Antivir gescant und nichts mehr gefunden. Hier noch das HJT - Logfile. Könnt Ihr noch was finden?

Logfile of HijackThis v1.99.0
Scan saved at 18:35:57, on 30.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\David\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: Sicherheitscenter.lnk = C:\WINDOWS\system32\wscui.cpl
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44D09CF0-8228-4B13-ADC5-507890139627}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke im Voraus!!

Cidre · 30.12.2004, 20:04

Hallo,

dein Log-File ist sauber.

Anstelle der T-Online Software solltest du
- eine DFÜ Netzwerkverbindung manuell einrichten http://www.netzwerktotal.de/tdslwinxp.htm
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- Sichere eMail Clients wie Thunderbird einsetzen http://www.thunderbird-mail.de/

greendwarf · 30.12.2004, 20:10

Danke! Bin jetzt erstmal froh, dass es nicht schlimmer gekommen ist.

Werde auf jeden Fall auf Mozilla umsteigen!
Guten Rutsch!

Cidre · 30.12.2004, 20:14

Ebenso einen guten Rutsch.

Sicherheitshalber kannst du mit eScan AntiVirus im abgesicherten Modus wie beschrieben scannen.

greendwarf · 31.12.2004, 09:21

Moin,

habe gestern noch im abgesicherten Modus mit escan gescant. Folgendes kam dabei raus:

Thu Dec 30 21:58:04 2004 => File C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP11\A0012932.exe infected by "not-a-virus:AdWare.SaveNow.am" Virus. Action Taken: No Action Taken.

Thu Dec 30 21:58:14 2004 => File C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP11\A0012970.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

Thu Dec 30 22:19:29 2004 => File C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP56\A0030671.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Ach ja, diese Sober Warnung von Antivir bekomme ich jetzt JEDES MAL wenn ich bei T-Online meine Emails abhole

Die drei Dateien sind nur als Beispiel. Fast 30 Dateien sind mit diesem Gator/Save now Mist befallen, so 2 - 3 mit Win32.reboot.

Was soll ich jetzt machen?!

Besonders ScheXXXXe ist, dass wohl Restore-Daten befallen sind!!!!

Cidre · 31.12.2004, 11:55

Zitat:

Besonders ScheXXXXe ist, dass wohl Restore-Daten befallen sind!!!!

Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren
http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Zitat:

Ach ja, diese Sober Warnung von Antivir bekomme ich jetzt JEDES MAL wenn ich bei T-Online meine Emails abhole

http://www.heise.de/newsticker/meldung/53427
http://www.heise.de/security/artikel/53440

greendwarf · 31.12.2004, 12:39

Habe eben im abgesicherten Modus mal mit Antivir und Spysweeper gescant, beide brachten keine Funde. Mit der freeware Version von escan kann man nur scannen, aber nichts beheben?!

Kann ich die infizierten Dateien einfach "per Hand" löschen?!

Cidre · 31.12.2004, 12:54

Natürlich kannst du die Malware Dateien manuell löschen. eScan hat von den AV Scanner her, mit die grösste Erkennungsrate und so durchaus zu empfehlen.
Zur Erleichterung kannst du auch mit Hilfe von Killbox die Dateien löschen lassen. Kopiere dazu den Pfad der Datei, füge ihn bei Killbox ein und lösche.

greendwarf · 31.12.2004, 12:58

Nochmal danke

frohes neues an aller TBer!

Thanxs auch an Cacota!!

Cidre · 31.12.2004, 13:13

Gern geschehen und ebenso einen guten Rutsch.

30.12.2004, 20:14	#4
Cidre Administrator, a.D.	Worm/Sober.I.Base64A Ebenso einen guten Rutsch. Sicherheitshalber kannst du mit eScan AntiVirus im abgesicherten Modus wie beschrieben scannen. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

31.12.2004, 13:13	#10
Cidre Administrator, a.D.	Worm/Sober.I.Base64A Gern geschehen und ebenso einen guten Rutsch. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Worm/Sober.I.Base64A

Plagegeister aller Art und deren Bekämpfung: Worm/Sober.I.Base64A