Hallo!

Schlag mich seit Tagen mit folgendem Problem rum und weiß jetzt langsam echt nicht mehr weiter... Hoffentlich könnt Ihr mir helfen?!

Hab den Rechner eines Bekannten für's Netz startklar gemacht (Norton Antivirus 2004, Outpost, 0190 Warner), hab mich dann per Modem eingewählt und nach ca. 12 Minuten flieg ich seitdem jedesmal aus'm Netz mit der altbekannten Meldung: "Windows muss neu gestartet werden....NT-Autorität\System....60 Sekunden.... RPC..." -> Sasser? Agobot? Blaster?

Norton Antivirus' Definitionen waren veraltet, die wollte ich dann updaten per Intelligent Updater (also nicht online), die Datei ließ sich aber nicht starten.(-> Virus??) Also Norton runter und Demo von Kaspersky Antivirus Personal Pro drauf. Das ließ sich dann online sogar auf den neuesten Stand bringen. Scan im abgesicherten Modus ging nicht, wurde unterbunden (von XP?), daher nur Scan im normalen Betrieb: Aber nichts gefunden.

Folgende Scans konnte ich im abgesicherten Modus durchführen:

1. Stinger: nichts gefunden

2. eScan:

Mon Jan 10 22:59:13 2005 => ERROR!!! Invalid Entry system32\drivers\srvkp.sys in SYSTEM\CurrentControlSet\Services\SiSkp...

3. Hijack This:

Logfile of HijackThis v1.99.0
Scan saved at 23:08:27, on 10.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Dokumente und Einstellungen\Elisabeth\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mediamarkt.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: KLBLMain - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe


Was mir verdächtig erscheint, ist:

O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

Eine der beiden Zeilen (die obere?) ist doch zuviel, oder?!

Klang für mich nach Backdoor.Agobot.KH?! siehe: http://www.ikarus-software.at/portal...door.Agobot.KH

Das File hosts ist vorhanden aber nicht verändert; keine Einträge.

Aber, wie gesagt, bisher wurde nichts gefunden.... Woran kann's liegen?
Was ich noch nicht gemacht hab, ist von SP1 auf SP2 upgraden, da ich da eigentlich vorher gern ein Backup machen würde - aber ohne Virus.

Hab ich jetzt so'n Viech drauf? Oder kann's sein, dass sich aufgrund der Sicherheitslücke von XP SP1 immer irgendjemand/was inhackt, wenn ich ich online bin und dann den Rechner runterfährt? Dagegen spricht aber dass es immer so nach 12 Minuten passiert und ich Norton nicht aktualisieren konnte.

Wie soll ich weiter vorgehen?

Würd' mich echt freuen, wenn Ihr mir 'nen Tip geben könntet!!

Danke und viele Grüße

Matthias

@mathpet
es könnte auch der hier sein
wechsle doch mal in den abgesicherten modus und lasse escan laufen.
poste das ergebnis

chaosman

@chaosman
erstmal danke für die Antwort.
eScan hab ich schon laufen lassen und vorhin schon mit hingeschrieben:
nur eine Fehlermeldung:

Mon Jan 10 22:59:13 2005 => ERROR!!! Invalid Entry system32\drivers\srvkp.sys in SYSTEM\CurrentControlSet\Services\SiSkp...

Ansonsten findet eScan nichts.

Wegen des von Dir angegebenen links:
Hab diesen Wurm auch schon im Verdacht gehabt. Aber gibt's dafür ein spezielles Removaltool? Ich verstehe die "Wiederherstellung" so, dass man nur die Registry-Einträge abändern soll?! Ist das richtig?

Außerdem hab ich alle Removaltools für Agobots, die ich gefunden hab, laufen lassen. (FXGAOBOT, FXGAOBOTUJ, jeweils von Symantec,AGOBOTGUI.COM von Sohpos, F-Bot.EXE von www.f-secure.com) Wurde aber nie was gefunden....

Hab ich mir ein Viech eingefangen, das in keiner Antivirensoftware enthalten ist oder was?

Viele Grüße

Matthias

@ mathpet

Zitat:

Zitat von mathpet

Hab diesen Wurm auch schon im Verdacht gehabt. Aber gibt's dafür ein spezielles Removaltool?

-> Removal-Tool leider nicht.

Zitat:

Zitat von mathpet

Ich verstehe die "Wiederherstellung" so, dass man nur die Registry-Einträge abändern soll?! Ist das richtig?

-> Info zu Systemwiederherstellung.

Wenn KAV/eScan nicht anschlägt, werden die Dateien wohl in Ordnung sein oder es handelt sich um völlig neue Malware, die noch nicht bekannt ist. Du kannst die Dateien passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread senden. Diese Mail-Adresse gehört *Christian*, einem Boardmitglied, der unbekannte Dateien einer Prüfung unterziehen (lassen) kann.

@ shadowdance

Mit "Wiederherstellung" war nicht die Systemwiederherstellung von Windows gemeint, sondern war der Name der Rubrik, in der beschrieben ist, wie dieser Wurm behandelt werden soll. (siehe link von chaosman) Hab ich die dort beschriebene Vorgehensweise richtig verstanden? Nur die Registryeinträge löschen?

Leider kann ich aber nicht sagen, ob das tatsächlich der richtige Wurm ist: Kein Scanner, den ich laufen ließ, hat was gefunden. Ich kann deshalb auch keine Datei einschicken.

Wenn das der richtige Wurm sein sollte, hab ich das Problem, dass ich die befallene Datei SOUNDMAN.EXE nicht finden kann. Sie wird nach meiner Recherche vom Virus verborgen und demnach nirgends angezeigt. Außerdem gehört zu meinem System - glaube ich - tatsächlich auch eine Datei namens soundman.exe (Mixer oder sowas). Das ist wohl die nicht-infizierte.

Hab jedenfalls keinen Plan, was ich noch weiter machen könnte.

Das Problem besteht jedenfalls weiterhin:
Gehe ich ins Netz, wird nach ca. 12 Minuten der Rechner runtergefahren. Das passiert übrigens nicht, wenn ich die firewall fast alles blockieren lasse. Dafür ist dann die CPU die ganze Zeit bei 100%.(Ursache: SVCHOST.EXE) Der Virus etc. versucht wohl ins Netz zu kommen. Schalt ich dann die Firewall wieder etwas weniger streng, ist die Cpu-Belastung sofort weg und der Rechner fährt nach 12 Minuten runter.
Sieht mir schon sehr nach Virus/Wurtm etc. aus....

Wie könnte ich weiter vorgehen?

Danke und viele Grüße

Matthias