Tach zusammen,bin der neue [img]graemlins/party.gif[/img]
also ich hatte gestern mehrere Trojanermeldungen und auch den obengenannten virus drupp!
hab angeblich alles entfernt und dabei auch hier und woanders viel gelesen und versucht.so mein prob ist ich bekomme beim scannen mit diversen progs keine warnmeldung mehr,aber ich kann nun einige Inetseiten nicht mehr ausführen bzw auch einige progs nicht runterladen oder andere auch nicht installieren in dem wörter wie zB antiviren,hijack usw vorkommen.also muss ich davon ausgehen das irgendwas nicht stimmt!aber was?
würd mich über hilfe freuen
mfg

EDIT:Ich habe auch sicherheitpachtes von microsoft alle drauf,kann aber zB auch kein windowsupdate mehr machen weil das auch eine von den seiten ist die bei mir nicht mehr angezeigt werden [img]graemlins/kloppen.gif[/img]

[ 02. Juni 2004, 15:39: Beitrag editiert von: BaDMaN ]

W32/Bobax-C ist ein Sasser-ähnlicher Wurm, der für seine Verbreitung die MS04-011 (LSASS.exe) Schwachstelle ausnutzt.

Wenn er ausgeführt wird, erstellt W32/Bobax-C eine Helper-DLL mit einem zufälligen Namen im temp-Ordner. Wenn die DLL geladen wird, kopiert sich die ausführbare Komponente unter Verwendung eines zufälligen Namens in den Windows-Systemordner.

W32/Bobax-C erstellt die folgenden Registrierungseinträge, damit er bei der Benutzeranmeldung gestartet wird:

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
<Name aus acht zufälligen Zeichen> = <Pfad zum Wurm>

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
<Name aus acht zufälligen Zeichen> = <Pfad zum Wurm>

Diese DLL wird als separater Thread in den Explorer eingefügt, so dass sie nicht als einzelner Prozess sichtbar ist.

Der Wurm wartet an einem zufällig gewählten TCP-Port im Bereich 2000 - 62000, den der Wurm in den ausgehenden Verkehr einbindet, so dass sich infizierte Systeme nicht zurück verbinden können.

W32/Bobax-C enthält außerdem ein E-Mail-Relay-Modul, wodurch infizierte Computer zum Übertragen von Werbe-E-Mails benutzt werden können.
-----------------
Wenn du sicher bist das dein windows vollkommen gepatcht ist, mach bitte einen onlinescan zur nochmaligen überprüfung deiner festplatte!
http://de.trendmicro-europe.com/ente...all_launch.php

wenn du windows XP hast, deaktiviere vorher die Systemwiederherstellung.

BestenGruss
rock

jo das habe ich schon alles gemacht.systemwiederherstellung ist deak und bei housecall war ich eben auch schon wieder

hast du eine firewall? welche? deaktivier diese mal und surf die seiten an, die nicht klappten.

keine firewall?

hijackthis am rechenr?
dann poste mal einen log.

gruss
rock

nö keine Firewall

StartupList report, 02.06.2004, 16:52:27
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\BaDMaN\Desktop\wegmach.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
d:\Programme\Search Engine Commando\ScheduleService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\chkdsk16.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\McAfee\QuickClean\Plguni.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Search Engine Commando\ScheduleViewer.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\BaDMaN\Desktop\wegmach.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\BaDMaN\Startmenü\Programme\Autostart]
PowerReg Scheduler.exe

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
Search Engine Commando Schedule Viewer.lnk = D:\Programme\Search Engine Commando\ScheduleViewer.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SoundMan = SOUNDMAN.EXE
SimpleScreenshot = D:\PROGRA~2\SSS\SIMPLESCREENSHOT.EXE
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
SunJavaUpdateSched = C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
Imonitor = "C:\Programme\McAfee\QuickClean\Plguni.exe" /START
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
Realtime Audio Engine = mmrtkrnl.exe
SystemConfig16 = chkdsk16.exe -services
AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min
CorelDRAW Graphics Suite 11b = D:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=061604 serial=DR12CUZ-0025211-VDM lang=DE
AT-Watch = d:\Programme\Anti-Trojan-55\ATWatch.exe
PestPatrol Control Center = d:\Programme\PestPatrol\PPControl.exe
CookiePatrol = D:\Programme\PestPatrol\CookiePatrol.exe
THGuard = "D:\Programme\TrojanHunter 3.7\THGuard.exe"
Anti-Trojan-Watch = D:\Programme\Anti-Trojan-55\ATWatch.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

SystemConfig16 = chkdsk16.exe -services

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

SystemConfig16 = chkdsk16.exe -drivers
a² = "C:\Programme\a2\a2guard.exe"

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe,chkdsk16.exe -shell
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - d:\Programme\BitBeamer\ieplugin.dll - {4BD9653E-D4C7-454B-9151-A8517B84BA08}
(no name) - d:\Programme\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - c:\programme\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

--------------------------------------------------

Enumerating Task Scheduler jobs:

1-Klick-Wartung.job

--------------------------------------------------

Enumerating Download Program Files:

[Microsoft Office Template and Media Control]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\IEAWSDC.DLL
CODEBASE = http://office.microsoft.com/templates/ieawsdc.cab

[PCPitstop Utility]
InProcServer32 = C:\WINDOWS\DOWNLO~1\PCPitstop.dll
CODEBASE = http://pcpitstop.com/pcpitstop/PCPitStop.CAB

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://fpdownload.macromedia.com/pub...ctor/swdir.cab

[EARTPatchX Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\EARTPX.dll
CODEBASE = http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

[HouseCall-Kontrolle]
InProcServer32 = C:\WINDOWS\DOWNLO~1\xscan53.ocx
CODEBASE = http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.co...884.1097916667

[{CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA}]

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://fpdownload.macromedia.com/pub...sh/swflash.cab

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk /k:cde *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: c:\bd49ec2d2204d9b58497c0bbe48a|||d

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 7.444 bytes
Report generated in 0,030 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

@Rock

Bei deiner Beschreibung fehlt etwas wichtiges....

Er injiziert seine .DLL in Explorer.exe
und beendet dann seine zufaellige Zeichenkombination.exe anschliessend
und kann sich zudem ueber das Internet updaten.
Damit ist weiterer Befall mit unbekannten Trojanern sowie Systemaenderungen der
Sicherheitsrichtlinien nicht ausgeschlossen.


@Badman
Das heisst, in deinem Fall wuerde ich dir (leider)
zu einer Neuinstallation raten.

Bezueglich der Seiten die nicht gehen,
wuerde ich aber trotzdem mal die HOSTS Datei im Ordner C:\WINDOWS\system32\drivers\etc checken.

Oh Gott nee sag das nicht [img]graemlins/pfui.gif[/img] ich muss das unbedingt verhindern*heul
ich kämpfe seit 2tagen an,willl nicht neuinst [img]graemlins/heulen.gif[/img]

Sorry fuer die Schlechten Nachrichten.
Windows Update haette das wohl verhindert...

Ach ja, noch zum neu aufsetzen:
Besorge dir vorher die Patches, so das du sie
offline einspielen kannst oder aktiviere eine Firewall, nicht das du gleich wieder Sasser, Bobax und Co. beim updaten drauf bekommst.

</font><blockquote>Zitat:</font><hr /> Bezueglich der Seiten die nicht gehen,
wuerde ich aber trotzdem mal die HOSTS Datei im Ordner C:\WINDOWS\system32\drivers\etc checken. </font>[/QUOTE]hmm wie meinste das,bzw was so ich da machen?
hmm weiss nicht wegen format c bekomme ja keine warnmeldung,ich warte lieber noch vielleicht hat jemand noch ne idee
danke bisher an euch [img]graemlins/daumenhoch.gif[/img]

Schau dir mal die Datei HOSTS mit einem
Editor an, sollten da jede menge Seiten
drin sein die auf 127.0.0.1 stehen,
ist das vielleicht das problem.
Ansonsten kannst du aber auch gerne den Inhalt
deiner Hostdatei hier posten.

Wobei das wie gesagt nix damit zu tun hat,
das es dadurch nicht neu aufgesetzt werden muesste.
Die Entscheidung liegt aber natuerlich bei dir...

jo tach,letzter versuch dann format c [img]graemlins/headbang.gif[/img]

# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost


127.219.233.189 www.symantec.com
127.128.253.17 securityresponse.symantec.com
127.32.56.82 symantec.com
127.245.251.144 www.mcafee.com
127.234.194.7 mcafee.com
127.209.144.216 us.mcafee.com
127.197.14.0 www.sophos.com
127.226.191.236 sophos.com
127.92.92.84 www.viruslist.com
127.102.64.132 viruslist.com
127.213.9.22 f-secure.com
127.180.199.115 www.f-secure.com
127.185.110.225 kaspersky.com
127.110.33.116 www.avp.com
127.250.173.186 www.kaspersky.com
127.59.115.149 avp.com
127.245.56.105 www.networkassociates.com
127.63.61.181 networkassociates.com
127.132.238.149 www.ca.com
127.194.250.207 ca.com
127.116.39.67 my-etrust.com
127.200.106.15 www.my-etrust.com
127.6.1.143 secure.nai.com
127.147.233.217 nai.com
127.64.201.185 www.nai.com
127.54.103.82 trendmicro.com
127.51.100.207 www.trendmicro.com
127.202.219.14 housecall.trendmicro.com
127.137.244.170 www.pandasoftware.com
127.229.61.226 www.bitdefender.com
127.245.48.242 www.ravantivirus.com
127.93.121.27 www3.ca.com
127.93.49.98 v4.windowsupdate.microsoft.com
127.137.213.128 windowsupdate.microsoft.com
127.207.157.138 www.windowsupdate.com
127.107.181.235 windowsupdate.com
127.107.181.235 windowsupdate.com
127.107.181.235 windowsupdate.com

Aha, deswegen kommst du nicht auf windowsupdate!
Schmeiss das alles raus:

127.219.233.189 www.symantec.com
127.128.253.17 securityresponse.symantec.com
127.32.56.82 symantec.com
127.245.251.144 www.mcafee.com
127.234.194.7 mcafee.com
127.209.144.216 us.mcafee.com
127.197.14.0 www.sophos.com
127.226.191.236 sophos.com
127.92.92.84 www.viruslist.com
127.102.64.132 viruslist.com
127.213.9.22 f-secure.com
127.180.199.115 www.f-secure.com
127.185.110.225 kaspersky.com
127.110.33.116 www.avp.com
127.250.173.186 www.kaspersky.com
127.59.115.149 avp.com
127.245.56.105 www.networkassociates.com
127.63.61.181 networkassociates.com
127.132.238.149 www.ca.com
127.194.250.207 ca.com
127.116.39.67 my-etrust.com
127.200.106.15 www.my-etrust.com
127.6.1.143 secure.nai.com
127.147.233.217 nai.com
127.64.201.185 www.nai.com
127.54.103.82 trendmicro.com
127.51.100.207 www.trendmicro.com
127.202.219.14 housecall.trendmicro.com
127.137.244.170 www.pandasoftware.com
127.229.61.226 www.bitdefender.com
127.245.48.242 www.ravantivirus.com
127.93.121.27 www3.ca.com
127.93.49.98 v4.windowsupdate.microsoft.com
127.137.213.128 windowsupdate.microsoft.com
127.207.157.138 www.windowsupdate.com
127.107.181.235 windowsupdate.com
127.107.181.235 windowsupdate.com
127.107.181.235 windowsupdate.com

Fuehrt alles auf Localhost und damit ins
nirvana!!!

Jetzt kannst du wenigstens die Patches downloaden...

jau danke hab format c gemacht
nur so für die zukunft!was darf denn drin stehen in dieser datei bzw kann man den inhalt komplett löschen wenns mal probs gibt oda so?

So sollte eine Hostdatei normalerweise aussehen:
(Alles anderen Eintraege kann man rausloeschen,
sofern nicht selbst eingegeben!!!)

Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.


# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com
# Quellserver
# 38.25.63.10 x.acme.com
# x-Clienthost

127.0.0.1 localhost


--------------------
Hoffe ich konnte dir helfen.

Vergiss wie gesagt nicht, in Zukunft auch
immer Windows Update zu machen.