Würmer in der Wüste

Kschossi · 04.07.2005, 19:17

Hi
Ich sitze in Alamogordo, New Mexico bei 40° im Schatten an meinem Computer und wundere mich das Würmer und andere böse Tiere in diesem Klima überleben können.
Hab mich durch einige Einträge geklickt und versucht mein infiziertes System zu bereinigen. Leider fehlt mir das Know how um zu wissen ob es mir auch gelungen ist. Deshalb poste ich mal mein HijackThis Log mit der Bitte, dass einer von den Experten mal checked ob alles in Ordnung ist.

By the way, toll das hier "dummen" Usern geholfen wird! Komme mir schon etwas schäbig vor wenn ich nichts zurück geben kann. Deshalb mein Angebot:
Wer etwas über Jet-Fliegerei, Flugsimulatoren oder Computer unterstützte Ausbildung wissen will ist bei mir richtig und more than welcome.

Genug geschnackt. Hier das Log:

Logfile of HijackThis v1.99.1
Scan saved at 12:11:37, on 04.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\NVATray.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\svchost.exe
D:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kschossi.de/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Zone Labs Client] d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

chaosman · 04.07.2005, 19:26

@Kschossi
im logfile sehe ich nichts besonderes.

Hab mich durch einige Einträge geklickt und versucht mein infiziertes System zu bereinigen.
du schreibst leider nicht was du schon bereinigt hast, deswegen scanne dein system mal mit escan

chaosman

Kschossi · 04.07.2005, 20:15

Danke für die schnelle Antwort!

So traurig, wie sich das für einen Könner anhören muß aber so ganz genau kann ich nicht mehr alle Steps nachvollziehen die ich gemacht habe.

Hier die kurze Geschichte:

Desktop Hintergrund weg, dafür eine Warnung das mein System infiziert ist. Startpage vom Internetexplorer ist eine andere. Popups erscheinen.
AntiVir zeigt beim Systemtest einen Virus an und stürzt dann ab (Hab den Namen des Virus vergessen! Oh, wie peinlich!). Nachtrag: Hab doch den Namen gefunden: TR/Click.Age.dj.5.C

Anyhow, what have I done:

Hab den Namen des Virus bei google eingegeben und bin hier her gekommen.
Hab "Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c" gelesen und alles durchgeführt was da steht.
Hab einen Beitrag über "TR/Click.Age.dj.5.C" gelesen und die Tips die da standen ausgeführt.
Hab windows und AntiVir upgedated
Hab HijackThis laufen lassen und Einträge gefixt.
Hab mit Killbox verdächtige Einträge gelöscht.
Hab mit cleanup das System bereinigt.
Hab mit hoster.exe "restore orginal hosts" durchgeführt.
Hab smitfraud.reg zur registrieung hinzugefügt.
Hab regseeker installiert und alle überflüssige Einträge gelöscht.
Hab escan laufen lassen und immer noch 8 ! Viren gefunden. Dateien mit Killbox gelöscht.
Hab eScanCheck110.exe installiert und durchgeführt. (Letztes Log kommt unten)
Hab Mozilla Firefox als Browser installiert.
Hab Mozilla Thunderbird als Email Programm installiert.

War zwischendurch essen, schlafen, trinken und ein bisschen weinen

Hier noch ein paar Fragen bis das Log kommt:

Folgender Eintrag bei Escan:

Sun Jul 03 18:30:02 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Sun Jul 03 18:30:08 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Sun Jul 03 18:30:25 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken

Was bedeutet Object "AltNet Spyware/Adware" und was soll man damit machen?

Muß ich den Windows Internetexplorer und Outlook express deinstallieren um vor Sicherheitslücken sicher zu sein?

Hier das versprochene Log:

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Sun Jul 03 19:29:01 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
2: Mon Jul 04 00:25:17 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
3: Mon Jul 04 01:02:49 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Sun Jul 03 19:36:14 2005 => File C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
2: Sun Jul 03 19:36:51 2005 => File C:\Programme\MUSICMATCH\MUSICMATCH Update\MMJB\TDM\TDMInstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
3: Sun Jul 03 19:36:57 2005 => File C:\Programme\MUSICMATCH\MUSICMATCH Update\TDM\TDMInstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
4: Mon Jul 04 01:08:28 2005 => File C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
5: Mon Jul 04 01:09:06 2005 => File C:\Programme\MUSICMATCH\MUSICMATCH Update\MMJB\TDM\TDMInstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
6: Mon Jul 04 01:09:12 2005 => File C:\Programme\MUSICMATCH\MUSICMATCH Update\TDM\TDMInstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
7: Mon Jul 04 01:25:31 2005 => File C:\WINDOWS\system32\Macromed\Shockwave 10\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
8: Mon Jul 04 01:28:47 2005 => File D:\AntiVirus\zlsSetup_55_109_000.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
9: Mon Jul 04 01:29:16 2005 => File D:\Programme\Logitech\Resource Center\rem\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
10: Mon Jul 04 01:29:21 2005 => File D:\Programme\Logitech\Resource Center\installers\logitech\fwSetup3_10200.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
11: Mon Jul 04 01:29:25 2005 => File D:\Programme\Logitech\Resource Center\installers\wanadoo\KitWanadoo.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
12: Mon Jul 04 01:29:25 2005 => File D:\Programme\WinTV\UNHLPdeu.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
13: Mon Jul 04 01:29:27 2005 => File D:\Programme\WinTV\UNTV32.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
14: Mon Jul 04 01:29:28 2005 => File D:\Programme\WinTV\UNir32.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
15: Mon Jul 04 01:41:32 2005 => File D:\Downloads\Programme\Zonealarm\zlsSetup_45_532.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
16: Mon Jul 04 01:41:36 2005 => File D:\Downloads\Programme\Zonealarm\zlsSetup_45_538_001.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
17: Mon Jul 04 01:41:38 2005 => File D:\Downloads\Programme\Zonealarm\zlsSetup_45_594_000.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
18: Mon Jul 04 01:41:40 2005 => File D:\Downloads\Programme\TV Downloads\ir32_234.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
19: Mon Jul 04 01:41:42 2005 => File D:\Downloads\Programme\TV Downloads\wintv2k400.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
20: Mon Jul 04 01:41:42 2005 => File D:\Downloads\Programme\TV Downloads\wintv2k_deu400.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
21: Mon Jul 04 01:43:43 2005 => File D:\Downloads\Buhr\zlsSetup_45_594_000.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
22: Mon Jul 04 01:44:13 2005 => File D:\Downloads\zlsSetup_51_039_004.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
23: Mon Jul 04 01:44:25 2005 => File D:\Downloads\dartsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
24: Mon Jul 04 01:44:31 2005 => File D:\Downloads\Herbert\zlsSetup_51_033_000.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
25: Mon Jul 04 01:45:54 2005 => File D:\Downloads\zlsSetup_55_109_000.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

Cidre · 04.07.2005, 20:25

Hallo,

Zitat:

Was bedeutet Object "AltNet Spyware/Adware" und was soll man damit machen?

Kannst du imho vernachlässigen, denn mittlerweile bin auch ich von einem Fehlalarm überzeugt.

Ansonsten scheint dein System wieder sauber zu sein.

btw:
Gäbe es doch nur mehr von deiner 'Sorte'...

chaosman · 04.07.2005, 20:28

@Kschossi
Was bedeutet Object "AltNet Spyware/Adware" und was soll man damit machen?
lade spybot download
installieren und updaten, dann scannen lassen, löschen was es vorschlägt.

Muß ich den Windows Internetexplorer und Outlook express deinstallieren um vor Sicherheitslücken sicher zu sein?
nein, den IE brauchst du um dein system zu updaten, ansonsten lieber Firefox und Thunderbird verwenden.

Hab escan laufen lassen und immer noch 8 ! Viren gefunden. Dateien mit Killbox gelöscht.
was würde von escan gefunden?

chaosman

Kschossi · 04.07.2005, 20:56

Hab Spybot downloaded, installiert und laufen lassen. Sagt mir:
Gratulation!
Es wurden keine Spione gefunden.

Hat mich so glücklich gemacht, dass ich sofort was gespendet habe. :aplaus:

Vielen Dank für die Hilfe von chaosman und cidre. Wenn ihr mal was aus meinen Fachgebieten braucht lasst es mich wissen.

Check six

Kschossi

Ach ja:

Hier ein Auszug aus dem alten Escan check:

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Sun Jul 03 18:34:44 2005 => File C:\c.vbs infected by "Trojan-Downloader.VBS.Small.f" Virus! Action Taken: No Action Taken.
2: Sun Jul 03 18:36:25 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
3: Sun Jul 03 18:41:06 2005 => File C:\sl-0.hta infected by "Trojan-Downloader.VBS.Inor.cj" Virus! Action Taken: No Action Taken.
4: Sun Jul 03 18:41:42 2005 => File C:\WINDOWS\$NtUninstallKB883939$\wininet.dll infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
5: Sun Jul 03 18:42:09 2005 => File C:\WINDOWS\Downloaded Program Files\gdnUS1865.exe infected by "Trojan-Downloader.Win32.Small.ayl" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Sun Jul 03 18:39:39 2005 => File C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
2: Sun Jul 03 18:40:05 2005 => File C:\Programme\MUSICMATCH\MUSICMATCH Update\MMJB\TDM\TDMInstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
3: Sun Jul 03 18:40:08 2005 => File C:\Programme\MUSICMATCH\MUSICMATCH Update\TDM\TDMInstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
4: Sun Jul 03 18:51:42 2005 => File C:\WINDOWS\system32\Macromed\Shockwave 10\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

chaosman · 04.07.2005, 21:01

@Kschossi

Check six

Allways

LG nach New Mexico
chaosman

Würmer in der Wüste

Log-Analyse und Auswertung: Würmer in der Wüste