Hi!

Mein System spuckt seit heute Virenmeldungen des Virus W32/saint aus.
(Windows XP pro,AntiVir pro,Zonelaps firewall)
AntiVir update ist atm nich möglich weil wohl auch die Datei befallen ist.
Letztes Update:15.06.06
Der Virus befällt exe Datein einiger Programme und Spiele auch von Antivir.
An die 100St insgesammt.
Die befallenen Datein hab ich alle in Quarantäne gesteckt weil
mir auf die schnelle nichts besseres eingefallen ist.
Unter goggle und 1-2 Virusseiten hab ich nicht einen Eintrag zu dem
Virus gefunden.

Hat schon mal jemand was von dem Mistvieh gehört oder
kann mir sagen wie ich dem Ding herr werde?

MFG>AmuN

Logfile of HijackThis v1.99.1
Scan saved at 12:58:36, on 20.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\CRAZYB~1\CRAZYB~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Dokumente und Einstellungen\AmuN\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://wer-mit-wem.webhop.net/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://h**p://www.sarc.com/avcenter/....cgi?vid=35781
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: NETGEAR WG311T Wireless Assistant.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://h++p://locator1.cdn.imagesrvr...rInstallDE.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB34DDD5-662E-446C-9488-FD998DCC719C}: NameServer = 217.237.151.97 217.237.150.188
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Also was mir auf die schnelle ins Auge sticht is 016.Spamkacke.Wie muss ich jetzt vorgehen?

Mal nen HJT Log machen und Posten....

Laut Sophos handelt es sich um einen Trojaner, der versucht das befallene System herunterzufahren, awr das bei dir der Fall?

Dann mache Bitte einen eScan genau nach Aleitung und poste das Ergebnis.

Auch würde ich gerne noch wissen welche Datei als erste befallen war und welche später noch befallen wurden, wenn möglich, poste den gesammten Inhalt deiner Quarantäne.

mfg,
Markus

Zitat:

C:\PROGRA~1\CRAZYB~1\CRAZYB~1.EXE

Werte diese Datei mal bei Virustotal aus und poste die Ergebnisse.

@cosinus

Das ist der Crazy Browser, eine IE Modifikation und eine sehr gute dazu.
Habe ich schon Jahrelang im Einsatz

Ähnlich wie Firefox verwarltet er mehrere offenen Fenster in einem ... Habe z.b. gerade 62 Fenster offen mit einem
Ram-Verbrauch von nur 42MB - Firefox wäre bei mir schon nach 20 Fenstern umgekippt, hehe.

mfg,
Markus

Mein System mein nun echt böse witze mit mir machen zu müssen.

Ich kann mich in Windows jetz nichmal mehr anmelden.
Bin Jetzt von meinem Laptop aus im Netz.

´Die erste befallene Datei war World of Warcraft.Onlinegame

Muss jetzt leider Arbeiten und werde mich erst morgen dem problem annehmen können.

danke euch schonmal!

@Markus1234:
Danke für die Info

Also...Moin!
Mein Rechner macht nun beim Systemstart eine Benutzerdaten abfrage.
Es ist nun Leider so das er das noch nie gemacht hat und es noch nie vorgesehen war.
Bei allen Windows installationen die ich je auf meinem Rechner gemacht hab,hab
ich nie ein PW eingestellt.Weder für AmuN,Administrator noch für den Gast AC.

Nun lässt er mich nicht ins System.Er fängt zwar an zu rechnen,das Desktopbild erscheint doch dann kommt die Meldung Die Einstellungen werden gespeichert und er springt wieder zurück auf die Benutzerdatenabfrage.
Ich habe es als Gast AmuN und Administrator versucht da das glaube alle AC sind die Windows automatisch erstellt hat.plus x neustarts...

Jemand ne ahnung wie ich das umgehen kann?
Würde doch noch gern ein paar daten sichern denn ich habe das Gefühl
das ich um ne Neuinstallation nicht rumkommen werde...

MFG<ICH

PS:Crazybrowser is absulut genial und jetz gibts erstmal ein Feierabenbier und dann gehts ab in die Heja!

Guten Morgen,

eine möglichkeit wäre, mit einer Live CD, z.b. von Linux, zu Starten. Du kannst dann zwar XP immer noch nicht Starten aber du kannst, im normalfall, auf Deine Daten zugreifen und diese Sichern. Kann Dir gern mal nen Link geben, wo du das Laden kannst.

Die andere Möglichkeit, wobei ich nicht weiß ob das funktioniert, wäre eine Reperatur von XP mit der CD. Also keine Neuinstall sondern nur die Reperaturkonsole von XP.

Die dritte möglichkeit wäre, wenn du zwei Festplatten hast, einfach XP auf die zweite Platte Installieren um so dann Deine Daten zu sichern.
Aber ich habe da so meine zweifel......wegen dem Passwort was abgefragt wird.

Gruß Mellosun

Also irgendwie finde ich den EDIT Button net......

Na ja, egal.

Gibt vielleicht noch ne möglichkeit.
Wenn du die Festplatte aus Deinem Rechner ausbauen kannst und eventuell an den Läppi anschließen kannst bzw. noch nen anderen Rechner zur Verfügung hast, solltest Deine Daten genauso sichern können. Oder gar den Trojaner mit allen Spuren killen können.

Obwohl ich mir immer noch über das PW meine Gedanken mache.

Es gibt auch ein paar nette Tools, die Dir behilflich sein können.

z.B. dieses:

h**p://home.eunet.no/~pnordahl/ntpasswd/

Damit kannst PW auf 0 setzen oder ERD Commander, damit kannst alle PW löschen bzw. umgehen.
Hoffe, das hilft Dir einwenig!


Gruß Mellosun