Wurm Vanebot-c

Vargen · 31.10.2006, 14:23

Hallo,
ich habe folgendes Problem, leider aber mit der Suchfunktion und auch googlen nichts gefunden, das mir helfen konnte. Ich hoffe, ich schreibe das nun in das richtige Unterforum.
Beim Start des befallenen PCs - es handelt sich um einen Amd Duron mit Windows 2000, Service Pack 4 und 128 Mb Ram, genauer weiß ich`s grad nicht - erhielt ich folgende Fehlermeldung,

Can't run on Windows
To run this file you must use an Linux emulator
Error code: (-2394)
Error discription: LLIBKCUF / File has remove his self.

Googlen ergab, dass es sich hierbei um den Wurm Vanebot-c handelt.
Programme wie Browser oder Virenscanner kann ich nicht starten. Ich habe die auf der Seite von Sophos vorgeschlagenen Maßnahmen zur Beseitigung des Wurms ( http://www.sophos.de/support/disinfection/worms.html ) vorgenommen, gefunden und entfernt wurde jedoch nichts.
Wenn ich im abgesicherten Modus ein anderes Virenprogramm installieren möchte, so passiert gar nichts. Auch Sophos kann ich nicht deinstallieren.
Hijackthis konnte ich laufen lassen. Hab den Rechner jetzt mal vorläufig vom Netz genommen. Bin momentan echt überfragt, was ich noch tun kann. Außer vielleicht den Rechner neu aufsetzen.
Das Log von HijackThis sieht folgendermaßen aus, falls das hilft:

Logfile of HijackThis v1.99.1
Scan saved at 11:55:11, on 31.10.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\30686_netapi.exe
C:\WINNT\Explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
F2 - REG:system.ini: Shell=Explorer.exe 30686_netapi.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,30686_netapi.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [HPLJ Config] C:\Programme\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c -p -pn "LaserJet 1300 (Sekretariat)" -n -l 1031 -sl 120000
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ms Java for Windows NT] 30686_netapi.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Ms Java for Windows NT] 30686_netapi.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125927401350
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125930094695
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA709A5B-3A70-4A7D-A1B0-A4EB4D640090}: NameServer = 132.230.200.200,132.230.200.201
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe

Wäre schön, wenn ihr mir helfen könntet.

Vargen · 01.11.2006, 17:50

Sieht so aus, als könne mir keiner helfen. Schade. Vielleicht liegt`s ja auch am Feiertag. Ich hoff dann noch ein wenig weiter auf eine Antwort.
Übrigens lustige Sache am Rande: Ich hab nen Ordner Namens Antiviren erstellt, in den ich weitere eventuell zu installierende Antivirenprogramme (wenn der Wurm mich mal lassen würde) packen wollte. Allerdings konnte ich den Ordner nicht öffnen, da das Fenster gleich wieder zuging. Als ich den Ordner umbenannt habe konnte der Inhalt ohne Probleme angezeigt werden.

Mal ne Frage nebenbei: Angenommen ich würde den Rechner mit ner Knoppix-Cd starten, hätte ich dann Zugriff auf die Registry? Wahrscheinlich nicht, oder? Aber dann könnte ich ihn zumindest zeitweise aus der Registry löschen. Keine Ahnung, ob der Wurm sich bei jedem Neustart wieder lädt.
Auf die Idee bin ich gekommen, als ich mir nochmal die Fehlermeldung durchgelesen habe:

Can't run on Windows
To run this file you must use an Linux emulator
Error code: (-2394)
Error discription: LLIBKCUF / File has remove his self.

Man beachte das schlechte englisch (, das mich ursprünglich drauf gebracht hat, dass da wohl ein Virus oder derartiges am Werk isein könnte) und die Fehlerbeschreibung (ich sag nur "discription") LLIBKCUF rückwärts gelesen.

Kann man mit Killbox! auch Registryeinträge beim Systemstart löschen lassen? Wenn der Wurm dauernd aktiv ist, kann ich halt leider nichts unternehmen, weil er mir dauernd die Fenster und Antivirenprogramme schließt.

ordell1234 · 01.11.2006, 18:03

Hi, du bist wahrscheinlich mit deiner Anfrage durch den Rost gefallen. Sowas passiert. Zum Thema: überprüfe bei virustotal.com die Datei

Zitat:

C:\WINNT\system32\30686_netapi.exe

Poste bitte das vollständige log der Auswertung. Viel Hoffnung mache ich dir nicht, da dein System Symptome einer Backdoorinfektion zeigt. Gruß

Vargen · 01.11.2006, 18:57

Hi und danke für deine Antwort!

Ich werd erst morgen Nachmittag wieder an den Rechner können. Das Hochladen werde ich dann wohl nur im abgesicherten Modus können, da ich sonst den Browser nicht öffnen kann. Aber sind denn im abgesicherten Modus Netzwerk und Internet überhaupt verfügbar? Sonst müsste ich wohl die Datei mit Hilfe einer Diskette von einem anderen Rechner hochladen. Ob das so klug ist? Solange ich die Diskette schreibgeschützt lasse, sollte ja nichts schief gehen, oder?
Naja, ich werd morgen mal schauen, was sich machen läßt. Aber wahrscheinlich sollte ich mich schon mal auf das Neuaufsetzen des Systems einstellen. Vielleicht sollte ich auch noch erwähnen, dass der Rechner sich in einem Netzwerk befindet (is aber momentan sicherheitshalber davon abgekoppelt). Das heißt dann wohl, ich sollte schleunigst die Passwörter ändern.

TRYTOHELPYOU · 02.11.2006, 02:49

Empfehle Neuinstallation, dann extern die Updates auf CD-Brennen sobald Betriebbsystem installiert ist direkt in den AbgesichertenModus wechseln (F8 beim Hochbooten)

Update installieren

Danach 2 Antivirprogramme herunterladen, dass System komplett Scannen und danach, extern auf diesen Link unten gehen, die Anleitung ausdrucken und befolgen.

!!! DARAUF ACHTEN DAS IN DIESER ZEIT DER PC KOMPLETT ABGEKOPPELT IST.!!

MFG

http://www.debian.org/doc/manuals/securing-debian-howto/ch2.de.html

TRYTOHELPYOU · 02.11.2006, 06:52

Zitat:

Zitat von Vargen

Mal ne Frage nebenbei: Angenommen ich würde den Rechner mit ner Knoppix-Cd starten, hätte ich dann Zugriff auf die Registry?

Linux bringt bereits die Treiber für FAT- und NTFS-Partitionen mit. Die Installation erkennt vorhandene Windows-Laufwerke und bindet sie gleich ein, so dass Sie über Desktop-Icons auf sie zugreifen können. Auf FAT-Partitionen können Sie lesen und schreiben. NTFS-Partitionen sind mit dem Linux-eigenen Treiber nur lesbar: Es gibt zwar einen experimentellen Schreibzugriff, aber dieser kann Daten zerstören. Das Wissen über die Windows-Partitionen bezieht Linux aus der Datei /etc/fstab. Wenn Sie erst nach der Linux-Installation eine Festplatte mit Windows-Partitionen einbauen und diese einbinden wollen, müssen Sie entsprechende Zeilen in diese Datei aufnehmen. Das geschieht nach dem Muster der bereits vorhandenen Zeilen: Zuerst geben Sie die Partition an, dann durch ein Leerzeichen getrennt das Verzeichnis, in das sie gemountet werden soll. Dieses Verzeichnis müssen Sie zuvor mit „mkdir“ anlegen. Nach einem weiteren Leerzeichen folgt als dritter Parameter das Dateisystem – „vfat“ für FATPartitionen und „ntfs“ für NTFS-Partitionen. Wiederum nach einem Leerzeichen geben Sie, durch Kommata getrennt, die Optionen für das Mounten ein. Hier übernehmen Sie am besten die bei der Installation eingerichteten Optionen für die bereits vorhandenen Partitionen.

Ob diese Funktion mit der LiveCd zu erledigen ist, müssten sie ausprobieren

Zitat:

Zitat von Vargen

Aber sind denn im abgesicherten Modus Netzwerk und Internet überhaupt verfügbar

Wenn du am Anfang bei die Option mit Netzwerkunterstützung(oder so ähnlich

) wählst, dann hast du auch Netzwerkunterstützung. Also besser gesagt, dann würde der Treiber deiner Netzwerkkarte mitgeladen werden.

Achte aber darauf, dass WLAN-Netzwerkkarten nicht mitgeladen werden.

Zitat:

Zitat von Vargen

Solange ich die Diskette schreibgeschützt lasse, sollte ja nichts schief gehen, oder?

Würde ich dir nicht empfehlen, da Viren,etc sich nichts aus Schreibschutz machen. :-)

Vargen · 02.11.2006, 09:18

Wo lad ich mir denn am besten die service packs und updates für win 2000 (mehr packt der Rechner wohl leider nicht) runter? Gibt`s da vielleicht auch irgendwo komplette update packs wie für xp bei winfuture.de? Muss aber heut Nachmittag eh erst mal schauen, was da noch für Cds mit service packs rumliegen.
Auf jeden Fall schonmal vielen Dank für deine Einschätzung und Informationen. Die Seite über das Absichern von Debian hat mir allerdings nicht viel geholfen, weil ich eigentlich gar keine Ahnung von Linux hab. Muss auf jeden Fall, auch wegen den anderen Rechnern im Netzwerk, Win 2000 drauf bleiben.
OT: Ich wohne lustigerweise auch in Freiburg

TRYTOHELPYOU · 02.11.2006, 09:33

http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/default.mspx

ordell1234 · 02.11.2006, 14:45

Zitat:

Zitat von Vargen

Aber sind denn im abgesicherten Modus Netzwerk und Internet überhaupt verfügbar?

Ja, wenn du die Netzwerktreiber mit lädst.

Zitat:

Zitat von Vargen

Sonst müsste ich wohl die Datei mit Hilfe einer Diskette von einem anderen Rechner hochladen. Ob das so klug ist?

Solange du die Datei nicht ausführst sondern nur hochlädst, gibt es kein Problem.

Zitat:

Mal ne Frage nebenbei: Angenommen ich würde den Rechner mit ner Knoppix-Cd starten, hätte ich dann Zugriff auf die Registry?

Keine Ahnung, ob Knoppix einen Registryeditor mit an Board hat, knoppix ist auch nicht gleich knoppix. Aber warum so kompliziert?

Lade die Datei über die live-CD hoch. Was willst du da noch in der Registry frickeln?

Zitat:

Zitat von Vargen

Das heißt dann wohl, ich sollte schleunigst die Passwörter ändern.

Yep, nicht nur die im LAN, auch die im Internet.

Falls du dich zum Neuaufsetzen entschieden hast, lies diese Anleitung nebst links. Vorsicht bei Update-packs, die nicht von MS stammen. Da gibt es gern mal Probleme, oder sie installieren Hotfixe, die dein System gar nicht braucht. Wenn es denn sein muss, nimm die Post-Servicepacks von winhelpline.de, die scheinen recht problemlos zu laufen.

@TRYTOHELPYOU: Wenn du schon im copy & paste-Verfahren mit Zitaten antwortest, solltest du es als solches wenigstens kenntlich machen und das Quell deines Wissens angeben. Ist nicht nur eine Frage des Anstandes, sondern auch der NUB.

Gruß

TRYTOHELPYOU · 02.11.2006, 14:49

danke danke

Vargen · 02.11.2006, 18:10

So, es gibt Neuigkeiten. Ich hab den Rechner im abgesicherten Modus mit Netzwerktreibern gestartet und dann versucht die Datei bei Virustotal.com hochzuladen. Dabei hab ich festgestellt, dass ich normal surfen könnte, allerdings hat der Wurm bestimmte Begriffe wohl nicht so gern, sodass er dann Programme gerne mal beendet. Bei Virustotal hat er natürlich gleich gemerkt, was ich machen will und Firefox beendet. Ich hab dann mal in die Registry nach den Einträgen geschaut, die laut Sophosbeschreibung da sein sollten.
Hier was dazu auf der Sophosseite steht:

W32/Vanebot-C lädt Updates herunter, stiehlt Informationen und beendet Antiviren-Anwendungen.

Wenn er zum ersten Mal ausgeführt wird, kopiert sich W32/Vanebot-C nach <System>\jconsole.exe.

Die folgenden Registrierungseinträge werden erstellt, damit jconsole.exe beim Start ausgeführt wird:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
Sun Java Console for Windows NT & XP
jconsole.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Sun Java Console for Windows NT & XP
jconsole.exe

Der folgende Registrierungseintrag wird geändert, damit jconsole.exe beim Start ausgeführt wird:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe jconsole.exe

(Der Standardeintrag lautet "Explorer.exe", wodurch die Microsoft-Datei <Windows>\Explorer.exe beim Start ausgeführt wird).

W32/Vanebot-C erstellt die folgenden Registrierungseinträge, wodurch der Start anderer Software verhindert wird:

HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start
4

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
4

Hinweis: Wenn der automatische Start für den Dienst SharedAccess verhindert wird, wird die Microsoft Internet Connection Firewall (ICF) deaktiviert.

Die folgenden Registrierungseinträge werden erstellt:

HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe,jconsole.exe

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
lmcompatibilitylevel
1

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1

HKCU\Software\Microsoft\Windows
javaapplet
rBot v2 a.k.a. the next generation (working on winXP SP2)

Und nun weiß ich, warum ich mit Sophos den Wurm nicht entfernen konnte. Ich schätze, ich brauch die Datei 30686_netapi.exe nicht mehr hochladen, denn ich kann mit ziemlicher Sicherheit sagen, dass sie daran schuld ist. Denn: Statt jconsole.exe ist die Datei 30686_netapi.exe vorhanden. Die Registrierungseinträge, die Vanebot-c erstellen soll sind auch vorhanden, nur ist jeweils jconsole.exe mit 30686_netapi ausgetauscht. Weiterer Unterschied ist, dass beim Eintrag

HKCU\Software\Microsoft\Windows
javaapplet
rBot v2 a.k.a. the next generation (working on winXP SP2)

nicht javaapplet sondern blahbo steht. Hat blahbo irgendwas bestimmtes zu bedeuten?

Ich werd dann demnächst mal versuchen, die Datei zu löschen und die Registrierungeinträge zu fixen, und dann mal schauen, ob`s geholfen hat. Allerdings möcht ich vorher noch`n paar Sachen sichern, nicht, dass es in die Hose geht. Kann da denn viel schief gehen? Im schlimmsten Fall fährt der Rechner wohl nicht mehr hoch, oder?
Wie sichere ich denn meine Daten am besten? Sind eigentlich nur`n paar .doc und .pub Dateien, die wichtig sind. Der Rest sollte zu verschmerzen sein. Brenner is da leider keiner drin und manche Dateien größer als der Platz auf ner Diskette. Soll ich die Dateien zippen und per Email sichern oder per USB-Stick? Kann ich da gleich den nächsten PC verseuchen oder sind nichtausführbare Dokumente wie docs und pubs eher ungefährlich?
Vielleicht sollte ich meine Erkenntnisse auch Sophos mitteilen, damit deren Virenerkennungsdateien in Zukunft auch diese Variation finden können. Könnte vielleicht dem einen oder anderen Nutzer was nützen.

Aber ums Neuaufsetzen komm ich wohl leider trotzdem nicht herum, oder? Mann, wie ich das hasse.

ordell1234 · 02.11.2006, 18:50

Setze gleich neu auf! Da ist nichts mehr zu fixen. Lies die Anleitung.

zu den Dateien: streng genommen gehören auch *.doc zu den ausführbaren Dateien, da sie Makros enthalten können. Auch *.pub-Dateien sind infizierbar (klick). Kopiere die nötigsten Dokumente auf USB und scanne sie, bevor du sie auf in dein neues System

zurückspielst. Eine Trennung der Partitionen in Programme/Daten ist auch hilfreich, wenn auch keine Garantie.