|
Plagegeister aller Art und deren Bekämpfung: Win32/Virut.4960Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.01.2007, 22:54 | #1 |
| Win32/Virut.4960 Logfile of HijackThis v1.99.1 Scan saved at 21:07:58, on 01.01.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\QuickTime\qttask.exe D:\steam\steam.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Xfire\xfire.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Skype\Plugin Manager\SkypePM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe D:\LFS\LFS.exe C:\WINDOWS\System32\taskmgr.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [Windows modez Verifier] winlogom.exe O4 - HKLM\..\RunServices: [Windows modez Verifier] winlogom.exe O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [FFTI] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\n72m5c0g.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/n72m5c0g.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI\RpcSandraSrv.exe nach scan der C:\WINDOWS\System32\winlogom.exe mit http://virusscan.jotti.org/de/ hatte ich folgendes ergebnis: Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - [code] AntiVir W32/Virut.A gefunden ArcaVir Trojan.Rbot.Gen.145487.MX gefunden Avast Win32:Rbot-CPW gefunden AVG Antivirus Win32/Virut.A gefunden BitDefender Backdoor.Rbot.AH gefunden ClamAV W32.Virut.A gefunden Dr.Web Win32.Virut gefunden F-Prot Antivirus W32/Splendor.4960 gefunden F-Secure Anti-Virus Virus.Win32.Virut.a gefunden Fortinet W32/Virut.fam gefunden Kaspersky Anti-Virus Virus.Win32.Virut.a gefunden NOD32 Win32/Virut.4960 gefunden Norman Virus Control W32/Virut.A gefunden VirusBuster Worm.Rbot.IRS gefunden VBA32 Virus.Win32.Virut.A gefunden nun wie bekomme ich den scheiß jetzt weg ? |
01.01.2007, 23:19 | #2 | |
/// TB-Ausbilder | Win32/Virut.4960 Hi,
__________________keine guten Nachrichten für dich. Der Rbot ist ein Backdoortrojaner und somit kann ein sicheres System nur durch eine Neuinstallation erreicht werden. Du hast die eine Backdoor aus dieser Familie eingefangen. Und das kann er: Zitat:
lg myrtille |
02.01.2007, 22:59 | #3 |
| Win32/Virut.4960 JO,
__________________hab jetzt alles Platt gemacht, aber Virus immer nochnet weg |
02.01.2007, 23:25 | #4 |
/// TB-Ausbilder | Win32/Virut.4960 Hast du auch die Platte formatiert und keine ausführbaren Dateien von dem kompromettierten System auf das neue System überspielt? Wenn ja, dürfte der Wurm nicht mehr drauf sein. lg myrtille |
02.01.2007, 23:29 | #5 |
| Win32/Virut.4960 hab jetzt alle partitionen platt gemacht (bei der windows installation) und hab Windows XP + SP1 installiert, war einmal kurz mit inet explorer on um firefox zu laden, dann von der microsoft page SP2 geladen und schon wärend des downloads hat sich wieder von alleine die besagte Fakeseite vo firefox geöfnet...und ich glaube nicht das ich mir zufällig den gleichen Virus wieder gefangen hab, zumal ich wirklich nur firefox geladen hab... Nun wie bekomme ich den Virus von meinem System ? (die seite die sich immer öffnet is http://google.ircer.pl:81/firefox/ , kann ja sein das die wen da draußen was sagt) |
02.01.2007, 23:41 | #6 |
/// TB-Ausbilder | Win32/Virut.4960 Im Netz sollte man sich wirklich nur mit aktuellem Patchstand befinden. Das heißt SP2 runterladen, auf CD brennen, dann Neuaufsetzen und Patch vor dem ersten online gehen einspielen. Ansonsten poste mal das HJT-File vom neuaufgesetzten Rechner. Das Popup sollte eigentlich nicht vom Rbot kommen. (hast du die skypebeta oder die neue 3.0 Version installiert? Was ist xfire?) lg myrtille |
02.01.2007, 23:41 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Win32/Virut.4960 Das ist mit der größte Fehler den man machen kann, man sollte erst das SP2 einspielen, dann erst ins Internet! Ohne SP2 ist standardmäßig für neue (Netzwerk-)Verbindungen die Windows-Firewall nicht aktiv, d.h. die verwundbaren Dienste (ungepatcht wg. fehlendem SP2 und anderen Updates) sind von außen aus dem Internet erreichbar. Somit hast du dir wahrscheinlich wieder ein Backdoor eingehandelt, der die LSASS- und/oder die RPC-Schwachstelle in WinXP SP1 ausnutzen konnte. => Verbreitungsweg der Netzwerkwürmer Also nochmals neu aufsetzen und erst abgesichert eine Internetverbindung herstellen!
__________________ Logfiles bitte immer in CODE-Tags posten |
03.01.2007, 00:32 | #8 |
| Win32/Virut.4960 bitte wie kann das denn sein das ich nach 10Sekunden unter anderer IP schon wieder das gleiche abbekomme....wie dem auch sei werde ich nun ersteinmal SP2 sichern (geht auch USB-Stick ? weil habe mir gedanken gemacht ob virus sich dann nicht auf Stick verbreitet, wobei theorethisch könnte er ja auch auf der SP2 CD seien Danke schonmal |
03.01.2007, 00:58 | #9 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Win32/Virut.4960Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Win32/Virut.4960 |
adobe, antivirus, bho, computer, defender, desktop, einstellungen, excel, explorer, firefox, helper, hijack, hijackthis, internet, internet explorer, logfile, microsoft, monitor, mozilla, mozilla firefox, pdf, photoshop, programme, system, windows, windows xp |