Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32/Virut.4960

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.01.2007, 22:54   #1
ne0n2005
 
Win32/Virut.4960 - Standard

Win32/Virut.4960



Logfile of HijackThis v1.99.1
Scan saved at 21:07:58, on 01.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
D:\steam\steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Xfire\xfire.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
D:\LFS\LFS.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Windows modez Verifier] winlogom.exe
O4 - HKLM\..\RunServices: [Windows modez Verifier] winlogom.exe
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [FFTI] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\n72m5c0g.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/n72m5c0g.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI\RpcSandraSrv.exe



nach scan der C:\WINDOWS\System32\winlogom.exe mit http://virusscan.jotti.org/de/ hatte ich folgendes ergebnis:


Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
[code]
AntiVir
W32/Virut.A gefunden
ArcaVir
Trojan.Rbot.Gen.145487.MX gefunden
Avast
Win32:Rbot-CPW gefunden
AVG Antivirus
Win32/Virut.A gefunden
BitDefender
Backdoor.Rbot.AH gefunden
ClamAV
W32.Virut.A gefunden
Dr.Web
Win32.Virut gefunden
F-Prot Antivirus
W32/Splendor.4960 gefunden
F-Secure Anti-Virus
Virus.Win32.Virut.a gefunden
Fortinet
W32/Virut.fam gefunden
Kaspersky Anti-Virus
Virus.Win32.Virut.a gefunden
NOD32
Win32/Virut.4960 gefunden
Norman Virus Control
W32/Virut.A gefunden
VirusBuster
Worm.Rbot.IRS gefunden
VBA32
Virus.Win32.Virut.A gefunden


nun wie bekomme ich den scheiß jetzt weg ?

Alt 01.01.2007, 23:19   #2
myrtille
/// TB-Ausbilder
 
Win32/Virut.4960 - Standard

Win32/Virut.4960



Hi,
keine guten Nachrichten für dich.

Der Rbot ist ein Backdoortrojaner und somit kann ein sicheres System nur durch eine Neuinstallation erreicht werden.

Du hast die eine Backdoor aus dieser Familie eingefangen.
Und das kann er:
Zitat:
* Ermöglicht Dritten den Zugriff auf den Computer
* Lädt Code aus dem Internet herunter
* Reduziert die Systemsicherheit
* Speichert Tastenfolgen
* Installiert sich in der Registrierung
Daher würde ich dir raten möglichst schnell neuaufzusetzen, oder zumindest bis zum Neuaufsetzen den Rechner vom Internet zu trennen.

lg myrtille
__________________


Alt 02.01.2007, 22:59   #3
ne0n2005
 
Win32/Virut.4960 - Standard

Win32/Virut.4960



JO,
hab jetzt alles Platt gemacht, aber Virus immer nochnet weg
__________________

Alt 02.01.2007, 23:25   #4
myrtille
/// TB-Ausbilder
 
Win32/Virut.4960 - Standard

Win32/Virut.4960



Hast du auch die Platte formatiert und keine ausführbaren Dateien von dem kompromettierten System auf das neue System überspielt?

Wenn ja, dürfte der Wurm nicht mehr drauf sein.

lg myrtille

Alt 02.01.2007, 23:29   #5
ne0n2005
 
Win32/Virut.4960 - Standard

Win32/Virut.4960



hab jetzt alle partitionen platt gemacht (bei der windows installation) und hab Windows XP + SP1 installiert, war einmal kurz mit inet explorer on um firefox zu laden, dann von der microsoft page SP2 geladen und schon wärend des downloads hat sich wieder von alleine die besagte Fakeseite vo firefox geöfnet...und ich glaube nicht das ich mir zufällig den gleichen Virus wieder gefangen hab, zumal ich wirklich nur firefox geladen hab...
Nun wie bekomme ich den Virus von meinem System ?

(die seite die sich immer öffnet is http://google.ircer.pl:81/firefox/ , kann ja sein das die wen da draußen was sagt)


Alt 02.01.2007, 23:41   #6
myrtille
/// TB-Ausbilder
 
Win32/Virut.4960 - Standard

Win32/Virut.4960



Im Netz sollte man sich wirklich nur mit aktuellem Patchstand befinden. Das heißt SP2 runterladen, auf CD brennen, dann Neuaufsetzen und Patch vor dem ersten online gehen einspielen.


Ansonsten poste mal das HJT-File vom neuaufgesetzten Rechner. Das Popup sollte eigentlich nicht vom Rbot kommen. (hast du die skypebeta oder die neue 3.0 Version installiert? Was ist xfire?)

lg myrtille

Alt 02.01.2007, 23:41   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32/Virut.4960 - Standard

Win32/Virut.4960



Das ist mit der größte Fehler den man machen kann, man sollte erst das SP2 einspielen, dann erst ins Internet!
Ohne SP2 ist standardmäßig für neue (Netzwerk-)Verbindungen die Windows-Firewall nicht aktiv, d.h. die verwundbaren Dienste (ungepatcht wg. fehlendem SP2 und anderen Updates) sind von außen aus dem Internet erreichbar. Somit hast du dir wahrscheinlich wieder ein Backdoor eingehandelt, der die LSASS- und/oder die RPC-Schwachstelle in WinXP SP1 ausnutzen konnte.
=> Verbreitungsweg der Netzwerkwürmer

Also nochmals neu aufsetzen und erst abgesichert eine Internetverbindung herstellen!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.01.2007, 00:32   #8
ne0n2005
 
Win32/Virut.4960 - Standard

Win32/Virut.4960



bitte wie kann das denn sein das ich nach 10Sekunden unter anderer IP schon wieder das gleiche abbekomme....wie dem auch sei werde ich nun ersteinmal SP2 sichern (geht auch USB-Stick ? weil habe mir gedanken gemacht ob virus sich dann nicht auf Stick verbreitet, wobei theorethisch könnte er ja auch auf der SP2 CD seien
Danke schonmal

Alt 03.01.2007, 00:58   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32/Virut.4960 - Standard

Win32/Virut.4960



Zitat:
bitte wie kann das denn sein das ich nach 10Sekunden unter anderer IP schon wieder das gleiche abbekomme
So funktionieren nunmal die Netzwerkwürmer. Sie klappern automatisch ganze IP-Adressbereiche ab. An denen, wo verwundbare (also ungepatchte) Dienste lauschen, befallen sie das System.
Zitat:
weil habe mir gedanken gemacht ob virus sich dann nicht auf Stick verbreitet, wobei theorethisch könnte er ja auch auf der SP2 CD seien
Das SP2 musst du dir von einem sauberen Rechner besorgen. Oder boote deinen PC mit Knoppix, lade das SP2 runter und kopier es auf den Stick. Oder nimm das SP2 von einer Heft-CD...Möglichkeiten gibts da viele.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Win32/Virut.4960
adobe, antivirus, bho, computer, defender, desktop, einstellungen, excel, explorer, firefox, helper, hijack, hijackthis, internet, internet explorer, logfile, microsoft, monitor, mozilla, mozilla firefox, pdf, photoshop, programme, system, windows, windows xp




Ähnliche Themen: Win32/Virut.4960


  1. Eset meldet Win32/Virut.NBP Virus
    Plagegeister aller Art und deren Bekämpfung - 25.10.2013 (9)
  2. Probleme mit W32/Virut.AX(Win XP)
    Plagegeister aller Art und deren Bekämpfung - 15.11.2010 (34)
  3. Avast findet "Win32 Virut" auf Externer Festplatte
    Log-Analyse und Auswertung - 20.10.2010 (7)
  4. Virus.Win32.virut!K - Gefunden - Bekämpft - Aber wirklich weg?
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (3)
  5. Win32/Virut gefunden und in Quarantäne, seitdem ständig Trojanermeldungen
    Log-Analyse und Auswertung - 29.11.2009 (1)
  6. WIN32.Virut.gen Infektion
    Log-Analyse und Auswertung - 08.11.2009 (3)
  7. w32.virut.cf
    Plagegeister aller Art und deren Bekämpfung - 26.08.2009 (16)
  8. W32.Virut.CF
    Plagegeister aller Art und deren Bekämpfung - 21.06.2009 (3)
  9. Virus.Win32.Virut.ce bzw Win32/Virut.gen!O
    Log-Analyse und Auswertung - 26.05.2009 (0)
  10. winlogon.exe infiziert mit Win32.LooksLike.Virut?
    Plagegeister aller Art und deren Bekämpfung - 01.05.2009 (6)
  11. Virus.Win32.Virut.q!IK
    Log-Analyse und Auswertung - 30.03.2009 (17)
  12. Trojan-Spy.Win32.Pophot.gzv / Trojan.Win32.Buzus.alwl / Virus.Win32.Virut.ce
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (1)
  13. W32/Virut.b eingefangen
    Log-Analyse und Auswertung - 13.12.2008 (3)
  14. w32.Virut.A Hilfe !!!!!!!!!!!!!
    Plagegeister aller Art und deren Bekämpfung - 28.06.2007 (11)
  15. Popup und W.32/Virut.A
    Plagegeister aller Art und deren Bekämpfung - 15.01.2007 (8)
  16. W32/Virut.b
    Log-Analyse und Auswertung - 12.10.2006 (19)

Zum Thema Win32/Virut.4960 - Logfile of HijackThis v1.99.1 Scan saved at 21:07:58, on 01.01.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe - Win32/Virut.4960...
Archiv
Du betrachtest: Win32/Virut.4960 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.