Hi zusammen,

hab mir irgendwie den Mydoom.I Wurm eingefangen. Das komische ist, die erste Fehlermeldung hat Antivir gebracht, als ich gerade die neusten Patchs des MS Patch Days runtergeladen habe.

Auf jedenfall habe ich danach mein System mit Stinger, AvastVirusCleaner und HijackThis geprüft.

Hijackthis hat dann erkannt das es sich dabei um den MyDoom.I handelt. Nun meine Frage, wie bekomme ich diesen Plagegeist weg? Kann mir dabei jemand helfen?

Gruß Mystic

Halli hallo.

Du darfst nie E-Mail Anhaenge oeffnen!!!

Poste doch als erstes mal ein HJT log.

Dann koenntest du folgendes versuchen:

Update AntiVir. Stelle die hoechste Sicherheitsstufe ein, so dass ALLE DATEIEN durchsucht werden.
Nun starte den Computer im Abgesicherten Modus.
Dann mach einen vollen Scann mit AntiVir, alle infizierten Dateien loeschen.
Nun musst du manuell einen Registrierungseintrag loeschen:
Start -> ausfuehren -> " regedit "
im RegEditor musst du in diesen Pfad navigieren :
" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "
wenn du diesen Pfad aufgerufen hast erscheint im rechten Fenster der Wert
"SVHOST"="%System%\svhost.exe" diesen Wert loeschen.

ACHTUNG: Wenn du dir unsicher im Umgang mit dem RegEditor bist dann solltest fragen bis du alles verstanden hast oder es ganz sein lassen da du dir durch ein loeschendes Falschen Schluessels dein System zerschiessen kannst.
Ebenfalls solltest du Backup der Registry machen bevor du den Wert loeschst. Hier eine Anleitung dazu : Backup der Registry | windowspower.de

Einige Versionen des Wurms oeffnen Ports in deinem System. Also eine Hintertuer. Dieses System ist dann in keinem Fall mehr sicher ! ! !
Du solltest dir also genau ueberlegen, ob du nicht lieber Neuaufsetzen moechtest. Eine gute Anleitung findest du hier im Forum.

Viel Erfolg

Logfile of HijackThis v1.99.1
Scan saved at 12:23:35, on 15.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\Downloads\Glass2k.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
E:\Mystic´s PC KIT\USB\Mystic\Software\Bekämpfung, Schutz, etc\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [svhost] C:\WINDOWS\system32\svhost.exe
O4 - HKLM\..\Run: [Glass2k] E:\Downloads\Glass2k.exe
O4 - HKLM\..\Run: [SMSystemAnalyzer] "C:\Programme\iolo\System Mechanic Professional 7\SMSystemAnalyzer.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [svhost] C:\WINDOWS\system32\svhost.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: MenuAppServer.lnk = L:\MenuApp.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166050029856
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - C:\Programme\iolo\Common\Lib\ioloDMVSvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


Log

Keine Angst ich bin nich so dumm das ich Emailanhänge öffne... vorallem nicht wenn eine unangekündigte Mail kommt. Bin was das angeht kein Laie...

Nur das ich mir unsicher bin wenn mein Virenprogramm (AntiVir) mir sagt er will Svchost löschen... ^^

AntiVir ist immer höchstaktuell bei mir. + sämtliche WinUpdates + Firewall usw..

Dein Computer will bestimmt nicht Svchost löschen. Sondern Svhost. Der Wurm gibt sich einen ähnlichen Namen wie eine Systemdatei und erreicht damit genau das, was er soll, er lässt dich zweifeln.

Ich empfehle dir zu formatieren. MyDoom ist nämlich echt gefährlich. Ich bin darain auch kein Profi, aber wenn ich meinen PC ohne Formatieren noch retten wollte, würde ich so vorgehen:


Ich würde so vorgehen:

0. www.virustotal.com besuchen. Oben rechts in das weiße Kästchen "L:\MenuApp.exe" reinschreiben und auf "send" klicken. Auswertung abwarten. Wenn Virus dann noch den Eintrag: O4 - Startup: MenuAppServer.lnk = L:\MenuApp.exe

löschen. ( bei Schritt 4)

1. Dateien sichern (CD/Externe Festplatte)

2. Herunterladen von Spybot Search and Destroy ( Die Seite von Spybot-S&D! )

und von

Ad-Aware Se ( CHIP Online - Download - Ad-aware SE Personal 1.0.6 Englisch )

3. Beide updaten (Nicht scnannen)

4.

Scannen mit Hijackthis.

Häkchen vor

O4 - HKLM\..\Run: [svhost] C:\WINDOWS\system32\svhost.exe
und
O4 - HKCU\..\Run: [svhost] C:\WINDOWS\system32\svhost.exe
und
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local

und "Fix checked" drücken


5.

PC herunterfahren und wieder hochfahren (Kein Neustart). Beim Hochfahren "F8" drücken und PC im abgesicherten Modus starten. Erst mit Spybot scannen und alles, was nachher erscheint markieren und "Markierte Probleme beheben" klicken.
Danach mit Ad-Aware scannen und alle Objecte, die er findet löschen lassen.

6. PC abermals herunterfahren und neu starten. Mit HijackThis scannen und hier posten.



Wie gesagt, keine Ahnung ob das funktioniert. Probier's mal. Daten sichern nicht vergessen!

Lass dich nicht verrueckt machen und entscheide dich. Entweder den einen oder den anderen Loesungsansatz.
Also ich mach mal weiter:

Hast du getan was ich dir gesagt habe? In einem Punkt sicher nicht: Ich schrieb ALLES LOESCHEN WAS ANTIVIR FINDET!
Fuehre bitte genau aus was ich schreibe und gib mir detailliertes
Feedback.

Also nochmal:

Zitat:

Update AntiVir. Stelle die hoechste Sicherheitsstufe ein, so dass ALLE DATEIEN durchsucht werden.
Nun starte den Computer im Abgesicherten Modus.
Dann mach einen vollen Scann mit AntiVir, alle infizierten Dateien loeschen.
Nun musst du manuell einen Registrierungseintrag loeschen:
Start -> ausfuehren -> " regedit "
im RegEditor musst du in diesen Pfad navigieren :
" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "
wenn du diesen Pfad aufgerufen hast erscheint im rechten Fenster der Wert
"SVHOST"="%System%\svhost.exe" diesen Wert loeschen.

ACHTUNG: Wenn du dir unsicher im Umgang mit dem RegEditor bist dann solltest fragen bis du alles verstanden hast oder es ganz sein lassen da du dir durch ein loeschendes Falschen Schluessels dein System zerschiessen kannst.
Ebenfalls solltest du Backup der Registry machen bevor du den Wert loeschst. Hier eine Anleitung dazu : Backup der Registry | windowspower.de

Uebrigens: Das Programm "Glass2k" welches du dir gezogen hast sieht fuer mich nicht besonders vertrauenswuerdig aus.... Von solchen Dingen wuerde ich in Zukunft die Finger lassen.
Ich glaube nicht das es schaedlich ist aber Vorsicht ist besser als Nachsicht.
Scan doch die Datei *E:\Downloads\Glass2k.exe* mal bitte auf VIRUSTOTAL


Bis gleich..

Nochwas.

KEINE EINTRAEGE FIXENbevor du mein Zitat befolgst!!!!

Keine Angst das Programm ist nicht schädlich. Ist nur damit Windows etwas verspielter ist... Fenster werden durchsichtig.

Hab das jetzt so gelöst:
Antivir update
Ad-Aware update
Spybot S&D update

Systemwiederherstellung deaktivieren

Registry sichern

In Abgesicherten Modus hochfahren

Die oben genannten Programme in der genannten Reihenfolge durchlaufen lassen (immer mit der höchstmöglichen scanstufe). Dann noch Stinger und Avastcleaner.

Neugestartet

Sys funzt wieder ohne Probleme

Ähm... ich weiß nicht, welches Programm du meinst, aber svhost.exe _ist_schädlich. Es ist die Kopie des Mydoom.I, wie du hier nachlesen kannst:
http://www.symantec.com/security_response/writeup.jsp?docid=2004-041516-1209-99&tabid=2

Ich würde dir empfehlen, wenigstens ein neues HijackThis-Log zu posten.

Gruß, Franz

Zitat:

Zitat von Franz1968

Ähm... ich weiß nicht, welches Programm du meinst, aber svhost.exe _ist_schädlich. Es ist die Kopie des Mydoom.I, wie du hier nachlesen kannst:
http://www.symantec.com/security_response/writeup.jsp?docid=2004-041516-1209-99&tabid=2

Ich würde dir empfehlen, wenigstens ein neues HijackThis-Log zu posten.

Gruß, Franz

Ich meinte das Programm "Glass2k" ^^". Das svhost.exe schädlich ist habe ich ja bereits gemerkt. Denn das wurde von meinem PC gebannt...

Bissel kenn ich mich schon aus... nur war ich mit am Anfang nich sicher mit dieser datei da ich sie mit svchost.exe verwechselt hatte...

Bin mir ziemlich sicher das der Dreck weg ist, kann aber n log posten wenn du willst sobald ich wieder @home bin.

Hallo,

Zitat:

Bin mir ziemlich sicher das der Dreck weg ist

Ach ja ?
ich bin mir ziemlich sicher ,daß du nicht mal weißt über was du redest....
Dein Wurm kann deine Kiste nur befallen haben,wenn du mindestens auf Service Pack 2 verzichtet hast.Jemand der sein System so verkommen läßt,kann mir nicht erzählen, das ihm plötzlich die Erkentnis überkommen ist.
Laut deinem Log ist jetzt SP2 drauf.Ich halte jede Wette,das daß erst drauf kam als an deiner Kiste nix mehr ging.....
Wenn du dir wenigstens ein bissel Mühe gegeben hättest,wäre es dir ein leichtes gewesen bei Google oder Wikipedia Informationen einzuholen.
...und so einer wie du,will den Wurm der damals fast das Internet lahmgelegt hat,entfernt haben ?
Neuaufsetzen,SP2 offline einspielen,alle anderen Sicherheitsupdate`s ziehen und basta !!
Für dich ist hier Schluß.
Ich möchte allen helfenden Kollegen hier anraten,an diesem System keine Bereinigung mehr vorzunehmen.
Das ist in höchstem Maße verantwortungslos !!
Irrlicht

Zitat:

Zitat von irrlicht

Hallo,



Ach ja ?
ich bin mir ziemlich sicher ,daß du nicht mal weißt über was du redest....
Dein Wurm kann deine Kiste nur befallen haben,wenn du mindestens auf Service Pack 2 verzichtet hast.Jemand der sein System so verkommen läßt,kann mir nicht erzählen, das ihm plötzlich die Erkentnis überkommen ist.
Laut deinem Log ist jetzt SP2 drauf.Ich halte jede Wette,das daß erst drauf kam als an deiner Kiste nix mehr ging.....
Wenn du dir wenigstens ein bissel Mühe gegeben hättest,wäre es dir ein leichtes gewesen bei Google oder Wikipedia Informationen einzuholen.
...und so einer wie du,will den Wurm der damals fast das Internet lahmgelegt hat,entfernt haben ?
Neuaufsetzen,SP2 offline einspielen,alle anderen Sicherheitsupdate`s ziehen und basta !!
Für dich ist hier Schluß.
Ich möchte allen helfenden Kollegen hier anraten,an diesem System keine Bereinigung mehr vorzunehmen.
Das ist in höchstem Maße verantwortungslos !!
Irrlicht

Sry aber da irrst du dich gewaltig.

Ich habe erst vor 1 Monat das System komplett neu gemacht und bevor jeglicher Kontakt ins Internet besteht installiere ich IMMER Service Pack 2, Firewall + Virenschutz. Dann kommen mit der ersten Internetverbindung die Updates die nach SP2 noch rauskamen drauf (seit neustem benutze ich auch immer die Update Pack von Winfuture um eine Internetverbindung vor vollständiger Updateinstallation zu verhindern. Dann kommen die Virenscanner updates und dann Firewall.

Also muss der Wurm anders raufgekommen sein. Ich lass mein System nich verkommen ... im Gegenteil... weil ich in nem PC Geschäft sammt Werkstatt arbeite weis ich schon was wichtig fürs Surfen ist. Ein Grund weshalb ich einen reparierten PC nicht ohne SP2 und Winfuture Update Packs aus dem Laden lasse...

So ein Ausraster ist echt nicht angebracht...

Hallo,

Zitat:

So ein Ausraster ist echt nicht angebracht...

Du hast noch gar nicht erlebt wenn ich ausraste...

Hast du jetzt mal "Mydoom" bei Google eingegeben ?
Mal gelesen was der alles kann ?

Zitat:

Updates die nach SP2 noch rauskamen drauf (seit neustem benutze ich auch immer die Update Pack von Winfuture

Warum dann nicht gleich das Original ? Laden und brennen auf CD = allzeit bereit....

Zitat:

Also muss der Wurm anders raufgekommen sein

Wie fast alle Würmer....EMail Anhang geöffnet....

Zitat:

weil ich in nem PC Geschäft sammt Werkstatt arbeite weis ich schon was wichtig fürs Surfen ist

Ich habe weiterhin daran Zweifel,große Zweifel....
Aber wie auch immer....um das Neuaufsetzen kommst du keinesfalls rum....
Irrlicht

Jap hab ich, und MyDoom.I << ist nach den meisten Informationen nicht so schädlich sondern verschickt nur Mails... ^^

Weil ich zum Laden und Brennen nich gekommen bin bisher und das Pack einfach komfortabler ist. ^^

Falsch... es gibt genug Würmer die einfach nur durchs Internet kreisen OHNE Email öffnen (Bestes Beispiel Blaster Wurm). Und ich öffne KEINE Mails deren Absender ich nicht kenne oder die Daten enthalten von denen ich nichts weis. Sprich wenn ich ne Mail öffne mit Daten nur wenn sie angekündigt waren und die richtige MB Größe enthalten. ^^

Du kannst gerne Zweifel haben. Aber ich hab bei meinen Kunden bisher nie beschwerden gehört. ^^

Hallo,
nunja...zumindest ein Keylogger soll noch dabei sein...

Zitat:

TECHNICAL DESCRIPTION:


This mass mailer comes with a keylogger, which is dropped as wyvqx.dll.
The virus is being ananlysed. Further information will be posted as soon as it\'s available.

ist von Symantec.

Zitat:

Falsch... es gibt genug Würmer die einfach nur durchs Internet kreisen OHNE Email öffnen (Bestes Beispiel Blaster Wurm).

Schlechtes Beispiel...
Blaster konnte eine Sicherheitslücke ausnutzen,für die MS übrigens zwei Wochen vorher ein Update rausgab....
Im Übrigen sagte ich " wie fast alle....."
Aber das hört sich schon mal gut an...

Zitat:

Und ich öffne KEINE Mails deren Absender ich nicht kenne oder die Daten enthalten von denen ich nichts weis. Sprich wenn ich ne Mail öffne mit Daten nur wenn sie angekündigt waren und die richtige MB Größe enthalten

Wenn du jetzt noch als "eingeschränkter User" im Netz bist,sind die schlimmsten Einfallstore dicht....
Irrlicht

Zitat:

Hallo,
nunja...zumindest ein Keylogger soll noch dabei sein...

Jup. Genau deswegen hab ich auch ne schlaflose nacht verbracht um ihn zu entfernen... Momentan findet keiner von 10 aktualisierten Virenscannern etwas. Auch in der Registry ist svhost.exe weg.

Zitat:

Schlechtes Beispiel...
Blaster konnte eine Sicherheitslücke ausnutzen,für die MS übrigens zwei Wochen vorher ein Update rausgab....
Im Übrigen sagte ich " wie fast alle....."
Aber das hört sich schon mal gut an...

Ich weis es ist ein schlechtes Beispiel. Aber es ist eines *g*... Ich weis.. ich war der einzige in meinem bekannten Kreis der allen helfen musste mit dem Patch + Removal Tool (später SP1 bzw 2) den Wurm zu entfernen weil ich immer alle wichtigen Patchs installiere sobald sie verfügbar sind und Platte 2 zu dem Zeitpunkt aufgrund aktueller Gefahren eh Win98 hatte ^^

Zitat:

Wenn du jetzt noch als "eingeschränkter User" im Netz bist,sind die schlimmsten Einfallstore dicht....
Irrlicht

Jup der Account ist schon eingerichtet. Wenn ich jetzt noch endlich die Zeit hätte die Emailaccounts darauf einzurichten (Thunderbird) dann würd ich nur noch über den surfen.