tach auch

ich machs kurz... häng bei meiner freundin an nem spaihron (nur modem ohne router o.ä.)

problem.. nachdem ich ihren nun clean hab ist meiner infiziert..

fixblast und der sasser remover von symantec finden nix

würd gern wissen welcher wurm es ist... um dediziert vorgehen zu können

symptome..

zuweilen...

100% cpu auslastung
shudown durch lsass.exe (kann mit shutdown -a gestoppt werden)
unter netstat werden 1000de iü´s angewählt (letztens wars ibm dänemark...(evtl ddos??)

mein hijack this...

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 10:27:49, on 21.2.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Aston\aston.exe
C:\Aston\XP\internat.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CloneCD\CloneCDTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\winxp.exe
C:\WINDOWS\System32\kkfnsjlrmk.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\mrass.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Rainmeter\Rainmeter.exe
C:\Programme\WinGate\wgengmon.exe
C:\PROGRA~1\WinGate\WGVPNMon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Prism Microsystems\WCWindows\SrvShell.Exe
C:\Programme\WinGate\WinGate.exe
C:\Programme\Prism Microsystems\WCWindows\WcwService.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\explorer.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Dokumente und Einstellungen\Odin\Eigene Dateien\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [HydraVisionViewport] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\srytuiaq.dll",setvm
O4 - HKLM\..\Run: [value] mrass.exe
O4 - HKLM\..\Run: [] winxp.exe
O4 - HKLM\..\Run: [Restor] kkfnsjlrmk.exe
O4 - HKLM\..\RunServices: [value] mrass.exe
O4 - HKLM\..\RunServices: [] winxp.exe
O4 - HKLM\..\RunServices: [Restor] kkfnsjlrmk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [value] mrass.exe
O4 - HKCU\..\Run: [] winxp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: Rainmeter.lnk = C:\Programme\Rainmeter\Rainmeter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinGate Engine Monitor.lnk = C:\Programme\WinGate\wgengmon.exe
O4 - Global Startup: WinGate VPN Monitor.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O16 - DPF: {64E27CFB-8B69-4B83-80F0-36A81437D587} - http://activex.camfrogweb.com/basic/cfweb_activex.camfrogweb.com-basic_instmodule.exe
O16 - DPF: {C8D533D0-31AA-4EBA-BD20-D5126963E0AC} (WollnyITService.ActiveChat) - http://www.webchat-solutions.de/chats/ActiveChat.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F67BAA8-7105-4408-88FC-98C8F62845AE}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: WcwService - Prism Microsystems, inc - C:\Programme\Prism Microsystems\WCWindows\SrvShell.Exe
O23 - Service: Qbik WinGate Engine (WinGateEngine) - Qbik Software NZ Ltd - C:\Programme\WinGate\WinGate.exe

ahja einer nch pestpatrol gindet nüx und onlinescan iss gerad nich drin

mozilla is auch defekt js3250 ( jaja... schon gefunden iss aber nich der einzige und der macht oben besagtenes nicht...)

grüsse ...

Hallo javatis.
An einen Rechner mit Wurm-Befall sollte man sich net dran haengen.. das weisst du ja jetzt selber.
Allerdings grenzt es schon hart an die Intelligenzgrenze wenn man das mit deinem System macht.

Also erstmal: Dein System ist uralt! Du musst Windows unbedingt updaten (Service Pack 2 ist Pflicht!!!)Man beachte hierzu aus dem unteren link besonders folgendes Zitat

Zitat:

Infektionsweg:
LSASS Sicherheitslücke von Microsoft
Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren.

Dann solltest du dir ein AntiVirenProggi besorgen. Wenigstens ein kostenloses aus dem Netz (z.B.AntiVir).

Warum meinst du es handelt sich NICHT um Sasser?
Meine Meinung:
Es handelt sich um den Sasser Wurm Bloedes Ding aber dann doch wieder nicht so bloed weil gut bekannt..

-Befolge bitte diese Anleitung zum Tool.
-Danach solltest du dir AntiVir aus dem I-Net saugen und nach einem Update der Signaturen in den erweiterten Einstellungen die Option "Alle Dateien durchsuchen" aktivieren.
-Nun in den abgesicherten Modus wechseln und einen vollen Systemscan machen.
-ALLES entfernen was gefunden wird.

Dann bist du sauber. Jedenfalls wenn das alles bei deiner Systemkruegge funktioniert.
Wenn du das Tool wirklich nach der Anleitung befolgt hast und auch AntiVir wie oben beschrieben nichts findet, dann liegt es an deinem System, dass die Proggis nicht richtig arbeiten; waere kein Wunder.
Evtl. solltest du gleich Neuaufsetzen (Anleitung in Signatur)
Aber auf JEDEN Fall solltest du dein System dringend updaten!!!

Danach solltest du ein neues logFile erstellen da du noch mehr Schrot auf dem Rechner hast.

Viel Erfolg

Undoreal

Ähm... will mich ja nicht einmischen, aber:

Zitat:

Zitat von undoreal

Dann bist du sauber.

Das bezweifele ich. Denn das:

O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe

dürfte SdBot sein - also ein Backdoortrojaner, nett als Maustreiber verpackt. Macht bei einem derart veralteten und zugemüllten System eine Bereinigung wirklich Sinn?

Gruß, Franz


Gerade finde ich einen Link dazu: W32/Sdbot-ABQ - Wurm - Sophos Bedrohungsanalyse

*raeusper* Aehm ja. Mein "Sauber" bezog sich nur auf den Sasser; war schei**e formuliert.

Allerdings hast du Recht, dass bei dem SdBot ein neues System anstehen duerfte. Wollte erstmal den Sasser loswerden um zu sehen mit was wir es dann noch zu tun haben. Ich vermute die beiden gehoeren zusammen (selbe Pufferüberlaufschwachstellen).
Hab auch zum Neumachen geraten allerdings stell ich es mir immer deprimierend vor wenn ich zu einem Forum Pposte und als erstes kommt: mach deinen Rechner platt. Manchen Leuten ist es egal ob ihr System kompromitiert ist oder nicht; was allerdings sehr unverantwortungsbewusst ist.
Nun javatis, siehst ja worauf das hinauslaeuft. Anleitung wie gesagt unten.

Ps: Ist immer gut wenn sich jemand !produktiv! und so nett einmischt!

Gruss

Undoreal

das ich mein system eh neu machen muss ist schon klar nur muss ich mit diesem ding hier arbeiten

von daher hab ichhier noch einiges drauf was ich mir brennen müsste....

natürlich möchte ich die viren,trojans,mal und spyware nicht mit rüber nehmen...

von daher die frage obs da ein gutes und funktiionierendes tool gibt...

fixsasser und fixblaster sowie avert stinger haben nu nix gefunden....

ich hoffe mein 2003 server ist nicht so anfällig...mit diesem modem hier (hat sich die doppellizenz damals doch gelohnt)

Hallo,

Zitat:

problem.. nachdem ich ihren nun clean hab ist meiner infiziert..

Schick doch deine Freundin/Freund mal mit einem Hijacklog zu uns....
Wenn ich sehe wie du mit deinem Rechner umgehst,kann ich nicht glauben das du als "Cleaner/Berater" auch nur den kleinsten Schimmer hast...

Zitat:

unter netstat werden 1000de iü´s angewählt (letztens wars ibm dänemark

Die Kinderschänder mit ihren Bildern haben dich und dein verwarlostes System als Zwischenlager/Handelsplattform entdeckt.
Richte zuerst mal ein kleines Köfferchen mit den täglichen Dingen,die man in der U-Haft so braucht.....
Mach schnell damit,das nächste Klingeln an der Türe könnte schon der Staatsanwalt sein...

Zitat:

...(evtl ddos??)

Ist schon cool,wenn man so den einen oder anderen Fachbegriff kennt....
Noch cooler wäre es aber,wenn man wüßte wann man ihn bringen kann,ohne die Umstehenden in schallendes Gelächter ausbrechen zu lassen.....
Irrlicht