Windows XP, SP1, einige Hotfixes, Intel PIII, 1GB RAM


Hallo ihr Lieben,

ich betrachtete mich bislang als Virus-immun bzw. fand übers Netz immer eine Lösung. Doch jetzt habe ich ein Problem, dass AntiVir (man empfehle mir gerne einen besseren Antivirus) eine Datei namens readysrv.exe findet, kann sie nur in die Quarantäne verschieben - und findet sie beim nächsten Neustart natürlich wieder.

Im Netz finde ich nur wenig dazu - und das ausschliesslich über die Bekämpfung per Sophos. Das habe ich natürlich nicht.

Die Symptome:
Wenn das System hochgefahren ist, ist alles in Butter. Sobald Antivir aber diese o.g. Datei findet, spinnt alles. (Es gibt keinen eindeutigen Event, wann der Virus angestossen wird.) Zum Beispiel schmiert der Total Commander ab, wenn ich aus der Dateiliste eine Datei aufrufe (Bild, mp3). Oder andere Software schmiert ab, wenn ich einen Dateidialog öffne. Dann ist meist auch gleich die Startleiste kalt. Kann dann nur noch herunterfahren.

Wenn ich das tue, wird auch noch ein Fehler der rundll.dingsbums gezeigt - was m.E. etwas mit dem Dateisystem-Service zu tun hat - siehe o.g. Effekt.

Noch ein Effekt: Der Taskmanager lässt sich nicht mehr öffnen. Das Icon ist zwar in der Taskbar, aber er öffnet sich nicht. (Trick: Wenn ich hochfahre, geht der TM; ich lasse ihn dann offen.)

Das Grosse Problem:
HiJackThis stürzt ab; hinterlässt auch kein logfile. Auch, wenn das System eigtl. noch läuft, d.h. der Virus noch nicht wieder "aktiv" ist.

Dazu habe ich eben grade festgestellt, dass auch die MDM.exe wieder in der Prozessliste ist, die (so steht geschrieben), wenn sie nicht im ..\system32 steht, wohl ein Virus ist.

---

Ich habe im Forum nach readsrv.exe geschaut - nichts gefunden. Ich hoffe, da gibt es bald ein paar Infos. Ich versuche jetzt weiter, dem HijackThis etwas abzugewinnen. Leider ist das hier natürlich dringend, da es sich um meinen Arbeitsrechner handelt. Ich hoffe, das System nicht neu aufsetzen zu müssen - denn das habe ich vor 5 Tagen erst getan.

hallo,
du hast dir W32/Sdbot-CTZ eingefangen(Backdoor)

kannst du in den abgesicherten modus gehen (für ein log oder vollen virenscan)?

sonst halt neu aufsetzten!

wieso hast du nicht sp2!!!

Mfg
.::|||::.

Ich hatte den SP2 mehrmals versucht in meiner winXP-Laufbahn. Danach hatte ich immer das Gefühl, dass was faul ist ... und meist kurze Zeit später hab ich das System neu gemacht. Halt so ein gefühl - und mich lieber auf letzte Hotfixes beschränkt, die, so hoffe ich, die wirklich relevanten Probleme, die mit dem SP2 gefixt werden, ohne die Zusatzgeschichten wie Firewall und nach-Haus-Telefonie.

Ich versuche mich jetzt nochmal an dem Log. Der volle Virenscan hat die Datei übrigens nie gefunden - nur "zwischendurch" halt, wenn was verknüpftes aufgerufen wird, was m.E. darauf hindeutet, dass die exe erst erzeugt wird - nur wie ...

Und ja ... den Sdbot-CTZ ... das habe ich auch bei Sophos gelesen - aber nur dort - und die Lösung kommt ja ohne Sophos nicht infrage.

hier mein HJT-log

Logfile of HijackThis v1.99.1
Scan saved at 14:20:31, on 07.03.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\xampp\xampp-control.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\hijackthis\HijackThis.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)

Sieht plötzlich schlimmer aus ...

Kürzlich stand da noch ein Eintrag "..\readysrv.exe (File Missing)" - was auf eine Referenz auf die o.g. Problematik hindeutet. Das fehlt jetzt.

Dass da nur so wenige Einträge sind, liegt daran, dass ich viele auf die Ignore-Liste gesetzt habe. ABer natürlich nur die, wo ich genau wusste, dass sie nicht schädlich sind (nvidia, antivir, openoffice u.dgl.) - ich kann mich natürlich auch irren. Soll ich die ignorelist nochmal löschen und neu scannen?

dein log sieht gar nicht schlecht aus, liegt aber an den wenigen einträgen
bist du sicher, das du den ganzen rest des logs auf die ignore liste gesetzt hast?

vll. auch ein backdoor mit rootkit

Mfg
.::|||::.

1.
Ich nehme nochmal die ganze Ignoreliste raus, poste gleich nochmal.

2.
Hatte grad wieder einen Fund durch AntiVir: ..\system32\ntfscrypt.exe - Signatur Worm/Sdbot.188416.14

Ich kenn mich mit den Signaturen nich aus - aber wenn das auch n SDbot ist dann müssten die beiden sich ja kennen.

Ist denn AntiVir eigtl. ausreichend? Oder lohnt es sich, irgendein nonplusultra-Antivirus zu kaufen?

Und: Was ist denn ein Rootkit?

hallo,
antivir reicht völlig, wenn man bewusst im internet ist (keine warez-sites etc.)
rootkits gehören zum malwareprogramm und haben die eigenschaft, komponeneten der malware zu verstecken, so das du die processe oder dateien gar nicht erkennen kannst!

da es ein backdoor-wurm ist, würde ich sowieso neuaufsetzten!

W32/Sdbot-CYD läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.

Wenn er erstmals gestartet wird, kopiert sich W32/Sdbot-CYD nach <System>\ntfscrypt.exe und erstellt die Datei <Temp>\sysremove.bat.
Die Batch-Datei kann gelöscht werden.

Die Datei ntfscrypt.exe wird als neuer Systemtreiberdienst namens "NTFSCrypt" mit dem Anzeigenamen "NTFS Crypto Technology" und dem Starttyp "Automatisch" registriert, damit sie beim Systemstart automatisch ausgeführt wird.

Registrierungseinträge werden erstellt unter:

HKLM\SYSTEM\CurrentControlSet\Services\NTFSCrypt

Ps: hastu einen firewall?

Mfg
.::|||::.

Schande auf mein Haupt

Eigentlich benutze ich atguard, mach ich jetzt auch wieder drauf - um mindestens die Zugriffe zu unterbinden. Hatte eigentlich vor, mal eine andere zu probieren - aber das ist in dem ganzen hier untergegangen.

Ich spiele schon mit dem Gedanken, das System nochmal neu aufzusetzen ... Nur will ich -diesmal- dann alles richtig machen. Also empfiehlst du, den SP2 zu installieren - oder gibt es äquivalente Hotfixes, die das wichtigste beinhalten - ohne die "netten" Features, die kein Mensch braucht?

Und: AntiVir reicht also?
Und: atguard als Firewall reicht sicher auch?

Und: woran müsste ich noch denken?

ABER: Da geht wieder ein Tag drauf - alles neu installieren (nich nur Programme, auch die Contents (webserver, DB, IDEs, Projekte) ...

Also noch einen Versuch? Hier das vollst. Logfile von HJT:

Logfile of HijackThis v1.99.1
Scan saved at 14:40:18, on 07.03.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\xampp\xampp-control.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ***
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Startup: XAMPP Control Panel.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2C77676-5956-4FCD-9EC8-309E2E198E96}: NameServer = ***
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ***
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ***
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ***
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe

Zitat:

Zitat von burn1ng_chr0me

Ich spiele schon mit dem Gedanken, das System nochmal neu aufzusetzen ... Nur will ich -diesmal- dann alles richtig machen. Also empfiehlst du, den SP2 zu installieren - oder gibt es äquivalente Hotfixes, die das wichtigste beinhalten - ohne die "netten" Features, die kein Mensch braucht?

Und: AntiVir reicht also?
Und: atguard als Firewall reicht sicher auch?

Und: woran müsste ich noch denken?

also, ich denke dass antivir reicht!
atguard kenn ich persöhnlich nicht...

und wichtig wäre:
anti-spy-adware-prog:
spybot oder adaware(beide kostenlos)
regelmässig backups deiner dateien machen, systemwiederherstellungspunkte!
sp2 würde ich dir sehr empfehlen, es zu installieren.
und auch immer updaten(antivirenschutz,antispyware etc.)

Mfg
.::|||::.

Hallo,

kurz zum einmischen.
Setze neu auf nach Anleitung in meiner Signatur.
Da sollte dir alles gut erklärt sein.

Okay, ich bereite grad alles für ein neues System vor (SP2, Hotfixes runterladen usw.)

Der Jotti ist ein Online-Scanner für einzelne Dateien - seh ich das richtig?

Ja das siehst du richtig.