Hallo, mein Notebook (WinXP) hat sich nen netten Wurm eingefangen und ich versuch schon die ganze Nacht erfolglos ihn wieder los zu werden...
ich kann keine versteckten files sehen und wenn man einen USB Stick ansteckt wird sofort ein fenster geöffnet und es werden darauf 2 dateien angelegt:
nideiect.com und ein autostart datei
Der Wurm hat Antivir und Zonealarm ausgeschaltet
hab schon alle möglichen anleitungen ausm netzt befolgt, aber irgendwas hat nie gestimmt (zB fehlt mir im Regestry der HIDDEN folder)
Ich bitte um Hilfe, da ich echt nicht mehr weiter weiß

habs jetzt doch geschafft HijackThis zu installieren hier ist die logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:58:01, on 14.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunCasino.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunCasino.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.hp.com
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - h**ps://components.viewpoint.com/MTSInstallers/MetaStream3.cab
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///E:/components/hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///E:/components/A9.ocx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MSCamSvc - Unknown owner - C:\Programme\Microsoft LifeCam\MSCamS32.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\Windows\system32\ZoneLabs\vsmon.exe (file missing)

--
End of file - 7898 bytes



So ich geh jetzt schlafen - hab keine Lust mehr auf den Sch**ß

Ich hoffe auf Hilfe und sag jetzt schon mal Danke an jeden, der es sich zumindest angesehen hat

Hi,
leider hast du im falschen Unterforum gepostet, aber ich denke man wird es verschieben.

Zu deinem Problem:

Zitat:

Hallo, mein Notebook (WinXP) hat sich nen netten Wurm eingefangen und ich versuch schon die ganze Nacht erfolglos ihn wieder los zu werden...

Welchen Wurm (Avira Report)?
Hast du was aus dem Internet installiert, oder einen fremden USB-Stick angeschlossen?

Zitat:

ich kann keine versteckten files sehen und wenn man einen USB Stick ansteckt wird sofort ein fenster geöffnet und es werden darauf 2 dateien angelegt:
nideiect.com und ein autostart datei

Diese nideiect.com lade bitte bei Virustotal hoch und poste das komplette Ergebnis. Die evtl. entstandene autorun.inf wo angelegt wird, öffnest du mit dem Editor und postest dessen Inhalt ebenfalls hier.

Zitat:

Der Wurm hat Antivir und Zonealarm ausgeschaltet

Ausgeschaltet inwiefern?
Der Guard ist noch nicht gelöscht, aber ZoneAlarm:

Zitat:

O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\Windows\system32\ZoneLabs\vsmon.exe (file missing)

Zitat:

hab schon alle möglichen anleitungen ausm netzt befolgt, aber irgendwas hat nie gestimmt (zB fehlt mir im Regestry der HIDDEN folder)
Ich bitte um Hilfe, da ich echt nicht mehr weiter weiß

Du kannst dich schonmal auf ein Neuaufsetzen gefasst machen..

mfg

Danke für die Antwort.
So laut Virustotal:
autorun.inf=TP/PSW.Nilag.bvl.1
nideiect.com=HLDRRR.EXE.Muestra_EliBagle_v116
Ich hab ein Programm von einem USB-Stick installiert (wurde aber vorher von Antivir mit neuster Virendefinition durchgecheckt (ohne was zu finden)).
AV und ZoneAlarm wurden nach der installation vom virus/wurm ausgeschalten und AntiVir lässt sich nicht mehr starten - da krieg ich folgende Fehlermeldung: "C:\Programme\Antivir PersonalEdition Classic\avcenter.exe ist keine zulässige Win32-Anwendung."

Das Programm lässt auch keine Programme installieren und im abgesicherten Modus krieg ich nen Bluescreen.

Und zur Neuinstallation hab ich mich auch schon entschlossen...Irgendwelche Tipps? Hab zu Antivir kein Vertrauen mehr

*edit: hier der Text der Autorun.inf:


[AutoRun}
open=nideiect.com
;shell\open=Open(&O)
shell\open\Command=nideiect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=nideiect.com

Zitat:

"C:\Programme\Antivir PersonalEdition Classic\avcenter.exe ist keine zulässige Win32-Anwendung."

Das hört sich sehr stark nach einer Bagle-Infektion aus, einer der widerwertigsten Infektionen die man sich vorstellen kann.
In Zukunft kannst du dich mit einem Image-Programm wie Acronis True Image auseinandersetzen, dann kannst du in so einem extremen Fall wie diesem hier ein sauberes Image drüberspielen und ersparst dir ein Neuaufsetzen, was wesentlich länger dauert.

Zitat:

Irgendwelche Tipps? Hab zu Antivir kein Vertrauen mehr

Wenn du einen sauberen Zweitrechner hast, kannst du dir MWAV auf einem USB-Stick speichern und den infizierten Rechner scannen.
Eignet sich auch zum gelegentlichen Scannen, wenn du auf einen installierbedürftigen Scanner verzichten willst.

Ich hoffe, das hast du so in der Art gemeint.

mfg

Edit:

Zitat:

Ich hab ein Programm von einem USB-Stick installiert (wurde aber vorher von Antivir mit neuster Virendefinition durchgecheckt (ohne was zu finden)).

Welches Programm?

Ja, ist ein Bagle...
Ich hab eh eine Sicherung mit der WindowsCD auf der der großteil der Software und Windows updates schon integriert sind, nur die CD liegt ungefhär 130 km entfernt...
Naja wurde eh Zeit den PC mal wieder aufzusetzen
Das Programm war photozoom 2

Ok, kannst du die Virustotalergebnisse trotzdem posten?
Bzgl. der nideiect.com.

mfg

aber sicher doch:
hier mal die autorun.inf:

MD5: 4ffff6724a4956aa6e5c4d4fe759b430
First received: 2008.04.05 20:11:05 (CET)
Datum 2008.07.12 02:11:08 (CET) [>33D]
Ergebnisse 23/33
Permalink: analisis/96fa75d9b9ea52b621def1706a3a17bb

Virustotal. MD5: 4ffff6724a4956aa6e5c4d4fe759b430 Generic!atr Trojan-PSW.Win32.Nilage.bvl INF/Autorun

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/PSW.Nilage.bvl.1
Authentium - - IS/Autorun.P
Avast - - INF:AutoRun-P
AVG - - -
BitDefender - - Trojan.Autorun.UA
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - Win32.HLLW.Autoruner.1020
eSafe - - -
eTrust-Vet - - INF/Rolepi
Ewido - - Trojan.Nilage.bvl
F-Prot - - IS/Autorun.P
F-Secure - - Trojan-PSW.Win32.Nilage.bvl
Fortinet - - -
GData - - Trojan-PSW.Win32.Nilage.bvl
Ikarus - - Trojan-PWS.Win32.Nilage.bvl
Kaspersky - - Trojan-PSW.Win32.Nilage.bvl
McAfee - - Generic!atr
Microsoft - - Worm:Win32/Taterf!inf
NOD32v2 - - INF/Autorun
Norman - - BAT/AutoRun.AE
Panda - - Trj/Lineage.GQI
Prevx1 - - -
Rising - - -
Sophos - - W32/Bagle-TT
Sunbelt - - INF.Autorun (v)
Symantec - - -
TheHacker - - Trojan/Small.autorun
TrendMicro - - Mal_Otorun1
VBA32 - - -
VirusBuster - - INF.Autorun.Gen
Webwasher-Gateway - - Trojan.PSW.Nilage.bvl.1
weitere Informationen
MD5: 4ffff6724a4956aa6e5c4d4fe759b430
SHA1: 4ecc1754b78cb5b5dc9f4310341293b207b92057
SHA256: 11eaf5bef6dcbc527e433efeff6e5034fc934338823e4844263e6b1bc6f7c309
SHA512: 85f61ed0b1032bae67accecdbe997d3fb228dbeb8e8a5e8f0538e3474b2db38e6233f08e37efa50b4a59ddb616b130d6afecaee0560c5b63c332cda3c25b6fae

und die nideiect.com

MD5: dba79e0ef26bbb30dec7a1c8528cf081
First received: 2008.08.13 15:41:10 (CET)
Datum 2008.08.14 16:19:21 (CET) [<1D]
Ergebnisse 15/34
Permalink: analisis/803db4db36ab37c2fa1a9d602ae73b30

http://www.virustotal.com/de/analisis/803db4db36ab37c2fa1a9d602ae73b30

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Dldr.Bagle.YB
Authentium - - W32/Heuristic-THX!Eldorado
Avast - - Win32:Trojan-gen {Other}
AVG - - -
BitDefender - - Trojan.Downloader.Bagle.JS
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - PUA.Packed.Themida
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - W32/Heuristic-THX!Eldorado
Fortinet - - W32/Bagle.VV!tr.dldr
GData - - Trojan-Downloader.Win32.Bagle.yb
Ikarus - - Trojan-Downloader.Win32.Bagle.yb
K7AntiVirus - - -
Kaspersky - - Trojan-Downloader.Win32.Bagle.yb
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
PCTools - - Packed/Themida
Rising - - -
Sophos - - Mal/Behav-285
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - Packed/Themida
Webwasher-Gateway - - Trojan.Dldr.Bagle.YB
weitere Informationen
MD5: dba79e0ef26bbb30dec7a1c8528cf081
SHA1: 0af256943946a6bd107eb4f6447e0c23809fb03b
SHA256: a79392f8ba98e3b40905e38ed337d5e3c40596cb2c112f41ebd2e8dd0c6f5335
SHA512: 753cc3a454df55ae4d75749ba78c6f4ac4c6557528da8b33f00f0d8a89b449c11230743db8a8271ff98cd7fa07a9d9f2b6a9f17932d34c6726e9e7697d40112a

Okay, der Fall bzgl. der autorun.inf ist klar, der Rest ergibt sich durch die .com-Datei.



Edit:
Die Erkennung der AV-Programme ist nicht zufriedenstellend, scheint wohl das Werk eines lustigen Scriptkiddies zu sein, einen Bagle mit der autorun.inf zu versetzen.
Wenn du die nideiect.com noch hast, packe sie in ein ZIP-Archiv (am besten passwortgeschützt; Passwort = abc) und sende sie an meine Emailaddresse (siehe Profil).
In den nächsten Tagen kann ich dir dann näheres zu der Datei sagen.

Und noch was:
Egal von wem du den USB-Stick hast, bzw. wem du ihn ausgeliehen hast oder von dem du dieses "Programm" erhalten hast, dem würd ich mal links und rechts eine watschen.


mfg