|
Plagegeister aller Art und deren Bekämpfung: "WORM/Small.I." - was ist das und was tun?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.08.2008, 11:33 | #1 |
| "WORM/Small.I." - was ist das und was tun? hallo, war gerade im urlaub und habe nach meiner rückkehr einen irgendwie "spinnenden" rechner vorgefunden. die tastatur ging nicht mehr zur eingabe im internet, auch nicht bei word etc. (hat sich vorläufig erledigt, nach dem ich firefox deinstalliert und neuinstalliert habe, nach einer gewissen eingrenzung des problembereichs. die alte einfache schnell-lösung. komisch, aber immerhin effektiv) bei einem durchlauf von avira nun ein virenfund, siehe titel: WORM/Small.I.2 habe schon mal bißchengegoogelt und gefunden, daß es irgendwie mit einem mp3-player zusammenhängen kann. (ich hatte hier zur urlaubsbetreuung meiner pflanzen und tiere einen bekannten. der hat mich ganz treudoof angeguckt, als er mir erzählte, daß mein rechner nicht in ordnung ist. bevor ich wegfuhr, war er aber noch tadellos in ordnung) so, und nun die frage: kann mir jemand genaueres zu diesem "worm" sagen? ich habe normalerweise keine viren auf dem rechner und bin da auch ganz vorsichtig, so daß ich leider nicht zu denen gehöre, die sich mit dem ganzen geviech auskennen. bitte also um auch für mich verständliche tipps. muß ich ihn löschen? hab nur die wahl vorgegeben von avira zwischen löschen und ignorieren. in quarantäne verschieben in dem falle nicht. besten dank für die tipps schon mal vorneweg. gruß von mir selbst :-) ach so, kleines ps hinterher: die datei selbst heißt "inetsrv.exe". (hört sich nicht grad vertrauenerweckend an, finde ich) habe ich auch im internet gefunden. gab das problem schon mal, eben im zusammenhang mit mp3-player. konnte es nicht entschlüsseln, was da gemeint war. war 1. englisch und 2. computerenglisch mit spezialisierung auf viren- und trojaner-fachchinesisch. da bin ich nicht schlau draus geworden. darum hier meine frage. Geändert von IchSelbst (18.08.2008 um 11:46 Uhr) |
18.08.2008, 12:23 | #2 |
| "WORM/Small.I." - was ist das und was tun? Hi,
__________________das kann heiter werden, es kann u. U. ein Trojaner mit Backdoorfunktionalität sein... Bitte HJ-Log gemäß den Boardregeln (siehe Signatur) und gleich noch combofix posten (wegen der Infos): Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird chris
__________________ |
18.08.2008, 14:26 | #3 |
| "WORM/Small.I." - was ist das und was tun? so, hier nun der logfile von hijack.
__________________beim virenscan wurde übrigens ersichtlich, daß derselbe sich 3 mal auf meinem rechner "breit gemacht" hat. hab mir die "standorte" aufgeschrieben. konnten nicht in quarantäne verschoben werden. noch ein anderer "böser wicht" ist ebenfalls 3 mal vertreten, ebenfalls nicht in quarantäne verschiebbar. name: BDS/Bifrose.PG.3 alias BKDR_Bifrose.IA etc. beim googeln habe ich zumindest herausgefunden, daß es ein backdoor-programm ist. und daß es als nicht gefährlich eingestuft wird. hier nun der log-file: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:08:42, on 18.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\inetsrv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\Programme\Alice\Signup\AliceCnn.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Programme\Antiviren\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [inetsrv] C:\WINDOWS\system32\inetsrv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Nodfix] C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{02230634-9528-4A6A-8082-852F32CCD5F1}: NameServer = 213.191.92.87 62.109.123.6 O17 - HKLM\System\CS1\Services\Tcpip\..\{02230634-9528-4A6A-8082-852F32CCD5F1}: NameServer = 213.191.92.87 62.109.123.6 O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 4150 bytes in kürze dann dasselbe von combofix gruß von mir selbst (etwas im schwitzen wegen der geschichte) |
18.08.2008, 15:01 | #4 |
| combofix-logfile hier nun das ergebnis von combofix. hoffe, das kann entziffert werden: ComboFix 08-08-17.03 - ICH 2008-08-18 15:56:51.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.203 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\ICH\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\Driveinfo.exe C:\WINDOWS\system32\Driveinfo.log C:\WINDOWS\system32\inetsrv.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-07-18 bis 2008-08-18 )))))))))))))))))))))))))))))) . 2008-08-18 15:06 . 2008-08-18 15:06 <DIR> d-------- C:\Programme\Antiviren 2008-08-17 22:39 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-08-17 22:39 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys 2008-08-17 22:39 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2008-08-17 22:39 . 2001-08-17 14:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-19 16:25 --------- d-----w C:\Programme\Java 2008-07-16 10:16 --------- d-----w C:\Programme\Konverter 2008-07-16 10:11 --------- d-----w C:\Programme\Gemeinsame Dateien\XPressUpdate 2008-05-16 16:19 14,852 ----a-w C:\Programme\settings.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StatusClient"="C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 16:51 36864] "TomcatStartup"="C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2002-12-03 13:21 143360] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784] "BluetoothAuthenticationAgent"="irprops.cpl" [2004-08-04 00:58 381440 C:\WINDOWS\system32\irprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-Nodfix - C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe HKLM-Run-Cmaudio - cmicnfg.cpl . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\ICH\Anwendungsdaten\Mozilla\Firefox\Profiles\kex3mbi7.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.gmx.net/ ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-18 15:57:55 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-08-18 15:59:34 ComboFix-quarantined-files.txt 2008-08-18 13:59:28 Pre-Run: 6 Verzeichnis(se), 34,739,904,512 Bytes frei Post-Run: 8 Verzeichnis(se), 34,936,758,272 Bytes frei 76 |
18.08.2008, 15:31 | #5 | |
| "WORM/Small.I." - was ist das und was tun? Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Also, wenn Nodfix nicht erkannt wurde, bei "Delete File" rauslöschen!: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|inetsrv Files to delete: C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe 3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen (nur wenn Nodfix erkannt wurde!: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O4 - HKCU\..\Run: [Nodfix] C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe Malwarebytes Antimalware. Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/. Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben: http://www.trojaner-board.de/showthread.php?t=54192 Chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
18.08.2008, 16:05 | #6 |
| "WORM/Small.I." - was ist das und was tun? puh, danke für die ganze mühe erst mal. es ist eine ganze menge,w as ich jetzt tun muß. werd mich mal ranmachen an die sache. ganz und gar alle verstanden habe ich noch nicht. kann ich evtl. nachfragen wenn ich nicht weiterkomme? (vor allem all die dinge, die mit "code" beginnen, verstehe ich nicht. bin kein programmierer, kein it-spezialist, kenne keine programmiersprache. - weiß ich, sollte ich inzwischen etwas lernen. aber woher soll ich die zeit dafür auch noch nehmen?) also, ich mach mich mal an die arbeit. bei bedarf meld ich mich zurück p.s. ich habe nur heute zeit dafür. morgen muß ich weiter fahren. ich hoffe, das alles zu schaffen. gruß von ichselbst |
18.08.2008, 16:26 | #7 |
| ergebnis virustotal hier erst einmal das ergebnis von virustotal über ndfix.exe: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.15.0 2008.08.18 Win-Trojan/Bifrose.90924 AntiVir 7.8.1.19 2008.08.18 BDS/Bifrose.PG.3 Authentium 5.1.0.4 2008.08.18 W32/BifrostP.D Avast 4.8.1195.0 2008.08.18 Win32:Bifrose-IK AVG 8.0.0.161 2008.08.18 BackDoor.Generic3.DL BitDefender 7.2 2008.08.18 Trojan.Inject.FA CAT-QuickHeal 9.50 2008.08.18 Backdoor.Bifrose.yg ClamAV 0.93.1 2008.08.18 Trojan.Bifrose-846 DrWeb 4.44.0.09170 2008.08.18 BackDoor.Bifrost.24 eSafe 7.0.17.0 2008.08.18 Win32.Bifrose.yg eTrust-Vet 31.6.6035 2008.08.15 - Ewido 4.0 2008.08.18 Backdoor.Bifrose.pg F-Prot 4.4.4.56 2008.08.18 W32/BifrostP.D F-Secure 7.60.13501.0 2008.08.18 Backdoor.Win32.Bifrose.yg Fortinet 3.14.0.0 2008.08.18 W32/Bifrose.PG!tr.bdr GData 2.0.7306.1023 2008.08.18 Backdoor.Win32.Bifrose.yg Ikarus T3.1.1.34.0 2008.08.18 Backdoor.Win32.Bifrose.pg K7AntiVirus 7.10.417 2008.08.18 Backdoor.Win32.Bifrose.yg Kaspersky 7.0.0.125 2008.08.18 Backdoor.Win32.Bifrose.yg McAfee 5362 2008.08.15 Generic.dl Microsoft 1.3807 2008.08.18 Backdoor:Win32/Bifrose NOD32v2 3365 2008.08.18 Win32/Bifrose.PG Norman 5.80.02 2008.08.18 W32/Bifrose.CCY Panda 9.0.0.4 2008.08.17 Bck/Bifrose.NW PCTools 4.4.2.0 2008.08.18 Backdoor.Bifrost.XP Prevx1 V2 2008.08.18 - Rising 20.58.02.00 2008.08.18 Backdoor.Bifrose.ade Sophos 4.32.0 2008.08.18 Mal/Bifrose-I Sunbelt 3.1.1546.1 2008.08.15 Trojan.Unclassified.gen Symantec 10 2008.08.18 Trojan Horse TheHacker 6.3.0.5.053 2008.08.18 Backdoor/Bifrose.yg TrendMicro 8.700.0.1004 2008.08.18 BKDR_BIFROSE.IA VBA32 3.12.8.3 2008.08.18 Backdoor.Win32.Bifrose.pg ViRobot 2008.8.18.1339 2008.08.18 Backdoor.Win32.Bifrose.90924 VirusBuster 4.5.11.0 2008.08.18 Backdoor.Bifrost.XP Webwasher-Gateway 6.6.2 2008.08.18 Trojan.Backdoor.Bifrose.PG.3 weitere Informationen File size: 90924 bytes MD5...: e01972a9980670054b127320418e40c0 SHA1..: 47803661a83641949016117f445d892e18fa1173 SHA256: 6ad091a28a9ba3b8d36ec2f55d9739c8d66d0d4802ff5f5fb7fd1286d3f3382a SHA512: 5bd33866f5d20555be667052a7c0c19a9d4e3f734c172dbff8837c9f1466c3a4 8fbb867e36c1d0d59f7d24ac996be85b7b44a0867c67711d8a60e96cb706eee4 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401010 timedatestamp.....: 0x4414e15a (Mon Mar 13 03:04:58 2006) machinetype.......: 0x14c (I386) ( 2 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x8d88 0x8e00 7.99 9612b1fa644aac5a8b2ff44b30725c97 .idata 0xa000 0x6ec 0x800 4.22 252fa9ebcbff2a90237a60747e13dfb8 ( 5 imports ) > KERNEL32.DLL: ReadProcessMemory, lstrcpyA, CreateProcessA, lstrcatA, GetWindowsDirectoryA, DuplicateHandle, GetCurrentProcess, OpenProcess, Process32Next, Process32First, CreateToolhelp32Snapshot, GetVersionExA, GetComputerNameA, lstrcmpA, CopyFileA, DeleteFileA, SetFileAttributesA, VirtualProtectEx, lstrlenA, GetSystemDirectoryA, GetFileSize, ReadFile, SetFilePointer, CreateFileA, GetModuleFileNameA, ExitProcess, GetStartupInfoA, GetCommandLineA, HeapAlloc, GetProcessHeap, CreateRemoteThread, SetLastError, GetCurrentProcessId, VirtualFree, WriteProcessMemory, Sleep, GetModuleHandleA, GetProcAddress, WaitForSingleObject, WriteFile, CloseHandle, VirtualAlloc, GetPriorityClass, ResumeThread, GetTempPathA, GetFileTime, SetFileTime > ADVAPI32.DLL: RegOpenKeyExA, RegCloseKey, RegCreateKeyExA, RegQueryValueExA, GetUserNameA, RegSetValueExA > MSVCRT.DLL: _strrev, strrchr, strncpy, strchr, atoi, free, malloc, _strnicmp, _stricmp > SHLWAPI.DLL: SHDeleteKeyA > USER32.DLL: FindWindowA, GetWindowThreadProcessId, wsprintfA ( 0 exports ) ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=e01972a9980670054b127320418e40c0 hoffe, das war hilfreich? jetzt weiter im text mit avenger. hoffe, daß ich das hinbekomme. wenn nicht, frage ich noch mal nach. gruß von ich selbst |
18.08.2008, 16:35 | #8 |
"WORM/Small.I." - was ist das und was tun? Hoi, ich nehm mir mal das Recht, mich einzumischen. Vergiss das mit dem Avenger, du bist mit einem Backdoor Server der Bifrost-Familie infiziert. Wer weiß, wer dir den untergejubelt hat, auf jedenfall ist Neuaufsetzen Pflicht und all deine Daten sind als bekannt anzusehen. Das heißt für dich:
mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
18.08.2008, 16:41 | #9 |
| "WORM/Small.I." - was ist das und was tun? hier erst mal das ergebnis von avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe" deleted successfully. Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|inetsrv" Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|inetsrv" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. könnte mir mal jemand erklären, was da in den ganzen logfiles drinsteht. und was heißt jetzt bifrost-familie? den rechner neu aufsetzen, das schaffe ich heute auf keinen fall. und morgen fahre ich für 2 wochen weg. irgendwie fang ich langsam an, panik zu kriegen. bitte um etwas verständliche erklärungen. so und nun versuche ich noch das andere hinzukriegen,w as da vorgegeben war. gruß ichselbst |
18.08.2008, 16:45 | #10 |
"WORM/Small.I." - was ist das und was tun? Bifrost ist ein Remote Administration Tool, du hast den Server davon. Dieser ermöglicht Zugriff auf deinen Computer durch Dritte. Man kann also Daten herunterladen, Daten löschen, Daten hochladen, Passwörter auslesen, etc. Also alles, was du jetzt auch machen kannst. Neuaufsetzen kannst du machen, wann du willst. Der infizierte Rechner sollte nur bis dahin stillgelegt sein. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
18.08.2008, 16:47 | #11 |
| "WORM/Small.I." - was ist das und was tun? also mit HijackThis durchgecheckt. wenn ich das richtig begriffen habe, so ist dies: Code: O4 - HKCU\..\Run: [Nodfix] C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe nicht in der liste enthalten, wurde also nicht erkannt. bin jetzt etwas ratlos, was weiter tun. noch mal die frage: kann es nicht sein,d aß diese "würmer" einfach mit dem treiber des wechseldatenträgers zusammenhängen (welcher auch immer das war)? gruß von ichselbst |
18.08.2008, 16:53 | #12 | |
"WORM/Small.I." - was ist das und was tun?Zitat:
Außerdem ist Bifrost kein Wurm, sondern ein Backdoor Server (Backdoor Trojaner). Bei der Infektion ist der eigentliche Wurm quasi irrelevant. Aber da er sich über Wechseldatenträger verbreitet, solltest du diese formatieren. (Bei gedrückter Shift-Taste am PC anschließen => Rechtsklick auf den Träger => Formatieren...). mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
18.08.2008, 17:14 | #13 |
| "WORM/Small.I." - was ist das und was tun? tja, da habe ich wohl echt die .. karte gezogen, wies aussieht, was? und das auf meinem zwischenstop zuhause, zwischen zwei mal zu besuch fahren. aber es ist ja immerhin gut, daß es so schnell rausgekommen ist. ich habe noch mal die history von avira angeschaut. der wurm kann erst gestern abend auf meinen rechner gekommen sein. so gesehen, glück im unglück wohl. na, da werd ich mal rekapitulieren,w as ich nun tun kann. meine ideen: 1. daten sichern!!! habe eine externe festplatte. kann ich meine privaten daten noch problemlos auf die externe festplatte kopieren, um sie zu sichern? (habe meine festplatte geteilt, ein teil ist nur für daten, weils so einfacher ist für mich, die c:-platte ist nur für programme etc.) 1.1. habe meine daten bisher immer einfach über kopie auf die externe festplatte gesichert. ist sicher nicht die korrkte methode. ist jetzt auch schon gut ein monat her das letzte mal. >>>>>>>>>>> darum mal eine nachfrage zu einem korrekten backup: wie geht das? bitte nicht gleich augen rollen. ich lern jeden tag was dazu. learning by doing praktisch. und das mit dem korrekten backup habe ich eben noch nicht gemacht. vielleicht also gleich bei dieser gelegenheit hinzulernen. 2. habe als btriebssystm windows xp. ich weiß, daß ich xp auf einen tag x (also bspw. letzten mittwoch) und dessen stand zurücksetzen kann. wäre das jetzt machbar. also wäre das eine lösung, die praktikabel ist? oder in dem falle zu schwach? 3. vermutlich rechner ausmachen und morgen zu besuch fahren. und nach rückkehr rechner neuaufsetzen. zu dem, was du schreibst: "Außerdem ist Bifrost kein Wurm, sondern ein Backdoor Server (Backdoor Trojaner). Bei der Infektion ist der eigentliche Wurm quasi irrelevant." das habe ich noch gut verstanden. so ist also mein rechner jetzt ein server, der von außerhalb genutzt wird? "Ich will nochmal darauf hinweisen, das jeglicher Schritt, der jetzt durchgeführt wird (außer Neuaufsetzen) die Technische Kompromittierung deines Systems nicht aufheben wird." also auch nicht betriebssystem zurücksetzen auf tag x? "Aber da er sich über Wechseldatenträger verbreitet, solltest du diese formatieren. (Bei gedrückter Shift-Taste am PC anschließen => Rechtsklick auf den Träger => Formatieren...)." darauf habe ich keinen einfluß mehr. ist nicht MEIN wechseldatenträger. kann dem bekannten lediglich schreiben, daß er dies tun sollte. also erst mal wollte ich euch allen danken, daß ihr mich so lange durch das ganze geleitet habt. ich selbst hätte das ganz gewiß nicht hinbekommen. und ansonsten kann ich jetzt bloß etwas gefaßt die sache zur kenntnis nehmen und mich auf computer-neuaufsetzen nach dem urlaub vorbereiten. denn mehr kann ich wohl nicht tun? also wenn ihr noch tipps habt, die ihr mir weiter geben könnt zu dieser geschichte, dann bin ich ein guter abnehmer dafür, immer her damit bis dahin gruß von mir selbst |
18.08.2008, 17:25 | #14 | |||||||
"WORM/Small.I." - was ist das und was tun?Zitat:
Zu deinen Fragen: Zitat:
Zitat:
Zitat:
Zitat:
Zu der Systemwiederherstellung hab ich ja oben schon geschrieben. Wegen des Wechseldatenträgers: Es betrifft alle Wechseldatenträger, die an deinem Rechner angeschlossen wurden. Dein Bekannter wird evlt. die gleiche Prozedur wie du durchführen müssen. Zitat:
Leider kannst du nur froh sein, das du es jetzt gemerkt hast und nicht später. Wer weiß, was sonst noch alles passiert wäre. Zitat:
Ansonsten kannst du dich mal durch Wikipedia schlagen, da sind diverse Sachen gut beschrieben. Was auch hilfreich ist, einfach hier mal im Board diverse Themen und Beiträge mitstudieren, dabei kann man auch viel lernen. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
18.08.2008, 18:03 | #15 |
| "WORM/Small.I." - was ist das und was tun? "Leider kannst du nur froh sein, das du es jetzt gemerkt hast und nicht später. Wer weiß, was sonst noch alles passiert wäre." tja, das kann man wohl sagen, was? "Wenn du über Malware generell mehr wissen willst, klicke auf den Link Virenkunde in meiner Signatur. Ansonsten kannst du dich mal durch Wikipedia schlagen, da sind diverse Sachen gut beschrieben. Was auch hilfreich ist, einfach hier mal im Board diverse Themen und Beiträge mitstudieren, dabei kann man auch viel lernen. " ach, das werd ich sicher in ner pause ab und an mal machen (müssen), mich da rein lesen. wenn ich nur wüßte, wo ich sonst die zeit dazu kriegen könnte, mich mal systematisch mit dem ganzen kram zu beschäftigen. für heute mach ich jetzt aber den rechner mal aus. und werd ihn dann anch dem urlaub wieder an machen und mich evtl. wieder hier melden. obwohl- neu aufgesetzt habe ich den rehner ja erst irgendwann im frühjahr. das müßte ich eigentlich noch mal selbst hinbekommen. also ich wünsch nen schönen feierabend ahoi und fürs erste bye bye von mir selbst |
Themen zu "WORM/Small.I." - was ist das und was tun? |
avira, datei, eingabe, englisch, entschlüsseln, firefox, frage, gemein, hängen, interne, internet, keine viren, kleines, löschen, löschen?, mp3-player, nicht mehr, pflanzen, quara, quarantäne, rechner, schlüsseln, siehe titel, tastatur, tiere, urlaub, verschieben, was tun, was tun? |