Hallo zusammen!

Ich bin eine von mehreren IT-Krankenschwestern an einer Hochschule... Seit gestern haben wir an unseren public PCs das Problem, dass die User nicht mehr ins Internet können (Browser melden "Seite kann nicht angezeigt werden", Programme können sich nicht updaten etc.).

Wenn der Task svchost.exe beendet wird, funktioniert vorerst wieder alles.

Wir vermuten derzeit einen Virus, haben aber im Internet bisher noch keinen Hinweis gefunden. Wir benutzen Sophos, doch dieser findet nix. Scans mit Malwarebytes, Spybot und gänigen Online Scannern, brachten auch kein Ergebnis. Die svchost.exe aus dem System32-Order ist laut Virus-Total clean.

Es gibt jedoch auf jedem betroffenen Rechner einen unbekannten Dienst, der sich automatisch startet. Der Name ist irgendein Kauderwelsch, auf jedem Rechner anders. Hier einige Beispiele: zcxqlk, mvoqh, kuzqrswmx, tioaqkqf... Anbei Screenshots (von zwei verschiedenen PCs):





Unter diesen Namen findet man auf der Festplatte nichts. Die Registrierung weist aber Einträge auf, u.a.:



Und bei manchen Rechnern wird der Kauderwelsch-Name bei netsvcs eingetragen:



Hier heißt er übrigens "dupry":



Wir haben nun die Einträge in der Registry soweit es ging von Hand gelöscht, danach startet sich der Dienst nicht mehr, weil ihm die Einträge fehlen. Dann noch eine "Bereinigung" mit CCleaner, Neustart, danach ist der Internetzugang wieder möglich.

So toll ist diese Lösung ja sicherlich nicht und ich befürchte, dass es nur eine Frage der Zeit ist, bis das Problem erneut auftaucht...

Meine Fragen wären nun:

1.) Ist das ein Virus? Wenn ja, wo könnte er her kommen / wie kann man sich schützen?

2.) Gibt es noch eine ordentlichere "Bereinigungs"-Lösung?

Zur Infrastruktur kann ich noch ergänzend sagen, dass bisher nur die public PCs betroffen sind, wenn's dumm läuft, etwa 70 Stück. Ca. 28 Stück haben wir bis jetzt schon auf die o.g. Art von Hand bearbeitet.

Hier noch ein Hijack-Log von einem noch nicht bereinigten PC:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:29:28, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Microsoft Pinyin IME Migration] C:\PROGRA~1\GEMEIN~1\MICROS~1\IME12\IMESC\IMSCMIG.EXE /INSTALL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188306271312
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEA8AE74-3D5A-46FE-893E-41E03B4D0852}: NameServer = 
O17 - HKLM\System\CCS\Services\Tcpip\..\{E79BC4D3-6F07-4037-B27D-2C6A55722617}: NameServer = 
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

--
End of file - 5154 bytes
         

Vielen Dank,
Michaela

Das Hijack-Log ist sauber. Startet mal mit einer Linux Live CD oder mit der BartCD, beides bei PC Welt downloadbar und scannt das System von da aus.

Habt ihr keinen Administrator bzw. jemand der für die Rechner zuständig ist?

Hi Leonidas,

ich probier's heute mal mit der LiveCD. Habe noch etwa 24 Rechner zu bereinigen. Interessanterweise sind nur Rechner betroffen, die ein deutsches Windows XP haben, die Rechner mit englischem OS sind nicht betroffen.

Natürlich haben wir hier Admins. Ich bin einer davon.

Gruß,
Michaela