Erst einmal schönen Morgen/Tag/Abend.

Wie in der Überschrift zu lesen: Kaspersky warnt mich vor einem Angriff namens: Intrusion.Win.MSSQL.worm.Helkern . Ob es nun geglückt ist, oder erfolgreich abgewehrt wurde, kann ich nicht sagen.
Ich hatte schon seit November ein Problem mit Viren, bis ich die Hoffnung aufgegeben habe, und Win neuinstallierte.... . Da ich nicht alle wichtigen Daten brennen konnte o.ä., habe ich Sie in die E:\ Partition geschoben, in der ich noch nie Dateien abgelegt hatte... .

Ich habe Windows in E:\ installiert und versucht C:\ zu formatieren.

2 Dateien haben mich das zu verhindern gewusst. Die erste war von Acrobat Player, welche ich mit Hilfe von google und "Ausschneiden + Kopieren" löschen konnte. Die andere ist: 3284. Der genaue Pfad: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hsperfdata_Administrator\3284.
Diese Datei kann ich weder verschieben, kopieren, umbenennen und vor allem nicht löschen!!!


Zurück zum eigentlichen Grund... .

Der Angriff kommt immer von einer anderen IP, bei meiner rechaerchen habe ich heraus gefunden, dass es BOTs wären.... und zu meist aus China kommen sollen.


In diesem Board habe ich einen ähnlichen Thread gefunden, wollte aber nicht dort um Hilfe beten, dort wurde nach einem Scan-Log mit eScan verlangt.

Den Poste ich dann mal:

Zitat:

Zitat von eScan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 10.0.60
Sprache: German
E:\DOCUME~1\Cz-o69\LOCALS~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
Scannen Spyware: Deaktiviert
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - E:\WINDOWS\system32\services.exe
lsass.exe - E:\WINDOWS\system32\lsass.exe
svchost.exe - E:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - E:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
explorer.exe - E:\WINDOWS\Explorer.EXE
spoolsv.exe - E:\WINDOWS\system32\spoolsv.exe
jusched.exe - "E:\Program Files\Java\jre6\bin\jusched.exe"
ADeck.exe - "E:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe" 1
avp.exe - "E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
iTunesHelper.exe - "E:\Program Files\iTunes\iTunesHelper.exe"
PCSuite.exe - "E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
AppleMobileDeviceService.exe - "E:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
avp.exe - "E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" -r
mDNSResponder.exe - "E:\Program Files\Bonjour\mDNSResponder.exe"
jqs.exe - "E:\Program Files\Java\jre6\bin\jqs.exe" -service -config "E:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf"
iPodService.exe - "E:\Program Files\iPod\bin\iPodService.exe"
wscntfy.exe - E:\WINDOWS\system32\wscntfy.exe
ServiceLayer.exe - "E:\Program Files\PC Connectivity Solution\ServiceLayer.exe"
alg.exe -
NclUSBSrv.exe - {1606FCB2-9790-4B63-A99F-F5E26A806291}
NclRSSrv.exe - {A2EC53B6-4E17-4857-A0C6-5BE7DDD5D5F8}
firefox.exe - "E:\Program Files\Mozilla Firefox\firefox.exe"
cmd.exe - cmd /c ""E:\Documents and Settings\Cz-o69\Desktop\find.bat" "
cscript.exe - cscript E:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR(3)!!! ScanFile fails for E:\Documents and Settings\Cz-o69\Desktop\Crap\Treiber\New Folder\Sonstige Progis\Firefox_Setup_2.0.0.20.exe
ERROR(3)!!! ScanFile fails for E:\Documents and Settings\Cz-o69\Desktop\Crap\Treiber\New Folder\Sonstige Progis\mwav.exe
ERROR(3)!!! ScanFile fails for E:\Documents and Settings\Cz-o69\Desktop\iTunesSetup.exe
ERROR!!! Invalid Entry \??\C:\Programme\sandra\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys in HKLM\SYSTEM\CurrentControlSet\Services\SANDRA. Action Taken: No Action Taken.
ERROR!!! Invalid Entry C:\Programme\sandra\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe in HKLM\SYSTEM\CurrentControlSet\Services\SandraAgentSrv. Action Taken: No Action Taken.
ERROR(3)!!! ScanFile fails for E:\WINDOWS\system32\wdfcoinstaller01007.dll
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
E:\WINDOWS\System32\drivers\etc\hosts:
E:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 5271
Zahl der kritischen Objekte: 0
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 00:01:49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Option "Überprüfung der Laufwerke" deaktiviert
Die Überprüfung der Ordner: Deaktiviert

Batchstart: 4:52:48,85
Batchende: 4:53:02,51

Hier noch HiJackThis

Zitat:

Zitat von HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:57:24, on 03.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Java\jre6\bin\jusched.exe
E:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
E:\Program Files\iTunes\iTunesHelper.exe
E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
E:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
E:\Program Files\Bonjour\mDNSResponder.exe
E:\Program Files\Java\jre6\bin\jqs.exe
E:\Program Files\iPod\bin\iPodService.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Program Files\PC Connectivity Solution\ServiceLayer.exe
E:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
E:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\WINDOWS\system32\notepad.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AudioDeck] E:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [AVP] "E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD56A761-34A0-4DC1-83B2-555D3C54D72A}: NameServer = 195.50.140.178 195.50.140.114
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O20 - Winlogon Notify: Antiwpa - E:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Apple Mobile Device - Apple Inc. - E:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - E:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - Unknown owner - C:\Programme\sandra\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - E:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4383 bytes

Hoffe habe jetzt nicht mehr gespammt als positiv und informativ gepostet


Nunja, habe auch nach gelesen, viele bekommen dies lediglich im warsten Sinne des Wortes nur zur Warnung , möchte dennoch auf sicher gehen, vor allem da ich vor 2 Wochen noch Trojanische Pferde auf dem PC hatte... .

Würde mich über Hilfe ausser: Ist nichts, keine Sorge freuen.

Die goldenen Regeln fordern das hier: Mein Betriebssystem ist Windows XP Professional OEM SP2
Zudem verwende ich Firefox v.2.0.0.20, Kaspersky 7.0.1.325, mehr fällt mir nicht ein, was vlt. relevant sein könnte.


Danke Leute,

Hi,

Zitat:

Würde mich über Hilfe ausser: Ist nichts, keine Sorge freuen.

warum freut es dich nicht, dass das ok ist? Wenn Du aber dringend ein Problem brauchst, könnte ich dir da ein paar Dateien vermitteln, auf die Du nur noch einen Doppelklick absetzen müsstest.

http://www.trojaner-board.de/67282-i...m-helkern.html
http://www.trojaner-board.de/62523-i...m-helkern.html
http://www.trojaner-board.de/41814-i...m-helkern.html

Gruß, Karl

Mein Problem ist nur, woher weiß ich, dass der Angriff abgewehrt wurde?


Zu dem habe ich da noch fragen:

Meine Maus der Marke Genius - eine Usb Maus - lässt meinen PC sich aufhängen.
Sprich wenn ich Hochfahre, wo der Prozessor Master - Slave etc. auf gezählt werden, läuft der PC nicht, wenn die Maus angeschlossen ist.

Anderes Problem: Oben habe ich einen Pfad genannt, diese Datai 3784 oder so, lässt sich beim besten willen nicht löschen, habe schon X Progis probiert..



Danke

Zitat:

Zitat von Cz-hr-o69

Mein Problem ist nur, woher weiß ich, dass der Angriff abgewehrt wurde?

Der Angriff wurde mit großer Sicherheit abgewehrt weil der Wurm nur Rechner infiziert auf denen ein Microsoft SQL-Server läuft. Diese Sicherheitslücke wurde bereits im Jahre 2003 durch ein Sicherheitsupdate geschlossen.

Irgendein Rechner, auf dem ein SQL-Server betrieben wird, ist durch den Wurm Helkern ( er wird auch als SQL-Slammer oder Sapphire bezeichnet ) infiziert. Der Wurm versucht nun, sich weiterzuverbreiten und andere SQL-Server zu infizieren. Das versucht er, indem er komplette IP-Adressbereiche abscannt und so sozusagen nach Rechnern sucht, die die entsprechende Sicherheitslücke noch nicht geschlossen haben. Netzwerkwürmer wie Blaster und Sasser machen dasselbe. Sie "suchen" nach Rechnern ( durch das Scannen der IP-Adressbereiche ) und infizieren auf diese Weise Rechner, denen die notwendigen Sicherheits-Updates fehlen.

Man kann somit diese Meldung von Kaspersky deaktivieren und dann ist Ruhe.

Der Helkern ist damit ja wohl erledigt. Bei diesen Firewalls sollte man sich nur Sorgen um die Sachen machen, die sie nicht erkennen. Die melden sie dann aber auch nicht, also wird man sich keine Sorgen machen

Bei der Datei fallen mir zwei Varianten ein:

Entweder Du hast durch die Neuinstallation keine Zugriffsrechte mehr drauf. Es wurden neue Benutzer angelegt, die nicht automatische die Rechte der Benutzer aus der alten Windowsinstallation erben. Der Administrator hat aber das Recht, solche besitzerlos gewordenen Dateien zu übernehmen, dann kann er sie auch löschen.

Oder die Datei ist durch Windows blockiert. Windows braucht eine ganze Menge Dateien und wenn es nicht will, dass jemand anders an denen herumpfuscht, dann öffnet es sie exklusiv wodurch verhindert wird, dass andere Programme drauf zugreifen können. Eigentlich sollte man sie auf E: erwarten, aber Du hast da ein System aufgesetzt, dass sich über mehrere Platten erstreckt. In deinen Logs gibt es mehr Einträge, die auf C: zeigen.

Und was ist das?

Code: Alles auswählenAufklappen

ATTFilter

O20 - Winlogon Notify: Antiwpa - E:\WINDOWS\SYSTEM32\antiwpa.dll
         

Sags mir ....


Zum anderen.... Also, da ich erst beim 4. Anlauf WinXP installieren konnte, hatte ich nen Kollegen darum gebeten es auf E: zu machen, war ja eig. am Installieren, er hat mich nur korrigiert und aufgepasst...

Da es, wie gesagt, erst beim 4. Versuch geklappt hat, habe ich es auf E gemacht, denn wenn es dann wieder nicht klappt, habe ich noch das alte BS auf C...

Nun ja, war schwierig Win zu finden, welche auch eine OEM vers. ist.
Ein Kollege hat diese dann besorgen können, den Key bzw. License hängt ja als Sticker auf meinem Gehäuse....

Danach hat er das XP eingestellt oder so, und ist gegangen... .
Als er weg war, wollte ich C formatieren. Da dies nicht geklappt hat, habe ich alles einzelnd gelöscht, bis ich auf diese Datei kam...

Sie indentifiziert sich nicht als Datei irgendeines Programms und diese Datei ist eine "Datei", mehr nicht..... ---falls ihr mich nicht versteht, bei MP3 steht MP3-Datei und bei WMA steht Audio-Datei oder so....

Und wegen den anderen Logs auf C, kann nur SiSoft Sandra sein... .
Ansonten wüsste ich nicht, was sonst, weil sonst nix drauf ist, ausser dieser
kuriosen Datei.


Aber trotzdem mal

=)




Da ich oben noch fragen hätte... könntet ihr mir die gerade noch beantworten?

- Wieso lässt meine Maus meinen PC aufhängen, wenn er bootet?
- Wie kann ich diese Datei löschen, die nicht mal im Gebrauch ist?



Ciao

Üblicherweise wird dieses antiwpa auf Systemen installiert, die "irgendwo vom LKW gefallen sind", bzw. vom Esel

Das mit der unlöschbaren Datei scheint mir seltsam, eine sicher funktionierende Radikalkur sollte diese sein (aber ohne Garantie, dass es nicht Folgeschäden hat, dem Namen nach kann es eine Datei sein, die wichtig für Windows ist):

Lade dir den Avenger herunter und entzippe ihn auf deinen Desktop. Nicht gezippt direkt als EXE ist er hier erhältlich. Starte den Avenger und bestätige die erscheinende Warnung. Kopiere den Inhalt der folgenden Codebox vollständig und unverändert in das Fenster, danach klicke auf "Execute" und folge den Anweisungen.

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hsperfdata_Administrator\3284
         

Folge der Aufforderung, deinen Rechner neu zu starten. Nachdem der Rechner neu gestartet ist und das Dosfenster, das der Avenger geöffnet hat, wieder geschlossen ist, befindet sich das Avengerlog in C:\avenger.txt. Deren Inhalt bitte posten. Ein Backup der entfernten Objekte wurde als C:\avenger\backup.zip angelegt.

Ich persönlich würde erstmal prüfen, wie die Besitz- und Zugriffsrechte dieser Datei sind, also der anderen der beiden oben angedachten Möglichkeiten nachspüren. Als Administrator kann man in den Sicherheitseinstellungen den Besitz einer Datei übernehmen. Die Möglichkeit, dass sie vielleicht gerade geöffnet ist, lässt sich z.B. mit dem Process Explorer prüfen: Strg-F, den Namen der Datei eingeben, dann erhält man eine Liste von Prozessen, die darauf zugreifen.

Das hier, ist der Log von Avenger

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at E:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hsperfdata_Administrator\3284" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Es hat sich zwar kein Backup auf C:\Avenger\backup.zip angelegt, dafür ist die Datei die ich gelöscht habe nun auf C:\Avenger\ und genau wie vorher ist Sie dort nicht zu löschen ^^....

Soll ich den Vorgang für dort wiederholen?

Hmm nein, das dürfte sich nur im Kreis drehen. Lade dir erstmal den Prozessexplorer und versuche dort mal zu orten, ob jemand die Datei geöffnet hält.

Wenn nicht, dann als Administrator Rechtsklick auf die Datei -> Eigenschaften -> Sicherheit -> Erweitert -> Besitzer: Dort den Besitz an der Datei übernehmen.