Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung

Cz-hr-o69 · 03.01.2009, 05:11

Erst einmal schönen Morgen/Tag/Abend.

Wie in der Überschrift zu lesen: Kaspersky warnt mich vor einem Angriff namens: Intrusion.Win.MSSQL.worm.Helkern . Ob es nun geglückt ist, oder erfolgreich abgewehrt wurde, kann ich nicht sagen.
Ich hatte schon seit November ein Problem mit Viren, bis ich die Hoffnung aufgegeben habe, und Win neuinstallierte.... . Da ich nicht alle wichtigen Daten brennen konnte o.ä., habe ich Sie in die E:\ Partition geschoben, in der ich noch nie Dateien abgelegt hatte... .

Ich habe Windows in E:\ installiert und versucht C:\ zu formatieren.

2 Dateien haben mich das zu verhindern gewusst. Die erste war von Acrobat Player, welche ich mit Hilfe von google und "Ausschneiden + Kopieren" löschen konnte. Die andere ist: 3284. Der genaue Pfad: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hsperfdata_Administrator\3284.
Diese Datei kann ich weder verschieben, kopieren, umbenennen und vor allem nicht löschen!!!

Zurück zum eigentlichen Grund... .

Der Angriff kommt immer von einer anderen IP, bei meiner rechaerchen habe ich heraus gefunden, dass es BOTs wären.... und zu meist aus China kommen sollen.

In diesem Board habe ich einen ähnlichen Thread gefunden, wollte aber nicht dort um Hilfe beten, dort wurde nach einem Scan-Log mit eScan verlangt.

Den Poste ich dann mal:

Zitat:

Zitat von eScan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 10.0.60
Sprache: German
E:\DOCUME~1\Cz-o69\LOCALS~1\Temp\MWAV.LOG

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
Scannen Spyware: Deaktiviert
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - E:\WINDOWS\system32\services.exe
lsass.exe - E:\WINDOWS\system32\lsass.exe
svchost.exe - E:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - E:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
explorer.exe - E:\WINDOWS\Explorer.EXE
spoolsv.exe - E:\WINDOWS\system32\spoolsv.exe
jusched.exe - "E:\Program Files\Java\jre6\bin\jusched.exe"
ADeck.exe - "E:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe" 1
avp.exe - "E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
iTunesHelper.exe - "E:\Program Files\iTunes\iTunesHelper.exe"
PCSuite.exe - "E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
AppleMobileDeviceService.exe - "E:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
avp.exe - "E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" -r
mDNSResponder.exe - "E:\Program Files\Bonjour\mDNSResponder.exe"
jqs.exe - "E:\Program Files\Java\jre6\bin\jqs.exe" -service -config "E:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf"
iPodService.exe - "E:\Program Files\iPod\bin\iPodService.exe"
wscntfy.exe - E:\WINDOWS\system32\wscntfy.exe
ServiceLayer.exe - "E:\Program Files\PC Connectivity Solution\ServiceLayer.exe"
alg.exe -
NclUSBSrv.exe - {1606FCB2-9790-4B63-A99F-F5E26A806291}
NclRSSrv.exe - {A2EC53B6-4E17-4857-A0C6-5BE7DDD5D5F8}
firefox.exe - "E:\Program Files\Mozilla Firefox\firefox.exe"
cmd.exe - cmd /c ""E:\Documents and Settings\Cz-o69\Desktop\find.bat" "
cscript.exe - cscript E:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR(3)!!! ScanFile fails for E:\Documents and Settings\Cz-o69\Desktop\Crap\Treiber\New Folder\Sonstige Progis\Firefox_Setup_2.0.0.20.exe
ERROR(3)!!! ScanFile fails for E:\Documents and Settings\Cz-o69\Desktop\Crap\Treiber\New Folder\Sonstige Progis\mwav.exe
ERROR(3)!!! ScanFile fails for E:\Documents and Settings\Cz-o69\Desktop\iTunesSetup.exe
ERROR!!! Invalid Entry \??\C:\Programme\sandra\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys in HKLM\SYSTEM\CurrentControlSet\Services\SANDRA. Action Taken: No Action Taken.
ERROR!!! Invalid Entry C:\Programme\sandra\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe in HKLM\SYSTEM\CurrentControlSet\Services\SandraAgentSrv. Action Taken: No Action Taken.
ERROR(3)!!! ScanFile fails for E:\WINDOWS\system32\wdfcoinstaller01007.dll
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
E:\WINDOWS\System32\drivers\etc\hosts:
E:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 5271
Zahl der kritischen Objekte: 0
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 00:01:49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Option "Überprüfung der Laufwerke" deaktiviert
Die Überprüfung der Ordner: Deaktiviert

Batchstart: 4:52:48,85
Batchende: 4:53:02,51

Hier noch HiJackThis

Zitat:

Zitat von HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:57:24, on 03.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Java\jre6\bin\jusched.exe
E:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
E:\Program Files\iTunes\iTunesHelper.exe
E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
E:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
E:\Program Files\Bonjour\mDNSResponder.exe
E:\Program Files\Java\jre6\bin\jqs.exe
E:\Program Files\iPod\bin\iPodService.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Program Files\PC Connectivity Solution\ServiceLayer.exe
E:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
E:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\WINDOWS\system32\notepad.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AudioDeck] E:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [AVP] "E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD56A761-34A0-4DC1-83B2-555D3C54D72A}: NameServer = 195.50.140.178 195.50.140.114
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O20 - Winlogon Notify: Antiwpa - E:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Apple Mobile Device - Apple Inc. - E:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - E:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - Unknown owner - C:\Programme\sandra\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - E:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4383 bytes

Hoffe habe jetzt nicht mehr gespammt als positiv und informativ gepostet

Nunja, habe auch nach gelesen, viele bekommen dies lediglich im warsten Sinne des Wortes nur zur Warnung , möchte dennoch auf sicher gehen, vor allem da ich vor 2 Wochen noch Trojanische Pferde auf dem PC hatte... .

Würde mich über Hilfe ausser: Ist nichts, keine Sorge freuen.

Die goldenen Regeln fordern das hier: Mein Betriebssystem ist Windows XP Professional OEM SP2
Zudem verwende ich Firefox v.2.0.0.20, Kaspersky 7.0.1.325, mehr fällt mir nicht ein, was vlt. relevant sein könnte.

Danke Leute,

Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung

Plagegeister aller Art und deren Bekämpfung: Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung

Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung

Ähnliche Themen: Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung