Habe gestern bei MSN folgende Nachricht von einem Kumpel bekommen:
"guck dir ma das bild an erinnerste dich noch dran? wa ne peinliche aktion wa? :P htp://imagesupload.biz/viewimage.php?=*hier stand meine Mail*"

Ich habe auf den Link geklickt (man denkt ja erst mal an nichts schlimmes bei Leuten die man kennt; übrigens meinte mein Kumpel, er hätte es auch nicht selbst geschickt). Daraufhin wurde Vista kurzzeitig etwas langsam und die selbe Nachricht wurde automatisch an 2 weitere Leute verschickt (die auch online waren).

Hab' dann im I-net etwas gesucht und offenbar handelt es sich dabei um einem MSN-Wurm, anschließend habe ich meinen PC mit dem "Microsoft Windows-Tool zum Entfernen bösartiger Software" gescannt sowie das selbe nochmal mit MC Afee Virenscanner und sicherheitshalber Spybot. Bei keinem wurde was gefunden.

Will aber doch noch sicher gehen, hier der HijackThis-Log:
Was wären denn die ersten Symptome, wenn ich den Virus/Wurm denn hätte?.

Guten Morgen!

Fixe bitte folgenden Eintrag:

Zitat:

O1 - Hosts: # Copyright (c) 1993-2006 Microsoft Corp.

Welche IPs stehen hier?

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B8BE12F-08BB-4E5F-BB34-825BC57721A4}: NameServer = xxx.xxx.x.xxx
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B8BE12F-08BB-4E5F-BB34-825BC57721A4}: NameServer = xxx.xxx.x.x

IPs bitte nicht editieren! Damit kann eh niemand was anfangen..

Hallo,
da steht:

Code: Alles auswählenAufklappen

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B8BE12F-08BB-4E5F-BB34-825BC57721A4}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B8BE12F-08BB-4E5F-BB34-825BC57721A4}: NameServer = 192.168.0.1
         

Wie gesagt, mir ist zwar noch nichts auffälliges aufgefallen, aber man weis ja nie.. .

Gut, das sind deine IPs.

Wenn du bereits Links verschickt hast dann ist der Trojaner aktiv!

Du solltest deine Kontakte warnen und den Rechner physikalisch vom Netz trennen! => LAN-Stecker ziehen.

Die benötigten Progs und die logs retoure solltest du über einen sauberen PC downloaden und schicken.

Hallo concorde,

bitte klicke umgehend auf Editieren und ändere http in htp.

Code: Alles auswählenAufklappen

ATTFilter

Datei DSC07783.JPEG_www.imagesupload.bi empfangen 2009.01.18 11:37:44 (CET)
Status:    Beendet 
Ergebnis: 23/39 (58.98%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2009.01.18	Backdoor.Win32.SdBot!IK
AhnLab-V3	2009.1.15.0	2009.01.17	Win-Trojan/Inject.626688.B
AntiVir	7.9.0.57	2009.01.17	PCK/Armadillo
Authentium	5.1.0.4	2009.01.17	W32/Trojan3.IA
Avast	4.8.1281.0	2009.01.16	Win32:IRCBot-BSX
AVG	8.0.0.229	2009.01.17	Generic_c.ADIZ
BitDefender	7.2	2009.01.18	MemScan:Backdoor.IRCBot.ACNF
CAT-QuickHeal	10.00	2009.01.17	Backdoor.SdBot.iwa
ClamAV	0.94.1	2009.01.18	-
Comodo	935	2009.01.18	Backdoor.Win32.SdBot.~FV
DrWeb	4.44.0.09170	2009.01.18	-
eSafe	7.0.17.0	2009.01.15	-
eTrust-Vet	31.6.6312	2009.01.17	Win32/Rbot.JKY
F-Prot	4.4.4.56	2009.01.17	W32/Trojan3.IA
F-Secure	8.0.14470.0	2009.01.18	-
Fortinet	3.117.0.0	2009.01.15	-
GData	19	2009.01.18	MemScan:Backdoor.IRCBot.ACNF
Ikarus	T3.1.1.45.0	2009.01.18	Backdoor.Win32.SdBot
K7AntiVirus	7.10.594	2009.01.17	Backdoor.Win32.SdBot.iux
Kaspersky	7.0.0.125	2009.01.18	Backdoor.Win32.SdBot.jpv
McAfee	5498	2009.01.17	-
McAfee+Artemis	5498	2009.01.17	Generic!Artemis
Microsoft	1.4205	2009.01.18	Worm:Win32/Pushbot.gen
NOD32	3774	2009.01.17	IRC/SdBot
Norman	5.93.01	2009.01.16	-
nProtect	2009.1.8.0	2009.01.16	Trojan/W32.Inject.626688
Panda	9.5.1.2	2009.01.17	-
PCTools	4.4.2.0	2009.01.17	-
Prevx1	V2	2009.01.18	-
Rising	21.12.62.00	2009.01.18	Backdoor.Win32.SdBot.fmg
SecureWeb-Gateway	6.7.6	2009.01.17	Packer.Armadillo
Sophos	4.37.0	2009.01.18	-
Sunbelt	3.2.1835.2	2009.01.16	-
Symantec	10	2009.01.18	-
TheHacker	6.3.1.5.222	2009.01.17	-
TrendMicro	8.700.0.1004	2009.01.16	-
VBA32	3.12.8.10	2009.01.17	Trojan.Win32.Inject.jux
ViRobot	2009.1.17.1563	2009.01.17	-
VirusBuster	4.5.11.0	2009.01.17	Worm.SdBot.ADHC
weitere Informationen
File size: 634880 bytes
MD5...: c4c26c6a12e36fefcb0702f3f959852b
SHA1..: 44f8cc37515e01b8fb73df0336deca3ae56edc69
SHA256: 6809a2663a326524c2e1f0586ea10b18613aa4040267e54f492540c93c440330
SHA512: 6b47a78a71ef00acb64b5483ba1bb60fcf30db307a8bd0e81b6e0c4c8f46d2c9
2f39408add80e34ae91ccfe574211557131cae8f50e7f68f1461bc3a4c49eadf
ssdeep: 12288:diWaUgLDhOPo0VdfG1mIn0sSelRnlUZrHQg:diWDgLAJH6m0hl9lUtw
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x484dd2
timedatestamp.....: 0x4970a2f8 (Fri Jan 16 15:08:40 2009)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x40a8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x6000 0xc10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x7000 0x451bc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.text1 0x4d000 0x50000 0x42000 6.44 b1078f14803056b4994f6cec9c7bb064
.adata 0x9d000 0x10000 0xd000 0.00 938d6d97628275a512e07c66be5ccecf
.data1 0xad000 0x20000 0xb000 3.72 022040de35a86de19b0026d50c6c64a9
.pdata 0xcd000 0x40000 0x3e000 8.00 fce4cfdb9fefe4446ac8d1594b8a82f3
.rsrc 0x10d000 0x2000 0x2000 3.04 3fc091a06cac948526c44567fca7f8aa

( 3 imports ) 
> KERNEL32.dll: CreateThread, GlobalUnlock, GlobalLock, GlobalAlloc, GetTickCount, WideCharToMultiByte, IsBadReadPtr, GlobalAddAtomA, GlobalAddAtomW, GetModuleHandleA, GlobalFree, GlobalGetAtomNameA, GlobalDeleteAtom, GlobalGetAtomNameW, FreeConsole, GetEnvironmentVariableA, VirtualProtect, VirtualAlloc, GetProcAddress, GetLastError, LoadLibraryA, SetLastError, SetThreadPriority, GetCurrentThread, CreateProcessA, GetCommandLineA, GetStartupInfoA, SetEnvironmentVariableA, ReleaseMutex, WaitForSingleObject, CreateMutexA, OpenMutexA, GetCurrentThreadId, CreateFileA, FindClose, FindFirstFileA, FindFirstFileW, VirtualQueryEx, GetExitCodeProcess, ReadProcessMemory, UnmapViewOfFile, ContinueDebugEvent, SetThreadContext, GetThreadContext, WaitForDebugEvent, SuspendThread, DebugActiveProcess, ResumeThread, CreateProcessW, GetCommandLineW, GetStartupInfoW, CloseHandle, DuplicateHandle, GetCurrentProcess, CreateFileMappingA, VirtualProtectEx, WriteProcessMemory, ExitProcess, FlushFileBuffers, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, LCMapStringW, MultiByteToWideChar, LCMapStringA, HeapSize, HeapReAlloc, QueryPerformanceCounter, VirtualFree, HeapCreate, HeapDestroy, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, RtlUnwind, DeleteCriticalSection, GetStdHandle, WriteFile, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, Sleep, EnterCriticalSection, LeaveCriticalSection, GetVersionExA, InitializeCriticalSection, GetCurrentProcessId, GetModuleFileNameW, GetShortPathNameW, GetModuleFileNameA, MapViewOfFile, GetShortPathNameA, GetSystemTimeAsFileTime, HeapFree, HeapAlloc, GetProcessHeap, RaiseException, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage
> USER32.dll: GetDesktopWindow, MoveWindow, SetPropA, EnumThreadWindows, GetPropA, GetMessageA, GetSystemMetrics, SetTimer, GetAsyncKeyState, KillTimer, BeginPaint, EndPaint, SetWindowTextA, GetDlgItem, CreateDialogIndirectParamA, ShowWindow, UpdateWindow, LoadStringA, LoadStringW, FindWindowA, WaitForInputIdle, MessageBoxA, InSendMessage, UnpackDDElParam, FreeDDElParam, DefWindowProcA, LoadCursorA, RegisterClassW, CreateWindowExW, RegisterClassA, CreateWindowExA, GetWindowThreadProcessId, SendMessageW, SendMessageA, PeekMessageA, TranslateMessage, DispatchMessageA, EnumWindows, IsWindowUnicode, PackDDElParam, PostMessageW, PostMessageA, IsWindow, DestroyWindow
> GDI32.dll: CreateDCA, CreateDIBitmap, CreateCompatibleDC, SelectObject, SelectPalette, RealizePalette, BitBlt, DeleteDC, DeleteObject, CreatePalette

( 0 exports ) 
packers (Kaspersky): Armadillo
packers (Avast): Armadillo
         

Sorry für die Störung.

ciao, andreas

Da ist ja die Kavallarie...

Ich hab' auch grad egesehen was da los ist.

Backdoor.Win32.SdBot.jpv

Damit hat sich Combofix und AVZ erledigt.


Trenne den Rechner wie gesagt vom Netz und setzte ihn neu auf.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Zitat:

Zitat von undoreal

Gut, das sind deine IPs.

Wenn du bereits Links verschickt hast dann ist der Trojaner aktiv!

Du solltest deine Kontakte warnen und den Rechner physikalisch vom Netz trennen! => LAN-Stecker ziehen.

Die benötigten Progs und die logs retoure solltest du über einen sauberen PC downloaden und schicken.

Werde ich mal gleich machen.. . Zu dem ersten Punkt, wenn ich auf fix drücke, erhalte ich folgende Fehlermeldung:
Anscheinend verteilt er die Nachricht aber nicht mehr, es waren soweit ich weis nur 2 Leute, andere haben den Link offenbar nicht erhalten (habe noch 2-3 Personen gefragt :O)

Wenn ich mbr starte, steht da

*EDIT*

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Gut der MBR ist in Ordnung.

Dann kannst du weitermachen den Reccner zu formatieren.

PS: Editiere unbedingt den Link! aus deinem ersten Post so wie john.doe es dir empfohlen hat!

Habe das http durch htp ersetzt, oder soll ich es ganz entfernen?.

Bevor ich aber nun neuinstalliere, habe ich "ganz sicher" den Wurm oder "denkst du" ,dass ich ihn habe und bist dir nicht zu 100% sicher?.
Soweit ich weis, habe ich nichts installiert, habe erst nur auf den Link geklickt, aber nichts ausgeführt.. .

Ganz entfernen ist wohl besser.

Also wenn du den Link an weitere Kontakte verschickt hast dann bist du sicher infiziert! Wenn nicht dann müsste wir uns das angucken. Aber wenn dein Rechner Links verschickt hat die zur schädlichen Datei führen dann hat das der Wurm gemacht. Und damit ist er als aktiv einzustufen.

Hier nochmal ein Log, dieses mal habe ich HijackThis (wie du gesagt hast), von einem anderen PC runtergeladen und es dann nochmal überprüfen lassen, sieht aber gleich aus:

Wenn der Trojaner aktiv wäre, müsste er nicht auch weiterhin die Link verschicken, oder reichen 1-2x aus?.

Sorry vergessen einzufügen:

Wenn er den Link verschickt hat, ist er aktiv. Da gibt es leider nichts drann zu rütteln.

Werde wohl sicherheitshalber neuinstallieren... .

Eine Frage noch: Ich habe 2 Partitionen , eine mit Windows und eine für Musik/Dokumente/Videos/Bilder.. .Kann ich wenigstens die Daten auf der anderen Partition sichern, oder wurden die auch irgendwie infiziert? (auch wenn ich da nochmal alles gescannt habe und nichts erkannt wurde)