hallo miteinander!
in unserem netzwerk trat am dienstag eine meldung des nachrichtendienstes auf, dass mcafee eine datei namens ntsvc.exe mit dem virus W32.gaobot.worm.gen.f nicht säubern konnte. die firewall brachte ein paar zugansversucher, die ich ablehnte. die datei ntsvc.exe hat 0 KB. alle anzeichen auf diesen wurm sind ausgeblieben (dateien in der regedit, sperren der Antivirenseiten ...). das removal tool von symantec hat auch nichts gefunden, und das programm spybot 1.3 hat etwas namens alexa und main pean gefunden.
jetzt hab ich auf unserem letzten rechner eine geänderte hosts datei mit gesperrten webseiten gefunden (ein programm hat dort einen trojaner entdeckt) und ntsvc.exe gefunden - was macht die? ist sie wichtig? kann ich sie löschen?
hier das log:

Logfile of HijackThis v1.98.2
Scan saved at 11:17:41, on 10.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\W2K\System32\smss.exe
C:\W2K\system32\winlogon.exe
C:\W2K\system32\services.exe
C:\W2K\system32\lsass.exe
C:\W2K\System32\termsrv.exe
C:\W2K\system32\svchost.exe
C:\W2K\system32\spoolsv.exe
C:\W2K\System32\msdtc.exe
C:\Programme\Gemeinsame Dateien\Network Associates\Alert Manager\amgrsrvc.exe
E:\Von_C\ComputerAssociates\ARCserve\DBENG.exe
E:\Von_C\ComputerAssociates\ARCserve\jobeng.exe
E:\Von_C\ComputerAssociates\ARCserve\RDS.EXE
E:\Von_C\ComputerAssociates\ARCserve\msgeng.exe
E:\Von_C\ComputerAssociates\ARCserve\tapeeng.exe
E:\Von_C\ComputerAssociates\ARCserve\casmrtbk.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\W2K\System32\tcpsvcs.exe
C:\W2K\System32\svchost.exe
E:\Von_C\ComputerAssociates\InocuLAN\INOJOBSV.EXE
C:\W2K\System32\llssrv.exe
C:\W2K\LogWatNT.exe
C:\W2K\System32\sfmprint.exe
C:\Programme\Network Associates\NetShield 2000\Mcshield.exe
C:\Programme\Network Associates\NetShield 2000\VsTskMgr.exe
C:\W2K\system32\ntsvc.exe
C:\W2K\system32\regsvc.exe
C:\W2K\system32\MSTask.exe
C:\W2K\System32\snmp.exe
C:\W2K\system32\stisvc.exe
C:\W2K\System32\WBEM\WinMgmt.exe
C:\W2K\System32\wins.exe
C:\W2K\system32\svchost.exe
C:\W2K\system32\Dfssvc.exe
C:\W2K\System32\dns.exe
C:\W2K\System32\inetsrv\inetinfo.exe
C:\W2K\System32\mqsvc.exe
C:\Programme\ComputerAssociates\ARCserveITDS\asdscsvc.exe
C:\Programme\ComputerAssociates\ARCserveITDS\Liccheck.exe
C:\W2K\System32\svchost.exe
C:\W2K\System32\locator.exe
C:\W2K\Explorer.EXE
C:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE
C:\W2K\system32\internat.exe
E:\Von_C\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
E:\Von_C\ComputerAssociates\InocuLAN\realmon.exe
E:\Von_C\FRITZ!\IWatch.exe
C:\W2K\explorer.exe
G:\Wartung\virenentfernung\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 190.100.100.1:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\von_c\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Von_C\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\W2K\System32\msdxm.ocx
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [NT Services] ntsvc.exe
O4 - HKLM\..\RunServices: [NT Services] ntsvc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Von_C\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InoculateIT Realtime Monitor.LNK = E:\Von_C\ComputerAssociates\InocuLAN\realmon.exe
O4 - Global Startup: ISDNWatch.lnk = E:\Von_C\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Von_C\MS Office 2000 Premium\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\W2K\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\W2K\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{66C951BD-8CE7-489D-84CA-0BFA2E39B1A1}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6B96BC9-66C4-4FE2-A081-62516429088C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC5D4A50-BAEF-4295-B509-813C3E6276FD}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB78CE71-E943-4CCE-9093-C7E45F90274A}: NameServer = 194.25.2.129,195.20.224.234


kann mir jemand weiterhelfen?
danke im voraus.

ich habs gefunden:
Zu überprüfende Datei: ntsvc.exe
ntsvc.exe - packed with Morphinentsvc.exe - packed with UPXntsvc.exe Infiziert: Backdoor.Agobot.gen Statistiken:Bekannte Viren: 98853 Updated: 10-09-2004
Größe der Datei (Kb): 108 Viren-Korpus: 1
Datei: 3 Warnungen: 0
Archive: 0
was mache ich jetzt? kann sich sowas übers lokale netzwerk verbreiten?

Agobot erlaubt einem Angreifer, weitreichend in dein System einzugreifen, es ist kompromittiert bzw. nicht mehr vertrauenswürdig:

http://www.viruslist.com/eng/viruslist.html?id=723245

http://oschad.de/wiki/index.php/Kompromittierung

Um sicher zu sein, müsstest du das System neu aufsetzen, kein Virenscanner kann wirklich garantieren, dass nicht bspw. Systemdateien manipuliert wurden.

Ansonsten lass mal dieses Programm im abgesicherten Modus durchlaufen (nach Update):

http://www.trojaner-board.de/42731-escan-anleitung.html

und erstelle danach ein neues Logfile im normalen Modus und schreib dazu, was E-Scan evtl. noch entdeckt hat.

ok, danke schon mal.
das werd ich machen.

hier die log des e-scan:
[0x000001e8] 13/09/2004 08:07:56:328 :[msvLclnt.dll]ModuleName = C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com
[0x000001e8] 13/09/2004 08:07:56:328 :[msvLclnt.dll]WARNING!!! "Autokey" Not Found
[0x000001e8] 13/09/2004 08:07:58:852 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):
[0x000001e8] 13/09/2004 08:07:58:852 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x000001e8] 13/09/2004 08:07:58:852 :[msvLclnt.dll]TimeOut : ffffffff
[0x000001e8] 13/09/2004 08:07:58:852 :[msvLclnt.dll]Priority : NORMAL
[0x000001e8] 13/09/2004 08:07:59:623 :[msvLclnt.dll]VirusCount = 103467 Latest Date = 2004/09/08
[0x00000224] 13/09/2004 08:09:17:064 :[msvLclnt.dll][00000001] File C:\W2K\system32\demm386.exe infected by Backdoor.Rbot.gen
[0x00000224] 13/09/2004 08:09:17:856 :[msvLclnt.dll][00000001] File C:\W2K\system32\demm386.exe infected by Backdoor.Rbot.gen
[0x00000224] 13/09/2004 08:09:30:814 :[msvLclnt.dll][00000001] File C:\W2K\system32\ethernet32m.exe infected by Backdoor.Win32.SdBot.sd
[0x00000224] 13/09/2004 08:09:33:528 :[msvLclnt.dll][00000001] File C:\W2K\system32\ethernet32m.exe infected by Backdoor.Win32.SdBot.sd
[0x00000224] 13/09/2004 08:11:21:073 :[msvLclnt.dll][00000001] File C:\W2K\system32\TFTP1788.vir infected by Backdoor.Rbot.gen
[0x00000224] 13/09/2004 08:11:22:365 :[msvLclnt.dll][00000001] File C:\W2K\system32\TFTP1788.vir infected by Backdoor.Rbot.gen
[0x00000224] 13/09/2004 08:11:36:905 :[msvLclnt.dll][00000001] File C:\W2K\system32\winservicess.exe infected by Backdoor.SdBot.ni
[0x00000224] 13/09/2004 08:11:36:935 :[msvLclnt.dll][00000001] File C:\W2K\system32\winservicess.exe infected by Backdoor.SdBot.ni
[0x00000224] 13/09/2004 08:11:42:363 :[msvLclnt.dll]VirusCount = 103467 Latest Date = 2004/09/08
[0x000001e8] 13/09/2004 08:12:45:114 :[msvLclnt.dll]VirusCount = 103467 Latest Date = 2004/09/08


wer kann mir was dazu sagen?
ist der virus nach e-scan noch auf dem rechner? oder wird er einfach nur umbenannt? ist er dann noch aktiv?
danke im voraus!

Hm, so ein Logfile kenne ich gar nicht von E-Scan, wo hast du das rauskopiert? Normalerweise steht in dem Log auch drin, was er gemacht hat, also ob umbenannt oder gelöscht. Hast du auch diese Version oder eine andere:

http://www.mwti.net/antivirus/free_utilities.asp

Nachdem aber nun auch offenbar noch mehrere andere Backdoorprogramme auf dem Rechner sind, kann ich nur die Empfehlung der Neuinstallation wiederholen.

hoppla, falscher thread!

diese backdoor hat agobot abgelegt.

wenn win nicht gesichert ist (updates) schauts schlecht aus.
man sollte derzeit tunlichst vermeiden ins internet zu klicken.

günstig wäre mit einer bootcd oder sicherheitsdiscette von deinem virenscanner mal arbeiten. (ich hoffe du erstellst manchmal welche) diese malware ist eh schon alt.

leere zuminderst mal den ordner TEMP wo vermerke sind.

rock

@ MountainKing:
hallo!

Zitat:

Zitat von MountainKing

Hm, so ein Logfile kenne ich gar nicht von E-Scan, wo hast du das rauskopiert? Normalerweise steht in dem Log auch drin, was er gemacht hat, also ob umbenannt oder gelöscht.

meinst du das hier:
...
Mon Sep 13 08:08:35 2004 => ERROR!!! Invalid Entry "C:\W2K\system32\ntsvc.exe" -service in SYSTEM\CurrentControlSet\Services\NT Services...
Mon Sep 13 08:09:17 2004 => File C:\W2K\system32\demm386.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
Mon Sep 13 08:09:33 2004 => File C:\W2K\system32\ethernet32m.exe infected by "Backdoor.Win32.SdBot.sd" Virus. Action Taken: File Renamed.
Mon Sep 13 08:11:22 2004 => File C:\W2K\system32\TFTP1788.vir infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
Mon Sep 13 08:11:34 2004 => *** File C:\W2K\system32\webfldrs.msi having Size Restriction ***
Mon Sep 13 08:11:34 2004 => Scanning File C:\W2K\system32\webfldrs.msi [**]
Mon Sep 13 08:11:34 2004 => Scanning File C:\W2K\system32\webhits.dll
Mon Sep 13 08:11:34 2004 => *** File C:\W2K\system32\webvw.dll having Size Restriction ***
Mon Sep 13 08:11:34 2004 => *** File C:\W2K\system32\WIN32K.SYS having Size Restriction ***
Mon Sep 13 08:11:36 2004 => File C:\W2K\system32\winservicess.exe infected by "Backdoor.SdBot.ni" Virus. Action Taken: File Renamed.
...
Mon Sep 13 08:11:42 2004 => ***** Scanning complete. *****

Mon Sep 13 08:11:42 2004 => Total Number of Files Scanned: 2618
Mon Sep 13 08:11:42 2004 => Total Number of Virus(es) Found: 4
Mon Sep 13 08:11:42 2004 => Total Number of Disinfected Files: 0
Mon Sep 13 08:11:42 2004 => Total Number of Files Renamed: 4
Mon Sep 13 08:11:42 2004 => Total Number of Deleted Files: 0
Mon Sep 13 08:11:42 2004 => Total Number of Errors: 1
Mon Sep 13 08:11:42 2004 => Time Elapsed: 00:03:24
Mon Sep 13 08:11:42 2004 => Virus Da
tabase Date: 2004/09/08
Mon Sep 13 08:11:42 2004 => Virus Database Count: 103467

Mon Sep 13 08:11:42 2004 => Scan C
ompleted.

Mon Sep 13 09:41:27 2004 => ***** Scanning complete. *****
Mon Sep 13 09:35:08 2004 => ERROR!!! Invalid Entry "C:\W2K\system32\ntsvc.exe" -service in SYSTEM\CurrentControlSet\Services\NT Services...

Mon Sep 13 09:41:27 2004 => Total Number of Files Scanned: 2656
Mon Sep 13 09:41:27 2004 => Total Number of Virus(es) Found: 0
Mon Sep 13 09:41:27 2004 => Total Number of Disinfected Files: 0
Mon Sep 13 09:41:27 2004 => Total Number of Files Renamed: 0
Mon Sep 13 09:41:27 2004 => Total Number of Deleted Files: 0
Mon Sep 13 09:41:27 2004 => Total Number of Errors: 1
Mon Sep 13 09:41:27 2004 => Time Elapsed: 00:07:01
Mon Sep 13 09:41:28 2004 => Virus Database Date: 2004/09/08
Mon Sep 13 09:41:28 2004 => Virus Database Count: 103467

Mon Sep 13 09:41:28 2004 => Scan Completed.



Mon Sep 13 09:42:20 2004 => Virus Database Date: 2004/09/08
Mon Sep 13 09:42:20 2004 => Virus Database Count: 103467
Mon Sep 13 09:42:25 2004 => AV Library Unloaded (3)...

und @ rock:
mit dem infizierten rechner gehen wir nicht ins internet, damit holen und schreiben wir e-mails - leider mit outlook !
edit: sch.. schreibfehler

"mit dem infizierten rechner gehen wir nicht ins internet, damit holen und schreiben wir e-mails - leider mit outlook !"

*staun* Wie macht ihr das? Mit Brieftauben?

Ja, das Log meinte ich, also hat E-Scan die gefundenen Sachen umbenannt. Laut E-Scan wäre der Rechner jetzt ja "sauber", aber da jemand von Außen Zugriff hatte oder hätte haben können, lässt sich nicht wirklich sagen, was evtl. manipuliert wurde, das Sicherste wäre, ich bleibe dabei, eine Neuinstallation. Deine Entscheidung.

vielen vielen dank für die hilfe!!!

und jetzt müsste eigentlich der smiley mit dem daumen nach oben kommen ...