Hallo Gemeinde,
Bin an einen PC gerufen worden der durch Viren und Trojaner fast unbrauchbar lahmgelegt wurde. Habe die meisten der Bad Guys rausgekriegt, aber einer ist noch drin und dazu brauche ich eure Hilfe. Er versucht dauernd eine Verbindung zum Internet mit folgender Adresse herzustellen: windowsupdate.tytayty.biz.
Das Logfile ist wie folgt:

Logfile of HijackThis v1.97.7
Scan saved at 22:40:06, on 20.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\System32\xwinxrpc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Linksts.exe
C:\WINDOWS\System32\usbtapnp.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Virenprogramme\HiJackThis\hjt_V1-97-7.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = "C:\Programme\Outlook Express\msimn.exe"
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [USBTA] C:\WINDOWS\System32\usbtapnp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [wscmho] C:\WINDOWS\System32\bygviql.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [win] xwinxrpc32.exe
O4 - HKLM\..\RunServices: [win] xwinxrpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] MSlti32.exe
O4 - HKCU\..\Run: [Apwo] C:\Dokumente und Einstellungen\ruedi\Anwendungsdaten\aecr.exe
O4 - HKCU\..\Run: [winguard] wingrd16.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE

Im Auge habe ich die Dateien nvms.dll, mscb.dll und msbe.dll
Unbekannt ist mir der aecr.exe
Habt ihr mir einen Tipp?
(werde auch noch den SP1 installieren)

Danke und Gruss
bj

Dir ist bewußt, daß du nur an den Symptomen rumfrickelst!

Grund allen Übels ist das nicht gepatchte System und wenn du dies nicht zuvor patcht, dann ist eine Bereinigung noch sinnloser wie sie eh schon ist.
Siehe http://oschad.de/wiki/index.php/Virenscanner und http://www.mathematik.uni-marburg.de...c-removal.html

Die einzig vernünftige und sichere Lösung ist ein Neuaufsetzen des System, um die Vertrauenswürdigkeit wieder herzustellen.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Die version von HijackThis ist schon etwas älter, du solltest dir eine aktuelle besorgen. Auf dem System befindet sich u.a. auch noch:

http://www.sophos.de/virusinfo/analyses/w32rbotx.html

Normalerweise genügt bereits das schon, um für eine Neuinstallation zu plädieren, da das System kompromittiert ist:

http://oschad.de/wiki/index.php/Kompromittierung


Willst du trotzdem reparieren (ich rate davon ab):



E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html

Im Taskmanager beenden:

C:\WINDOWS\System32\xwinxrpc32.exe



Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):


C:\WINDOWS\System32\xwinxrpc32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ch/
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O4 - HKLM\..\Run: [wscmho] C:\WINDOWS\System32\bygviql.exe
O4 - HKLM\..\Run: [win] xwinxrpc32.exe
O4 - HKLM\..\RunServices: [win] xwinxrpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] MSlti32.exe


Überprüfe die aecr.exe hier:

http://virusscan.jotti.org/de

falls es ein Schädling ist (anzunehmen), ebenfalls fixen.


Boote in den abgesicherten Modus:

http://www.trojaner-board.de/63335-w...s-starten.html

lösche die in den Einträgen genannten Dateien (exe + dll) lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.


Besser:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen