Worm/NetSky.AA

KumpanNr3 · 17.09.2009, 14:37

Hallo!
Dem Anschein nach ist mein PC mit einem Wurm, laut Avira "Worm/Netsky.AA" genannt, infiziert, "dem Anschein nach" erkläre ich so, da mein installiertes und geupdatetes AntiVir nichts erkannte. Ich fand ihn eher zufällig mit einen Online-Scan über Kaspersky. Also brannte ich mir die aktuelle Avira Rescue Disk und führte über sie einen Scan durch. Hier wurde der Wurm wiederum gefunden. Ein Grund, der dafür spricht, dass mein PC befallen. Leider konnte ich den Wurm nicht löschen, da, sobald ich dies in den Konfigurationen einstellte, sich die CD jedesmal aufhängte (habe die Dik auch erneut gebrannt, keine Besserung) Nun zu einigen Unklarheiten bei der Sache.
Laut Avira und einigen anderen Antivirusprogrammherstellern (hier zitiere ich lediglich AntiVir, da man hier die ausführlichsten Infos liefert) macht der Wurm Folgendes:

Zitat:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\Jammer2nd.exe

Es werden folgende Dateien erstellt:

– Es wird folgende Archivdatei mit der Kopie der Malware erstellt:
• %WINDIR%\pk_zip_alg.log

– MIME enkodierte Kopie seiner selbst:
• %WINDIR%\pk_zip1.log
• %WINDIR%\pk_zip2.log
• %WINDIR%\pk_zip3.log
• %WINDIR%\pk_zip4.log
• %WINDIR%\pk_zip5.log
• %WINDIR%\pk_zip6.log
• %WINDIR%\pk_zip7.log
• %WINDIR%\pk_zip8.log

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Jammer2nd"="%WINDIR%\Jammer2nd.exe"

Auf meinem PC existieren jedoch weder diese Dateien noch ein entsprechender Eintrag in der Registry. Das macht mich stutzig und bringt mich auf den Gedanken, dass der Wurm eventuell gar nicht aktiviert wurde, sondern eben nur auf der Festplatte liegt. Dieser Gedanke wird dadurch gestützt, dass er sich über E-Mails mit Betreffs wie "Important Bill", "Informationen" etc. verbreitet, wo er sich in den Anhängen verschickt, die ähnlich naiv benannt sind. Ich bin mir eigentlich zimelich sicher, dass ich eine solche E-Mail bzw. deren Anhang niemals geöffnet habe. Und hier die Pfade, unter denen sich laut Kaspersky der Wurm finden lässt:

C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Thunderbird\Profiles\profile.default\Mail\Local Folders\Inbox/[From Mail Delivery Subsystem ][Date 24 Jan 2007 13:29:51][Subj Returned mail: see transcript for details]/message/[From xxxxx@gmx.de][Date 24 Jan 2007 13:29:50][Subj Hi]/Notice.zip/Notice.txt .exe

C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Thunderbird\Profiles\profile.default\Mail\Local Folders\Inbox/[From Mail Delivery Subsystem ][Date 24 Jan 2007 13:29:51][Subj Returned mail: see transcript for details]/message/[From xxxxx@gmx.de][Date 24 Jan 2007 13:29:50][Subj Hi]/Notice.zip

C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Thunderbird\Profiles\profile.default\Mail\Local Folders\Trash/[From Mail Delivery Subsystem ][Date 24 Jan 2007 13:29:51][Subj Returned mail: see transcript for details]/message/[From xxxxx@gmx.de][Date 24 Jan 2007 13:29:50][Subj Hi]/Notice.zip/Notice.txt .exe

C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Thunderbird\Profiles\o7r5nxr8.default\Mail\Local Folders\Trash/[From Mail Delivery Subsystem ][Date 24 Jan 2007 13:29:51][Subj Returned mail: see transcript for details]/message/[From xxxxx@gmx.de][Date 24 Jan 2007 13:29:50][Subj Hi]/Notice.zip

Könnte es denn sein, dass ich die Mails ungelesen gelöscht habe, sich so der Wurm nicht aktivieren konnte und er bzw. Fragmente von ihm, noch auf der Platte schlummern? Dennoch möchte ich das Teil natürlich loswerden.

Weiterhin wurden mir noch noch folgende Meldungen angezeigt:

"MailBerkeleymbox: infiziert - 2" bei 2 Dateien, jeweils im Profilordner vom Thunderbird unter "Mail\Local Folders\Inbox" und "Mail\Local Folders\Trash".

"Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC-based.ba", "Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c", "7-Zip: infiziert - 1" und "UPX: infiziert - 1", alle im Zusammenhang mit dem VNCViewer. Sind diese Meldungen reine heuristische Treffer? Direkt ein name eines möglichen Virus wird ja nicht genannt.

Ich versuchte bereits mit einem Removal-Tool von Avira den Wurm zu entfernen, doch fand dieses Tool ebensowenig wie der Virenscanner von avast! Dafür machte mir avast! neue Probleme, es meldete folgende Dateien als Win32:Trojan-gen{Other}:

A0031350.exe
A0031351.exe
(beide im System Volume Information\restore Ordner)

proginst.exe
proginst.exe
(jeweils in verschiedenen Ordnern)

Zu den beiden letzten Dateien gibt es scheinbar des Öfteren Probleme, sie sind standardmäßig auf Fujitsu Siemens Amilo Rechner, zu den ersten beiden kann ich nichts sagen, da diese Dateien jedoch nur von avast! gemeldet wurden denke ich, dass eine Infizierung hier eher unwahrscheinlich ist.
Viel wichtiger finde ich die infizierten Dateien und den Wurm, den Kaspersky mir gemeldet hat.

Hier einmal das HijackThis-Logfile. Ich wäre wirklich überaus dankbar, wenn sich den jemand mal anschauen könnte!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:14:01, on 17.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\o2flash.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\xxxxx\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4031D58A-DB7B-403C-A23A-995C80C314A5}: NameServer = 192.168.2.1
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 7107 bytes

Ich wäre wirklich sehr sehr dankbar, wenn ihr mir helfen könntet!

Worm/NetSky.AA

Plagegeister aller Art und deren Bekämpfung: Worm/NetSky.AA

Worm/NetSky.AA

Ähnliche Themen: Worm/NetSky.AA