Hallo allerseits,

vielleicht kann mir hier jemand helfen. Bei dem befallenen System handelt es sich um ein Samsung Netbook mit XP Home, bei dem man leider immer mit Administrator-Rechten arbeiten arbeiten muß, weil sonst die ganzen spezifischen Treiber von Samsung nicht richtig funktionieren. Ansonsten habe ich irgendwann mal die XP-Firewall ausgeschaltet und vergessen wieder zu aktivieren - aber das hätte sonst wahrscheinlich auch nix gebracht. Kein Virenscanner an Bord, da wird mir die Kiste zu langsam. Verbindung über W-Lan-Router zum WWW, gesurft wird mit FF. Die Kommunikation hier mache ich über einen anderen Rechner, Austausch mit dem befallenen Rechner über USB-Stick.

Ein spürbares Problem entstand, nachdem ich vor einiger Zeit nach Bohrequipment - auch auf englisch - gesucht habe und unter drilling kann man scheinbar auch was anderes verstehen, jedenfalls bin ich ein paar mal auf Sex-Seiten gelandet und ich nehme an, daß ich mir da was eingefangen habe (Vermutung). Vor zwei Tagen hatte ich dann Bluescreen - SecurityTools auf der Kiste. Wollte das erstmal per Hand beseitigen, hat nicht geklappt. Dann nach Empfehlungen hier und in anderen Foren CCleaner und dann SDFix, seitdem ist Ruhe.

Mußte in dieser Putzphase aber feststellen, daß ich keine Seiten mehr von Antiviren-Software aufrufen kann. Die Anfrage an den Nameserver, der in der Registry korrekt eingetragen ist (Router) schlägt fehl. Wenn man sich bei anderen Adressen vertippt, kommt eine ganz wichtige T-Online-Navigationshilfe-Seite, bei z.B. virustotal.de nur noch, daß die Seite nicht gefunden werden konnte.

Habe dann mal weitere Putzversuche unternommen, Hosts-Datei zurückgesetzt und wollte dann entsprechend einem ähnlichen Thema hier ComboFix putzen lassen. Wenn ich das versuche - auch bei geändertem Namen, teilt mir Combofix mit, die Datei sei kompromittert und beendet sich.

Denke, ich habe die A***karte gezogen. Das Netbook benutzt jetzt jemand anderes? Ein Neuaufsetzen möchte ich möglichst vermeiden, denn ich befürchte, das klappt nicht so ohne weiteres wegen den vielen spezifischen Treibern von Samsung. Wenn dann was schief geht kann ich das Ding aus dem Fenster werden.

Hier mal das was HJT ausspuckt:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:43:11, on 24.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe
C:\Programme\DesktopEarth\DesktopEarth.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32\rundll32.exe bih.dll,InitGauge
O4 - HKLM\..\Run: [SUPBackGround] C:\Programme\Samsung\Samsung Update Plus\SUPBackGround.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DesktopEarth AutoStart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D6E9511-E3F2-4484-89C2-4E6E7AD5F57C}: NameServer = 192.168.128.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8CF9F79-C179-496B-A700-0D16472CB7F8}: NameServer = 192.168.128.1
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (file missing)
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

--
End of file - 4505 bytes
         

Habe das bei hijackthis.de/de durchlaufen lassen - nur grüne Häckchen! Was nun?

Weiß schon, daß das nicht die feine Art ist sich selbst zu antworten, aber hier noch die folgende Info:

Habe mal die explorer.exe zu virustotal hochgeladen. Ergebnis: Virut!

Nach hinweisen in diesem Board habe ich jetzt mal rmvirut von avg heruntergeladen und lasse den Computer scannen. Das dauert wohl einige Stunden. Hab zwar nicht viel Hoffnung aber vielleicht hilft das.

Das kannst du dir im Grunde sparen, bei Virut ist immer neu aufsetzen und Passwortwechsel angesagt.

Ich denke, das das NEtbook eine versteckte Partition besitzt, um den Rechner in den Auslieferungszustand zu versetzen. Das sollte also recht schnell machbar sein

Wird wohl so sein. Dieses rmvirut hat alles für ok befunden und natürlich ist der Virut noch drauf. So ein schXXXX-Programm. Wahrscheinlch lachen die sich bei jedem Download von rmvirut krank bis der Notarzt kommt.

Leider habe ich wegen Arbeitsüberlastung sehr wenig Zeit, aber am liebsten würde ich es zu meinem Hobby, rauszubekommen, wer das Ding verbrochen hat. Das Ding ist sicher zum Geld verdienen gedacht, und da müßte es doch einen Weg geben, das zu recherchieren.

Von dieser versteckten Partition ist mir nix bekannt, mal sehen. Die CD's / DVD's habe ich schon mal rausgesucht. Man braucht halt ein externes Laufwerk, wird schon klappen. Ich werde hier noch berichten, weils andere vielleicht interessieren könnte und dann das Thema hoffentlich auf 'gelöst' setzen.

Danke für Deine Unterstützung!

Samsung bietet auf seinen NC10 - Netbooks eine sog. Recovery Solution an. Dabei wird bei der ersten Inbetriebnahme ein Abbild des Bestands oder irgendwas in der Art auf einer separaten Partition D: gespeichert. Die Daten dort kann man auch mit Admin-Rechten nicht einsehen.

Nachdem es jetzt sowieso egal war, hab ich das Recovery probiert (mit Neuformatierung der C:-Partition) und dann den mitgelieferten McAffee nach Aktualisierung drüberlaufenlassen, auch über die USB-Platte, auf der ich meine Daten gesichert hatte. Das System war clean, auf der USB-Platte hat er noch ein paar verseuchte Dateien gefunden (da hatte ich beim Kopieren noch was übersehen), auch mit virut verseuchte.

Danach die brandneuen Security Essentials von Winzigweich installiert, aktualisiert und damit geprüft. Keine 'Verunreinigungen' mehr gefunden.
Scheinbar reicht die Recovery-Solution also aus. Das geht so in 5-10 min, ganz gut also.

Bis man die Daten überspielt und alle Programme wieder drauf hat, dauert natürlich etwas länger...

Eine letzte eigene Antwort. Habe heute mal die Logs des Routers durchforstet. virut hat bei mir über eine Woche kontaktversuche mit folgenden Servern ausgeführt:

91.212.220.75

Code: Alles auswählenAufklappen

ATTFilter

OrgName	 RIPE Network Coordination Centre
OrgID	RIPE
Address	P.O. Box 10096
City	Amsterdam
StateProv:
PostalCode	1001EB
Country	NL

ReferralServer	whois://whois.ripe.net:43

NetRange	91.0.0.0 - 91.255.255.255
CIDR	91.0.0.0/8
NetName	91-RIPE
NetHandle	NET-91-0-0-0-1
Parent:
NetType	Allocated to RIPE NCC
NameServer	NS-PRI.RIPE.NET
NameServer	SEC1.APNIC.NET
NameServer	SEC3.APNIC.NET
NameServer	SUNIC.SUNET.SE
NameServer	TINNIE.ARIN.NET
NameServer	NS2.LACNIC.NET
Comment	These addresses have been further assigned to users in
Comment	the RIPE NCC region. Contact information can be found in
Comment	the RIPE database at http://www.ripe.net/whois
RegDate	2005-06-30
Updated	2009-05-18

# ARIN WHOIS database, last updated 2009-10-26 20	00
# Enter ? for additional hints on searching ARIN's WHOIS database.

Found a referral to whois.ripe.net	43.

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '91.212.220.0 - 91.212.220.255'

inetnum	91.212.220.0 - 91.212.220.255
netname	GR-VERTICAL-NET
descr	Group Vertical Ltd
country	RU
org	ORG-GVL2-RIPE
admin-c	VN840-RIPE
tech-c	VN840-RIPE
status	ASSIGNED PI
mnt-by	RIPE-NCC-END-MNT
mnt-by	HOSTER-RIPE-MNT
mnt-lower	RIPE-NCC-END-MNT
mnt-routes	VERTICAL-MNT
mnt-domains	VERTICAL-MNT
source	RIPE # Filtered

organisation	ORG-GVL2-RIPE
org-name	Group Vertical Ltd
org-type	OTHER
address	Levashovsky avenue 12, office 227
address	S-Petersburg
address	197110, Russia
e-mail	verticalgroup@safe-mail.net
mnt-ref	HOSTER-RIPE-MNT
mnt-by	VERTICAL-MNT
source	RIPE # Filtered

person	Vladislavov Nikolay
address	Russia, S-Petersburg
address	Levashovskiy avenue 12, off 227
e-mail	verticalgroup@safe-mail.net
phone	+79112298991
nic-hdl	VN840-RIPE
mnt-by	VERTICAL-MNT
source	RIPE # Filtered

% Information related to '91.212.220.0/24as49365'

route	91.212.220.0/24
descr	Group Vertical Ltd
origin	as49365
mnt-by	VERTICAL-MNT
source	RIPE # Filtered
         

und

218.93.205.30

Code: Alles auswählenAufklappen

ATTFilter

inetnum	  218.90.0.0 - 218.94.255.255
netname	CHINANET-JS
descr	CHINANET jiangsu province network
descr	China Telecom
descr	A12,Xin-Jie-Kou-Wai Street
descr	Beijing 100088
country	CN
admin-c	CH93-AP
tech-c	CJ186-AP
mnt-by	MAINT-CHINANET
mnt-lower	MAINT-CHINANET-JS
mnt-routes	maint-chinanet-js
changed	hostmaster@ns.chinanet.cn.net 20020209
changed	hostmaster@ns.chinanet.cn.net 20030306
status	ALLOCATED non-PORTABLE
source	APNIC

route	218.93.0.0/16
descr	CHINANET jiangsu province network
country	CN
origin	AS23650
mnt-by	MAINT-CHINANET-JS
changed	ip@jsinfo.net 20030414
source	APNIC

role	CHINANET JIANGSU
address	260 Zhongyang Road,Nanjing 210037
country	CN
phone	+86-25-86588231.+86-25-86588745
fax-no	+86-25-86588104
e-mail	ip@jsinfo.net
trouble	send anti-spam reports to spam@jsinfo.net
trouble	send abuse reports to abuse@jsinfo.net
trouble	times in GMT+8
admin-c	CH360-AP
tech-c	CS306-AP
tech-c	CN142-AP
nic-hdl	CJ186-AP
remarks	www.jsinfo.net
notify	ip@jsinfo.net
mnt-by	MAINT-CHINANET-JS
changed	dns@jsinfo.net 20090831
changed	ip@jsinfo.net 20090831
changed	hm-changed@apnic.net 20090901
source	APNIC

person	Chinanet Hostmaster
nic-hdl	CH93-AP
e-mail	anti-spam@ns.chinanet.cn.net
address	No.31 ,jingrong street,beijing
address	100032
phone	+86-10-58501724
fax-no	+86-10-58501724
country	CN
changed	dingsy@cndata.com 20070416
mnt-by	MAINT-CHINANET
source	APNIC
         

jeweils auf Port 65520, der ist nach wie vor offen.
Habe beiden mal eine abuse-mail geschrieben, auf die Gefahr hin, daß die sich totlachen.

Die Group Vertical Ltd ist anscheinend Großanbieter auf diesem Gebiet. Siehe Source of badness: Group Vertical Ltd (AS49365) | abuse.ch.
Kann man die Adreßbereiche von solchen Betrügern, die massive Schäden verursachen nicht einfach blockieren?