Hallo Leute,

ich kenne diese Seite schon EWIG - als Besucher - und habe die hier
gelieferten Informationen immer sehr dankbar genutzt und/oder einfach
nur Interesse halber verfolgt. Doch meine derzeitigen Probleme machten
das Reggen in diesem Forum unumgänglich, da ich massive Probleme mit
Würmern/Trojanern habe.

Ich bitte auch im Entschuldigung, daß ich nicht die Suche bemühen werde,
denn dazu habe ich keine Zeit, denn gleich bin ich wahrscheinlich wieder
weg.

Alsooo....ich hatte noch NIE Würmer, weder organische noch virtuelle - bis
HEUTE!! Ich bin von dem sicheren Hafen AOL zu einem privaten, lokalen
ISP gewechselt, hatte dummerweise nicht alle Sicherheitspatches für XP
installiert (lediglich SP 1) und bei meiner allerersten Einwahl am heutigen
(nun eigentlich gestrigen) Tage über eine manuell konfigurierte Netzwerk-
verbindung hagelte es sofort Wurmwarnungen von meinem Antivir. Aber da
war es wohl schon zu spät.

Folgende Dinger habe ich mir eingefangen:

- Korgo.U
- Worm/Forbot.102400
- Worm/Wootbot.108032
- Rbot.SU
- Rvss.A.

Ich habe zumindest für Korgo und Forbot Removal-Tools im Internet gefunden,
diese angewendet und auch eine Sicherheitslücke bei Win XP geschlossen mit
diesem Patch: WindowsXP-KB835732-x86-ENU.EXE.

Dennoch habe ich folgende Symptome:

Nach einigen Minuten im Internet geht plötzlich gar nichts mehr. Der IE lässt
sich nicht mehr bedienen, ist quasi eingefroren (lässt sich zwar schließen, aber
nicht wieder neu öffnen), ebenso die Internetvebindung an sich (lässt sich
weder beenden noch neu starten), der Task Manager funktioniert dann auch
nicht mehr (lässt sich mit Strg-Alt-Entf nicht aufrufen, es kommt nur die
Sanduhr), keine Ordner lässt sich mehr öffnen, wenn ich auf Arbeitsplatz klicke
geht ein weißes Fenster auf und die suchende Taschenlampe erscheint. Dann
hilft nur noch ein Neustart mit Gewalt (Knöpfchen drücken), da ein normales
Runterfahren auch nicht möglich ist.

Meine Fragen:

- Um wieviele verschiedene Würmer/Trojaner handelte es sich tatsächlich? Ich
meine nämlich bereits herausgefunden zu haben, daß es sich zum Beispiel bei
Forbot und Wootbot um das gleiche Dingen handelt?

Auf der anderen Seite habe ich z.B. über Rvss.A und Rbot.SU echt GAR NICHTS
im Internet gefunden.


- Wo finde ich passende Removal-Tools für ALLE 5? (Nicht gleichzeitig - jeweils)

- Welche Dinger sind für die beschriebenen Probleme verantwortlich? Und das,
obwohl ich die beiden schlimmsten (Korgo und Forbot) eigentlich erfolgreich
entfernt haben müßte. Eigentlich müßte alles weg sein, denn Antivir (mit den
allerneusten Definitionen von gestern) findet NIX mehr!! Ich habe das Proggy
heute schon mehrmals durchlaufen lassen. Ich hatte allerdings auch gelesen,
daß Korgo und Forbot Werte in der Registry ändern, neue Services anmelden,
einer sich sogar als Prozess tarnt (Explorer.exe - vom normalen Explorer nicht
zu unterscheiden). Wo finde ich Infos, um das alles zu überprüfen und wieder
zu ändern? Bei meiner bisherigen Recherche habe ich immer nur Teilinformationen
gefunden, aber nie etwas, was ein komplettes Bild und komplette Hilfe bietet.

- Letzter Punkt: Wie kann ich eine Neuinfektion verhindern? Wo findet man eine
Liste der von Microsoft angebotenen Sicherheitspatches? Ich habe wie bereits
gesagt Service Pack 1, den Blasterschutz und den Korgoschutz drauf. Gibt es
noch mehr? Auf SP 2 will ich aus verschiedenen Gründen lieber verzichten. Hat
was mit der Performance bei Spielen zu tun, habe da schimme Dinge gehört.


Also, ich bin jetzt grade das bisher längste Stück online, ohne das mich die
oben beschriebenen Probleme heimgesucht hätten. Kamen die immer wieder
auftretenden Symptome evtl. von einer Neuinfektion? Jetzt bin ich das erste
Mal mit der Win XP - Firewall online und habe quasi gar nichts zugelassen. Und
bin immer noch online, so daß ich dieses Posting zum Glück ohne Probleme zu-
ende bringen kann.

Nun ja, ich werde mal solange weiterforschen, bis evtl. wieder nichts mehr geht,
trotzdem wäre ich für Hilfe sehr sehr dankbar, da ich schon ziemlich genervt
und irgendwie auch total ratlos bin. Erst der Ärger mit dem neuen ISP (zwei
Wochen kein Internet, weil die es nicht gepeilt gekriegt haben) und heute dann
die Würmer-Katastrophe!!!!! Aaaaaaaaaaah...was kommt als Nächstes??

Ich hoffe, es gibt noch Rettung für mein System, sonst muß ich ausprobieren,
wie hoch mein Balkon ist...hihi, ich wohne Erdgeschoss, gibt höchstens nen
verstauchten Knöchel. ;-)

Vielen Dank im voraus und ganz liebe Grüße in die Runde vom


Translator

Poste mal ein HijackThis Log
http://www.trojaner-board.de/51130-a...ijackthis.html

Eventuell ist alles schon „gegessen“, lass noch mal den neuesten Stinger drüber laufen, und warte halt ab was sonst noch passiert, ich hatte so ein Problem auch schon mal, als ich den Anbieter gewechelt hatte, XP neu raufgemacht hatte, natürlich wie ein Profi ohne alles und hatte in kürzester Zeit so alle Schädling die gerade unterwegs sind.
Ach so noch was, falls du doch vom Balkon springst vergiss den Schlüssel nicht mitzunehmen, den Schlüsseldienste sind heute teuer!
Liebe Grüße,
Charlie

Hey Charlie,

vielen Dank für den Tipp mit dem Schlüssel!! Ich bin manchmal ein echter
Schusel, den hätte ich bestimmt vergessen.

Stinger hatte ich ohne Witz schon heute nachmittag verwendet. Der hat auch
NIX gefunden. Dann hatte ich noch eine Korgo- und ein Forbot-Tool. Die haben
beide was geputzt und dann auch nichts mehr gefunden. Stinger hatte ich dann
noch danach verwendet. So zur Abrundung.

Jo, irgendwie bin ich seit meinem Posting immer noch online, habe sogar in der
Zwischenzeit online gezockt!!!! Mit einem unglaublichen Ping. Habe ja jetzt ne
2Mbit-Leitung. Wie du schon sagst, abwarten, beobachten und auf das Beste
hoffen.

Was mir eigentlich hauptsächlich Sorge bereitet (hat), ist folgendes, und zwar
die Änderungen, die Korgo in der Registry durchführt. Zwei Sachen waren ja
superleicht wieder zu ändern, aber das hier??

"(Korgo)...deletes the values:

"Windows Security Manager"
"Disk Defragmenter"
"System Restore Service"
"Bot Loader"
"SysTray"
"WinUpdate"
"Windows Update Service"
"avserve.exe"
"avserve2.exeUpdate Service"
"MS Config v13"

from the registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run".

Ich meine, die meisten Sachen hatte ich eh nicht im Start-up, mein System ist
eigentlich rein auf Leistung beim Zocken getrimmt und ich habe echt nur die aller-
nötigsten Prozesse laufen. Aber einiges davon, z.B. Systray, ist doch irgendwie
wichtig, oder? Jetzt denke ich schon den ganzen Tag, daß die Probs vielleicht
grade daher kommen. Der oben genannte Registry-Eintrag ist jetzt total leer,
da ist gar nichts mehr drin, immerhin auch keine dubiosen Services, die da eh
nicht hingehören. Na ja, ich will nicht unken. Im Moment läuft ja alles ganz gut.

---------------------------

EDIT: Der Registry-Eintrag ist nicht mehr leer. Lustigerweise sind auf
einmal wieder drei Einträge drin. Einmal von ATI (auf jeden Fall ok) und einmal
von Antivir (dito). Aber der dritte? Der Name lautet .mscdsr mit dem genauen
Eintrag "E:\Windows\system\lsvchost.exe". Ist das vielleicht einer der Random
Filename-Einträge von Korgo oder so? Denn zu einem Prozess lsvchost.exe habe
ich auch rein gar nichts im Netz gefunden, nur zu svchost.exe. Den kennt man ja.
Da gíbt es ja auch eine Menge Abhandlungen drüber. Verarbeitet dlls...sowas in der
Art...

--------------------------

Ach so, und der Mega-Gau ist ja wohl der Wurm-Prozess, der sich als Explorer
tarnt. Alle Probs (Ordner lassen sich nicht öffnen, Task Manager geht nicht)
lassen sich ja auf den Explorer zurückführen, zumindest war das bei Win 98 so,
da mußte ich manchmal den Explorer selbst killen, um überhaupt irgendwas machen
zu können. Aber ich habe natürlich keine Checkung, wie ich überprüfen soll, ob der
Explorer.exe-Prozess nun sauber oder wurmverseucht ist. Und die ganzen
"falschen" Services...ich weiß gar nicht, wo ich die suchen soll, wenn
in einem Hilfeartikel nur die Namen genannt sind, und nicht, wo die "sitzen", wenn
sie denn irgendwo sitzen. Hmm...

Ach, was solls...abwarten (siehe oben )!!

Lidius, ich weiß im Moment nicht genau, was du meinst. Ich habe allerdings
schon in anderen Threads was darüber gelesen. Ich klicke jetzt einfach mal
deinen Link und schaue, was ich da finde. Wenn ich das mit dem Log
gebacken kriege, poste ich das noch anschließend.

Zunächst aber nochmal vielen Dank für eure Antworten. Bis später!! LG


Il Tranlatore

Jo Lidius,

hier das Log-File, frisch aus der Presse:

Logfile of HijackThis v1.98.2
Scan saved at 3:29:30 AM, on 10/28/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\AVPersonal\AVGUARD.EXE
E:\PROGRA~1\COMMON~1\aol\ACS\AOLacsd.exe
E:\Program Files\AVPersonal\AVWUPSRV.EXE
E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\WINDOWS\system\lsvchost.exe
E:\Program Files\AVPersonal\AVGNT.EXE
E:\Program Files\AOL 9.0\aoltray.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Documents and Settings\Translator\My Documents\HijackThis.exe

O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - E:\WINDOWS\system32\mscfg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [.mscdsr] E:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = E:\Program Files\AOL 9.0\aoltray.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098919278703
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F29735A-66AF-4C2E-9490-57B3DE260280}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F29735A-66AF-4C2E-9490-57B3DE260280}: NameServer = 62.72.64.237 62.72.64.241


Grmpf, ich habe ja den ganzen AOL-Kram noch drin, bin noch gar nicht zum
Putzen gekommen. Und einige Sachen doppelt? Sehr dubios...Na ja, ich bin
mal gespannt, was IHR zu dem Log sagt. Nu muß ich aber GANZ dringend in
die Heia. Bis morsche und guts Nächtle!! Signing off


Translator

E:\WINDOWS\system\lsvchost.exe

Schick diese Datei mal zu partytime-germany.ice@web.de

Wenn möglich gepackt und mit Passwort versehen.

Jo Christian,

kann ich machen, aber was hat es mit dieser Adresse auf sich??

Anscheinend hältst du die Datei auch für verdächtig...


Edit: Datei ist raus, gepackt und mit Passwort.

Ist ein ganz neuer Trojaner.

Lösche diese Dateien im abg. Modus:

E:\WINDOWS\system\lsvchost.exe
E:\WINDOWS\system32\mscfg.dll


Fixe dies:

O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - E:\WINDOWS\system32\mscfg.dll
O4 - HKLM\..\Run: [.mscdsr] E:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe


Scanne anschl. hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Juhu Christian,

was meinst du mit fixen? Soll ich die entsprechenden Registry-Einträge auch löschen? Und wo finde ich den ersten Punkt? Ich meine diesen hier:

O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - E:\WINDOWS\system32\mscfg.dll.

Die anderen beiden sind kein Problem. HKLM ist HKEY LOCAL MACHINE, aber was ist BHO? Es scheint kein Registry-Eintrag zu sein. Bitte erkläre
das doch nochmal. Ansonsten vielen Dank für deine Hilfe. Sobald ich genau weiß, was ich machen soll, werde ich es tun.

Hijackthis öffnen -> Scan klicken -> vor zu fixenden eintrag nen häckchen machen -> fix checked anklicken

Danke Lidius,

oh Mann, bin ich blöd. Ja sicher, ich habe ja erst mal nur gescannt. An die
Fixing-Funktion hatte ich gar nicht mehr gedacht. Tralala...

Werde das gleich mal in Angriff nehmen. Cu around!!


T.

Jo,

komme grade zurück nach Absolvieren der Clean-up-Prozedur. escan hat nichts
gefunden, nachdem ich wie von euch beschrieben gelöscht und gefixt hatte. Im
abgesicherten Modus, versteht sich.

escan war auch auf dem neusten Stand, habe vorher noch wie beschrieben ein
Update gemacht.

Tja, eventuell ist mein System ja jetzt wieder sauber. Es läuft zumindest alles
und ich hatte seit über 24 Stunden keine Probleme mehr. Aber gut zu wissen,
daß dieser neue Trojaner auch runter vom System ist.

Dann sage ich mal vielen lieben Dank für eure geniale Hilfe. Beide Daumen hoch!!


Lieber Gruß vom


Translator

Installiere aber noch SP2 www.windowsupdate.com (ALLE wichtigen updates herunterladen)

Ist gebongt!!