Auch ich habe mir diesen Virus eingefangen.
Er ändert wie bekannt meine Startseite (ad-aware und co sind machtlos...)
außerdem werden meine proxy-einstellungen geändert (auch hier können ad-aware etc nichts tun)
desweiteren stürzt der Rechner alle halbe Stunde mal ab...

Vielen Dank im vorraus
und
...SHOOT IT TILL IT BLEEDS...


So sieht mein Hijack-logfile aus::



Logfile of HijackThis v1.98.2
Scan saved at 15:22:07, on 29.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\KEN!\kentbcli.exe
D:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
D:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\stisvsq.exe
C:\WINDOWS\svshost.exe
C:\WINDOWS\msqdevl.exe
C:\WINDOWS\lssas.exe
C:\WINDOWS\mservice.exe
C:\WINDOWS\iau.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Hijack This\HijackThis.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {63480817-9C3F-4B95-9627-6BD065EE328F} - C:\WINDOWS\System32\khg.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [NetPumper] "D:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe
O4 - HKLM\..\Run: [Games Acceleration] svshost.exe
O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe
O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe
O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe
O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe
O4 - HKCU\..\Run: [Games Acceleration] svshost.exe
O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe
O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe
O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe

@MrRockIt
dein system ist nicht auf den neuesten stand, bitte sofort updaten
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)


du hast der hier im system
http://uk.trendmicro-europe.com/ente...BOT.YT&VSect=T
C:\WINDOWS\svshost.exe

überprüfe diese dateien online
http://virusscan.jotti.org/de
C:\WINDOWS\stisvsq.exe
C:\WINDOWS\svshost.exe
C:\WINDOWS\msqdevl.exe
C:\WINDOWS\lssas.exe
C:\WINDOWS\mservice.exe
C:\WINDOWS\iau.exe
und poste das ergebnis

chaosman

Danke erstmal chaosman (bleib am Ball )
Die Dateien sind wohl alle infiziert. Ich habe versucht sie zu löschen, was unmöglich ist da sich ständig erneuern.
SVCHOST.EXE wird 5 mal als Prozess angezeigt,
2 mal ist der Benutzername SYSTEM;
1 mal NETZWERKDIENST;
1 mal LOKALER DIENST;
1 mal der Name des PCs...
Was bedeutet das, dass der Prozess 5 mal da ist?
Die anderen Dateien werden ebenfalls als Prozesse angezeigt und sind ebenfalls nicht zu löschen.
Ärgerlich ist auch das sie zusammen ca. 50MB Speicher belegen.

Hier sind erstmal die Ergebnisse des Scans der vorgeschlagenen Seite::

File: stisvsq.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.Small.UV.3 (1.21 seconds taken)
Avast No viruses found (4.55 seconds taken)
BitDefender Trojan.Spy.Small.BJ (2.59 seconds taken)
ClamAV Trojan.Startpage-104 (6.21 seconds taken)
Dr.Web Trojan.Gamesas (8.57 seconds taken)
F-Prot Antivirus W32/Small.P@bd (0.66 seconds taken)
Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (9.41 seconds taken)
mks_vir Trojan.Trojanspy.Small.Bj (3.24 seconds taken)
NOD32 No viruses found (5.63 seconds taken)
Norman Virus Control No viruses found (7.15 seconds taken)

File: svshost.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.Small.UV.3 (4.52 seconds taken)
Avast No viruses found (1.62 seconds taken)
BitDefender Trojan.Spy.Small.BJ (8.95 seconds taken)
ClamAV Trojan.Startpage-104 (16.16 seconds taken)
Dr.Web Trojan.Gamesas (17.20 seconds taken)
F-Prot Antivirus W32/Small.P@bd (1.79 seconds taken)
Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (18.52 seconds taken)
mks_vir Trojan.Trojanspy.Small.Bj (6.51 seconds taken)
NOD32 No viruses found (10.82 seconds taken)
Norman Virus Control No viruses found (7.69 seconds taken)

File: msqdevl.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.Small.UV.3 (4.85 seconds taken)
Avast No viruses found (13.75 seconds taken)
BitDefender Trojan.Spy.Small.BJ (9.90 seconds taken)
ClamAV Trojan.Startpage-104 (9.32 seconds taken)
Dr.Web Trojan.Gamesas (6.92 seconds taken)
F-Prot Antivirus W32/Small.P@bd (0.38 seconds taken)
Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (5.13 seconds taken)
mks_vir Trojan.Trojanspy.Small.Bj (1.61 seconds taken)
NOD32 No viruses found (2.61 seconds taken)
Norman Virus Control No viruses found (3.53 seconds taken)

File: lssas.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.Small.UV.3 (7.14 seconds taken)
Avast No viruses found (5.98 seconds taken)
BitDefender Trojan.Spy.Small.BJ (7.84 seconds taken)
ClamAV Trojan.Startpage-104 (9.54 seconds taken)
Dr.Web Trojan.Gamesas (12.70 seconds taken)
F-Prot Antivirus W32/Small.P@bd (1.00 seconds taken)
Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (14.12 seconds taken)
mks_vir Trojan.Trojanspy.Small.Bj (6.02 seconds taken)
NOD32 No viruses found (11.52 seconds taken)
Norman Virus Control No viruses found (10.35 seconds taken)

File: mservice.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.Small.UV.3 (2.45 seconds taken)
Avast No viruses found (2.42 seconds taken)
BitDefender Trojan.Spy.Small.BJ (7.64 seconds taken)
ClamAV Trojan.Startpage-104 (9.12 seconds taken)
Dr.Web Trojan.Gamesas (12.68 seconds taken)
F-Prot Antivirus W32/Small.P@bd (1.07 seconds taken)
Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (13.92 seconds taken)
mks_vir Trojan.Trojanspy.Small.Bj (5.71 seconds taken)
NOD32 No viruses found (12.18 seconds taken)
Norman Virus Control No viruses found (10.39 seconds taken)



Gleich werde ich Windows XP und den IE updaten.
Wie soll ich dann vorgehen um den Wurm zu entfernen?

Kannst du mal eine Datei in ein Archiv packen, mit Passwort versehen und an partytime-germany.ice@web.de schicken?
Danke.


Ich empfehle dir jedoch dies:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Das hört sich aber nicht gut an alles neu zu installieren da ich das erst vor 3 Wochen gemacht habe.......
Gibt es keine andere Möglichkeit den Wurm loszuwerden???
Wozu soll ich dir eine der Dateien schicken??? was ich natürlich machen könnte...

Wenn du es erst vor drei Wochen neu installierst hast, dann müsste es doch möglich sein dies zu wiederholen und wenn du dich an die Anleitung von *Christian* hältst dürfte es auch das vorerst letzte Mal sein. Neuinstallation wegen dem Wurm Agobot und seinen Backdoorfunktionen.

Zitat:

* Update the malware via HTTP and FTP
* Steal CD keys of game applications
* Execute a file
* Download file via HTTP and FTP
* Open a command shell
* Open files
* Display the driver list
* Get screen capture
* Capture pictures and video clips
* Display NETINFO
* Make the bot join a channel
* Stop and start a thread
* List all running process
* Rename a file
* Generate a random nickname
* Perform different kinds of DDoS (distributed denial of service) attacks
* Retrieve and clear log files
* Terminate the bot
* Disconnect the bot from IRC
* Send a message to the IRC server
* Let the bot perform mode change
* Change bot ID
* Display connection type, local IP address and other NET information
* Log on/log off the user
* Issue ping attack against a target machine
* Log keystrokes

einige Infos was der alles kann, von der von chaosman verlinkten Seite

Du sollst ihm die Datei imo zu Forschungszwecken schicken.

Was der Wurm alles kann ist mir auch klar, darum möchte ich ihn ja möglichst schnell weghaben.

Wenn dies wirklich nur per Neuinstallation machbar ist, so werde ich das wohl tun, habe halt gehofft das es auch ohne geht...

Welche der infizierten Dateien willst du haben *Christian*????

Alle? Eine? Eine bestimmte?

Bitte Beeilung sonst sind se bald gelöscht und aufheben will ich die nicht...

Na irgendeine. Die sind ja alle mit der gleichen Malware infiziert.

Hallo @ all,

macht euch nicht mehr die Mühe zu helfen. Das Problem hat sich in Luft aufgelöst nachdem ich alles neu installiert hatte, weil gar nichts mehr ging...

thanks...