Trojaner-Board - Sober.I.B64.A

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Sober.I.B64.A (https://www.trojaner-board.de/10676-sober-i-b64-a.html)

Hallo zusammen,

Seit 2 Tagen meldet sich Antivir bei Aufruf des Mailers TheBat folgendes
D:\TMP\BAT1.TMP
Enthält Signatur des Wurmes Worm/Sober.I.B64.A
Nach einer gewissen Zeit wird wohl die mail engine wieder aktiv und nur der v.g. Dateiname ändert sich.
Versuche die "Ursache" aufzuspüren blieben für mich erfolglos. :-(
Im abgesicherten Modus mit Antivir; Stinger gesucht und nichts gefunden.
Einzig e-scan hat "irgendwo" ein Virus entdeckt, aber da ich keine Lizenz habe, ihn auch nicht beseitigt. (Eigentlich auch verständlich)

Deshalb poste ich mal das Log-filre von hijack, mit der Bitte um Euren Rat :-)
Diverse Tipps z.B von heise.de hab ich schon verfolgt, doch leider bin auf dem Gebiet der Schädlingssuche blutiger Anfänger :-(

ogfile of HijackThis v1.98.2
Scan saved at 14:13:32, on 12.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Siemens\S7ubtoox\s7ubtstx.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
D:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\ScanPanel\ScnPanel.exe
D:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Siemens\Sqlany\dbsrv7.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pc-syndrom.de/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [S7UB Start] "C:\Programme\Gemeinsame Dateien\Siemens\S7ubtoox\s7ubtstx.exe" -StartDB
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] d:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] d:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...58/mcfscan.cab
O18 - Protocol: eMedia - {25E1F0B0-C35F-11D3-BEF8-0000E86BA371} - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\NAVI_IXT\eMediaPP.dll

Hallo,

bingo. Ich erhalte dieselbe Fehlermeldung bei Aufruf von !TheBAT.
AntiVir meckert an, Nutzung von "Datei löschen" hilft kurz. Minuten später kommt dieselbe Fehlermeldung.
Bei einem anderen Benutzer auf meinem Notebook passiert bei Aufruf von !The BAT nichts.
Komplettscheck mit Antivir fördert den Worm/Sober zutage. Funktion "Datei löschen" brachte den Hinweis "...Datei ist gelockt, kann erst nach Neustart von Windows repariert oder gelöscht werden..."
Habe dies gemacht, aber bei Aufruf von !TheBAT kommt wieder die AntiVir-Meldung. Es ändert sich immer nur die Endung der Datei in c:\...\TEMP\BAT6E.tmp oder BAT2.tmp.

Was kann man machen bzw. wer hat eine Erklärung.
Besten Dank.

Gruss
Paddy

Hallo Zusammen,

ich glaube schon, dass Antivir den Wurm beseitigt bzw nicht zulässt, dass der Wurm ausgeführt wird.

Ich bekamm auch die Virenmeldung Sober.I.B64.A bei Antivir alle 5-15 min....

Ich benutze Thunderbird 1.0 - nachdem ich meine Mail Ordner komprimiert habe (File: Compact Folders) war die Welt wieder in Ordung :daumenhoc
Vielleicht trifft das ja auch auf andere Mailprogramme zu.

Hoffe es hilft

Gruß Giko

PS fand diesen Artikel bzgl Folder :

When you delete a message in Mozilla Thunderbird, Netscape or Mozilla, it is not immediately physically removed from the mailbox file but only hidden from display. This speeds up things considerably, but it also wastes valuable hard disk space.
To reclaim that space for the current account and compact folders in Mozilla Thunderbird, Netscape or Mozilla:
* Select File | Compact Folders from the menu.
If your folders are big and you have deleted lots of (large) messages since the last compacting, this can take some time.

Hallo zusammen,

nunja...in meinem Fall handelt es sich wohl um eine "endlos" Mailbombe.
Jedes mal wenn der Mailer Nachrichten abholt, ist diese virenverseuchte Nachricht dabei. Wird von Antivir erkannt und kann gelöscht werden.
Der Mechanismus ist mir nicht klar. Muß ich mich mal drum kümmern. :heulen:
Ist einfach nervig. :(
Hab den Rechner mit allen frei zugängigen Antivirenprogrammen gequält, d.h. mehr seine Platten. --> nix zu finden. Auch nicht im abgesicherten Modus
Auch ein eingerichteter mail Virenschutz beim Provider hilft nicht. Das ist schon sehr ärgerlich.
Hat jemand von Euch weitere Ideen ? --> Thanks a lot

Gruß Sipro

@Sipro
poste bitte
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

hast du diese Temp ordner schon mal in den abgesicherten modus gelöscht?
chaosman

Hallo,

sorry...hat ein bischen länger gedauert...Also hab mal mit der folgenden escan Version gescannt.
eScan AntiVirus Toolkit Utility.
Version 4.6.9 (D:\TMP\mwavscan.com)

Beim scannen habe ich den mailer "mitlaufen" lassen, um zu testen was bei Aufbau des Verbindungsmanagers passiert. Antivir hat sich wie gewöhnlich gemeldet, zudem auch noch escan.

Tue Dec 21 14:54:08 2004 => File D:\TMP\bat31.tmp infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Tue Dec 21 14:57:42 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Dec 21 14:57:42 2004 => Scanning File C:\Programme\AVPersonal\LIZENZ.WRI
Tue Dec 21 14:57:42 2004 => Scanning Folder: C:\Programme\AVPersonal\LOGFILES\*.*

Tue Dec 21 16:38:45 2004 => Scanning Folder: D:\Programme\INFECTED\*.*
Tue Dec 21 16:38:45 2004 => Scanning Folder: D:\Programme\BACKUP\*.*
Tue Dec 21 16:38:45 2004 => Scanning Folder: D:\Programme\TEMP\*.*
Tue Dec 21 16:38:45 2004 => Scanning Folder: D:\Programme\LOGFILES\*.*
Tue Dec 21 16:38:45 2004 => Scanning Folder: D:\Programme\Sony Corporation\*.*
Tue Dec 21 16:38:45 2004 => Scanning Folder: D:\Programme\PIXELA\*.*
Tue Dec 21 16:38:45 2004 => Scanning Folder: D:\Programme\WinZip\*.*

Nachfolgender Bildschirmschoner ist noch in gepackter Form. Wurde auch von mir noch nie benutzt....Und wird wohl auch nie :schrei:

Tue Dec 21 17:19:34 2004 => File E:\Neuer Ordner (2)\Matrix3DSetup.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken

Der Temp Ordner wurde bisher nur im normalen Modus gelöscht.
Ach ja...bin noch Win2000 user :)

Stehe aber jetzt recht hillflos dar...an dieser Stelle danke für die Hilfe
Gruß Sipro

Hallo,

zum Mailcheck nutze ich AntiVir PE. Unbekannter Anhang wurde auch keiner geöffnet. Nutze zudem einen Router plus Wireless plus zusätzliche DesktopFirewall. Scanne auch regemässig mit Spybot.
Habe mal einen Festplattenscan mit AntiVir PE gemacht. Wie gesagt: Worm/Sober gefunden. "Datei löschen" mit Hinweis "...Datei ist gelockt, kann erst nach Neustart repariert oder gelöscht werden...", anschließend nochmals Neustart von Windows. AntiVir meckerte aber weiterhin bei Aufruf von TheBat! an.
Habe dann zusätzlich über die Homepage von bitdefender einen Online-Virenscan gemacht. Schau an: In einer älteren Backup outlook.pst-Datei wurde ein Trojaner gefunden (Datei hatte mit dieser komischen Telekom-Mail zu tun). Dann hat Bitdefender 4 mal eine Meldung ausgegeben für den Pfad: c:\...\TheBat!\T-Online-Konto\Trash\messages
mit Hinweis auf "nesky...".
Habe dann dieses Message-Ordner erstmal plus die Kopie der outlook-pst gelöscht. Weiterhin habe ich alle gespeicherten Mails in TheBat! gelöscht. Dann den Nachrichtenempfang bei allen Konten umgestellt auf "Postfach-Inspektor", heisst, nur die Kopfzeilen werden erst vom Server abgerufen.
Danach hat AntiVir bei Aufruf von TheBat! nicht mehr gemeckert. Test heute morgen ergab dasselbe Ergebnis: keine Meldung von AntiVir. Hoffe jetzt, dass dies so bleibt.
Alle Nachrichten löschen, bis auf die wichtigen, plus Ordner komprimieren, scheint ein Lösungsweg zu sein.

Gruss
Paddy :party:

@Sipro
wechsle in den abgesicherten modus hier
und lösche D:\TMP\bat31.tmp manuell
dann neu starten

chaosman

Hallo zusammen,

@Chaosman
nun denn...da ich den TMP-Ordner auch manuell nicht löschen konnte...es war schlichtweg nichts drin...setzte ich mit Geduld meine Hoffnung auf den Virenwächter des Providers. Für mich sieht es so aus
a) es dauert halt ein paar Tage, bis der Virenschutz beim Provider aktiviert wurde (wenn es so ist...schlecht) oder
b) der Permanentbeschuß der e-Mail hat ein Ende.

Seit 2 Tagen ist die mail nicht mehr aufgetaucht. :huepp:
Werde aber jetzt nochmal die Platten einem Sicherheitscheck unterziehen. :sword2:

Tnx for helping ... Gruß Sipro

@Sipro
lade dir clearprog bei www.clearprog.de
programm starten, alle häkchen bei windows und IE setzen, löschen
chaosman