blöder Wurm
 

Hallo, bin neu hier, weil die Sache hier echt unangenehm ist. Ich hatte schon den einen oder anderen Virus und bin mit ihm fertig geworden, aber dieser ist echt mies.

Der Virus löscht alle exe Dateien von Antivirensoftware und zB Spybot. Ich hatte das große Pech, dass mein Antivirenprogramm (Panda) ihn natürlich bei der letztmöglichen Chance zu scannen nicht erkannt hat (da fehlt jetzt auch die exe). Auch die Panda notfall-bootcd findet nix. Onlinescanner sprechen von einem Wurm...jeder von einem anderen und machen können die natürlich nix.

Nun das Schönste: Der abgesicherte Modus funktioniert nicht mehr, sondern startet den Computer lediglich neu.
Nur das Bios scheint verschont geblieben zu sein.

Ansonsten noch das Merkmal, dass er sich mit dem IExplorer beschäftigt und mein System verlangsamt. Wenn man den IExplorer löscht, ist er eine Sekunde wie von Zauberhand wieder da. Standartgemäß nutze ich Firefox und habe den Explorer so ziemlich entmachtet...ich glaube jedoch, dass er Werbe-Fenster öffnen würde, wenn er es könnte.

Wo er auf alle Fälle steckt (wo alle onlinescanner drauf abfuhren) ist das Verzeichnis C:\WINDOWS\exefld

Killbox kann genutzt werden und wie ihr gleich seht auch Hijackthis...alles andere ist schwierig

Logfile of HijackThis v1.99.1
Scan saved at 19:17:50, on 10.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\eMule\eMule.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /M "Stylus D88" /EF "HKCU"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Unknown owner - C:\Programme\Norton Internet Security\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM+ Alerter Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Panda Network Manager (PNMSRV) - Unknown owner - c:\programme\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE (file missing)


Meine einzige Hoffnung sehe ich momentan in einer neuen Notfall-Bootcd, aber wenn euch was besseres einfällt...was mir Geld und nerven spart, wäre ich sehr dankbar.

Hi,
Ja das ist der Nachteil eben von Onlinescanner erkennen nur den Virus,aber ein gekaufter Virenscanner kann ihn sogar beseitigen (ich hoffe ich liege da nicht falsch --loool)

moni

Und jetzt erkläre mal, welche Hilfe Dein Beitrag dem Fargesteller jetzt gebracht hat. Er könnte jetzt loslaufen und sich vier oder fünf AV-Programme kaufen, um den PC maximal zu schützen:pfui:

@Gerrit
Bleibe mal ruhig. Poste genau, was Panda wo genau gefunden hat.
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

Erstmal: wirklich vielen Dank felix1. Nachdem mir anom geantwortet hatte, war ich definitiv etwas desillusioniert ;)
Hier erstmal Folgendes: Panda hat nichts gefunden. Wirklich gar nichts...deswegen möchte ich auch auf eine andere Antivirensoftware umsteigen. Man sollte wenigstens darüber informiert werden, wenn ein Virus sich installiert (auch wenn das Programm nichts dagegen tun kann). Der Meinung bin ich jedenfalls.


Hier F_secure Blacklight:

1/11/07 00:38:05 [Info]: BlackLight Engine 1.0.55 initialized
01/11/07 00:38:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/11/07 00:38:05 [Note]: 7019 4
01/11/07 00:38:05 [Note]: 7005 0
01/11/07 00:38:07 [Note]: 7006 0
01/11/07 00:38:08 [Note]: 7011 1740
01/11/07 00:38:08 [Note]: 7026 0
01/11/07 00:38:08 [Note]: 7026 0
01/11/07 00:38:48 [Note]: FSRAW library version 1.7.1021
01/11/07 00:38:53 [Info]: Hidden file: c:\Dokumente und Einstellungen\***\Anwendungsdaten\hidires\hidr.exe
01/11/07 00:38:53 [Note]: 10002 2
01/11/07 00:38:53 [Info]: Hidden file: c:\Dokumente und Einstellungen\***\Anwendungsdaten\hidires\m_hook.sys
01/11/07 00:38:53 [Note]: 10002 2
01/11/07 00:38:54 [Note]: 10002 3
01/11/07 00:38:54 [Note]: 10002 3
01/11/07 00:38:54 [Note]: 10002 2
01/11/07 00:38:54 [Note]: 10002 2
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Empty.txt
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Filters.xml
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\news.png
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\paint.png
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Profiles\Blank.txt
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample1.jpg
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample2.jpg
01/11/07 00:44:04 [Note]: 10002 3
01/11/07 00:44:04 [Note]: 10002 2
01/11/07 00:44:04 [Note]: 10002 2
01/11/07 00:46:17 [Note]: 10002 2
01/11/07 00:46:17 [Note]: 10002 2
01/11/07 00:48:32 [Note]: 7007 0


Hier Ewido:

folgt in ca. einer halben Stunde

Wirklich vielen Dank...was soll ich sagen...nicht viele Menschen sind dazu bereit einem zu helfen, wenn man kaum eine Gegenleistung bringen kann. Ich würde es sehr gern, aber reden wir darüber privat, wenn wir das Problem gelöst haben :)

Ich schieb mich mal kurz dazwischen.

Auf Deinem System ist ein Wurm gelandet, der sich per Rootkit tarnt. W32/Bagle-KJ - Wurm - Sophos Bedrohungsanalyse

C:\Dokumente und Einstellungen\***\Anwendungsdaten\hidires\hidr.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\hidires\m_hook.sys

Sehe ich das richtig, dass Blacklight, die Dateien nicht gelöscht hat (benutze Blacklight nicht)? In diesem Fall würde ich vorschlagen, über die Wiederherstellungskonsole das komplette Verzeichnis löschen. Hierfür wird allerdings das Passwort für den Account namens "Administrator" benötigt. Hast Du dieses?

ewido:

hat folgendes gefunden:

c:\dokumente und einstellungen\***\Lokale Einstellungen\Temp\~4E.exe
~7.exe
~B.exe

c:\windows\exefld\30431187.exe
c:\windows\exefld\30660578.exe

er sagt, das sind worm.bagle.hc und worm.bagle.hb...
und jetzt versuche ich es zu "removen"...mal sehen was passiert...

Morgen,
sorry tut mir leid Gerrit (lol)


moni

@anom: is schon ok ;)

Hab das Verzeichnis gelöscht. Das Problem scheint behoben zu sein. Herzlichen Dank an Alle. Jetzt bin ich wieder etwas schlauer. Noch eine Empfehlung womit ich das System scannen soll?

hi,
da bin ich aber erleichtert und schön das es wieder funktioniert.


moni

Poste unbedingt nochmal ein neues Log von Blacklight! Den Rootkittreiber und die .exe hast Du aller Wahrscheinlichkeit nämlich noch auf Deinem Rechner.

01/11/07 15:46:09 [Info]: BlackLight Engine 1.0.55 initialized
01/11/07 15:46:09 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/11/07 15:46:16 [Note]: 7019 4
01/11/07 15:46:16 [Note]: 7005 0
01/11/07 15:46:24 [Note]: 7006 0
01/11/07 15:46:24 [Note]: 7011 1736
01/11/07 15:46:25 [Note]: 7026 0
01/11/07 15:46:25 [Note]: 7026 0
01/11/07 15:46:59 [Note]: FSRAW library version 1.7.1021
01/11/07 15:58:30 [Note]: 2000 1012
01/11/07 16:10:57 [Note]: 7007 0

Das hier hast Du auch entfernt?
In diesem Fall würde es ganz gut aussehen.

uups...das hole ich sofort nach

Dann kontrolliere danach gleich nochmal mit Blacklight (viele Schädlinge haben Zombiequalitäten).

01/11/07 16:51:06 [Info]: BlackLight Engine 1.0.55 initialized
01/11/07 16:51:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/11/07 16:51:11 [Note]: 7019 4
01/11/07 16:51:11 [Note]: 7005 0
01/11/07 16:51:16 [Error]: 6024 1
01/11/07 16:51:16 [Error]: 6024 1
01/11/07 16:51:16 [Note]: 7006 0
01/11/07 16:51:17 [Note]: 7011 1992
01/11/07 16:51:17 [Note]: 7026 0
01/11/07 16:51:17 [Note]: 7026 0
01/11/07 16:51:18 [Error]: 6024 1
01/11/07 16:51:47 [Note]: FSRAW library version 1.7.1021
01/11/07 16:59:38 [Note]: 7007 0

Die genannten Dateien in der exefld waren nicht mehr vorhanden...