Worm Virkel.a
 

Hallo zusammen,

nachdem mir google bei meinem Problem nicht weiterhelfen konnte hoffe ich dass mir hier jemand helfen kann.

Vor ca. 1 Woche hatte ich ein paar Probleme mit meinem PC. Manche Programme wurden einfach geschlossen oder mein PC ist komplett ausgegangen.

Als ich meinen Virenscanner AntiVir den PC überprüfen lies ist der PC nach einer gewissen Zeit einfach ausgegangen.
Dann habe ich es mit einem Online Virenscan (TrendMicro HouseCall) probiert. Dieser hat dann HKTL_EVID.A gefunden was ein Teil des Wurms VIRKEL.A (Alias: Backdoor.Win32.Virkel.A, Trojan.Win32.VB.aem, W32/Virkel.A) ist. Einen Pfad hat der Virenscanner leider nicht angegeben.

Auf dieser Seite wird der Wurm ausführlich beschrieben, leider geben sie dort aber keine Hinweise wie man ihn los wird bzw. ich weiß nichts damit anzufangen: http://www.avira.com/de/threats/section/fulldetails/id_vir/1410/bds_virkel.a.html

Ich habe ihn natürlich gelöscht und die nächsten Tage regelmäßig Antiv und HouseCall meinen PC überprüfen lassen.
Seit gestern schaltet sich der PC wieder automatisch aus nachdem AntiVir eine Zeit lang läuft, bei dem Onlinescan HouseCall habe ich das gleiche Problem.
Da es sich um die gleichen Probleme wie vor einer Woche handelt, denke ich es wird sich wieder um den gleichen Wurm handeln.

Leider habe ich nicht die geringste Ahnung wie ich weiter verfahren soll und auch auf eurer Seite habe ich nichts zu dem Wurm gefunden.

Ich habe mal hijackthis laufen lassen (auch wenn ich mir nicht sicher bin ob es in diesem Fall sinnvoll ist).
Hier das Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 17:36:05, on 12.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121512839437
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.kochmesser.de/scan/Msie/bitdefender.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - http://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe



Es wäre sehr nett wenn mir jemand helfen kann.

Vielen Dank.

millers

Du wirst auf der Seite deshalb nichts gefunden haben da es sich bei dem Fund um einen Backdoor Trojaner handelt. Um den Trojaner mit Sicherheit entfernen zu können lege ich dir in diesem Fall nur eine Neuinstallation ans Herz..zumal dir auch noch das Service Pack2 fehlt!
Dein Log zeigt imho zwar keinen "momentanen" Befall dennoch würde ich das System neu aufspielen. Alles andere wäre nur "rumfrickelei".. (zumal TrendMicro recht zuverlässig ist!)


Gruß
Daniel

Och nööö... :mad:

Kann ich denn vorher eine Datensicherung machen?
Oder speicher ich dann den Wurm mit und wenn ich nachher die Daten wieder auf den PC spiele ist der Trojaner wieder drauf?

Ich weiß nicht wo der Trojaner gespeichert ist.
Kann man das irgendwie herausfinden?

Was bedeutet denn "rumfrickelei"?
Meinst du dass es viel Arbeit ist oder dass ich ihn so nicht wirklich los bekomme?

P.S. Vielen Dank für die schnelle Antwort! :daumenhoc

rumfrickelei = zuviel daran rum-spielen/experimentieren!
Wo der Trojaner nun wirklich sitzt weiß einzig und alleine nur der Coder(Programierer)! Du kannst natürlich deine "privaten" Sachen mitnehmen! Wie Briefdokumente, Bilder, Filme, Musik etc. , alles nur keine ausführbaren Datein! Man weiß nie genau wo und was der Trojaner alles schon angestellt hat!
Hier der LINK zum sicheren Neuaufsetzen..

Alles klar.
Vielen Dank!!! :daumenhoc

Zwei Fragen hätte ich noch.

Kann ich davon ausgehen das der Hacker schon auf meinem System ist und meine Daten ausgelesen hat?
Wenn der PC einfach ausgeht, ist das ein Zeichen dafür das der Hacker am Werk ist (hat er grade den Befehl gegeben?) oder macht das der Wurm von alleine?

In der Beschreibung des Wurms habe ich gelesen dass er sich über Massenger verbreitet. Sind damit alle Massenger Programme gemeint?
Ich nutze Skype. Kann er daher kommen?
Könnte ich meine Freunde, mit denen ich über Skype kommuniziere, von mir infiziert worden sein?
Was muss ich beachten damit ich den Wurm nicht wieder bekomme? Bin eigentlich ein vorsichtiger Surfer und auch meine Programme sind nach "gutem Gewissen" gesichert (die Sicherheitseinstellungen die ich kenne aktiviere ich auch).


O.K., sind mehr als zwei Fragen. Würde mich aber über eine Antwort trotzdem sehr freuen.

Ich lese mich jetzt mal durch deinen Link.