Wurm oder ähnliches eingefangen?
 

Hallo,

Ich hab ein problem:

ich glaub ich hab mir nen wurm eingefangen! Ich weis aber nicht welchen. Bekomme ständig irgentwelche Meldungen ,das der und das beendet werden muß. Kurz darauf folgt dann meistens noch die meldung, dass "services.exe" beendet werden musste. Winlogon,servises oder andere prozesse (wie z.b. "Generic Host Process for Win32 Services"), die bis vor einigen tagen noch keine probleme gemacht haben, beendet werden müssen.

Nun ja darauf folgt dann das bekannte schild mit dem zwang zum herunterfahren und dem countdown von 1:00 min.
Logfile of HijackThis v1.99.1
Scan saved at 20:21:50, on 19.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

Diese EXE sollte normalerweise hier zu finden sein:
C:\Windows\System32\services.exe
Wenn nicht dort , so suche diese EXE und kopiere diese ins weisse Fensterchen bei http://virusscan.jotti.org , klicke auf submit.
Das Ergebnis postest Du !

Dort wurde nichts gefunden.

War denn die EXE überhaupt unter diesem Pfad?
Gut, scan nach dieser Anleitung Dein System:
http://www.trojaner-board.de/38066-escan-anleitung-und-find-bat-autor-mightymarc.html

Hatte eben wieder schweren SystemfehlerSystemprozeß Windows Logon Process
Hier ein Scan bericht.Ich hoffe,ich habe alles richtig gemacht.Wie werde ich die Teile los ?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.7
Sprache: German
C:\DOKUME~1\Moni\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\tasks\at1.job
Offending file found: C:\WINDOWS\tasks\at1.job
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\aida
Offending Folder found: C:\Programme\aida
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\program files\Musicmatch\Musicmatch Update\MMJB\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Musicmatch\Musicmatch Update\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 63268
Gefundene Viren: 2
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 30
Dauer des Scans bisher: 00:41:35
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:14:27,85
Batchende: 22:14:40,79

Ist jetzt eine gute Frage, ich würde die Systemherstellung beim nächsten booten deaktivieren.
Danach Rebooten ,anschliessend im im abgesicherten Modus mit CCleaner den Rechner entmüllen, mit einem frischem Spybot und Adaware (Update, mit aktuellen Signierungen) Dein System bereinigen, Systemherstellung aktivieren, anschliessend Dein System normal hochfahren, nochmals mit den eben genannten Programmen Deinen Rechner scannen und alles löschen was die finden. Neuen e-scan posten!

Es hatte sich was im Task planer festgesetz ,habe das erstmal gelöscht.Ich habe sonst das Programm XP Clean,das räumt eigentlich gut auf,nur eben nicht bei Viren.
Was kann ich noch tun?

Zitat: Was kann ich noch tun?
Ich habe sonst das Programm XP Clean,das räumt eigentlich gut auf,nur eben nicht bei Viren.
Viren? Gibt es sowas in heutigen Zeiten überhaupt noch??? :confused:

Die Zeiten ändern sich, heute beherrschen Ad- und Malware das Internet, diverse Rootkits schleichen sich an Antivirenprogs vorbei, ein HJT sieht längst nicht immer alles (Solltest im übrigen mal Deine Hijackthis.exe in irgendwas umbenennen!) usw,usw..... Kein Antiviren oder Antispyprog wird jemals den Rechner 100% sichern können, man kann nur Prophylaxe betreiben. Das ist eine Endlosschraube, die "Bösen" werden immer einen Schritt vorraus sein, bevor man selber aggieren kann.

Versuch mal dieses Version von meinem Statement von 23:01 h (Einfacher erklärt):
1.Lade Dir Spybot sowie Adaware runter, mach als erstes ein update und scan Dein System.
2.Dann lade bitte CCleaner und bereinige alles.
3. Systemwiederherstellung deaktivieren.
4. Im Abgesicherten Modus ( F8 drücken ) alle drei Programme nochmals ausführen.
5. Anschl. im normalen Modus arbeiten und nochmals nachsehen ob die Datei vorhanden ist bzw sich erneuert hat.
Wenn JA ---> Onlinescan ** Anleitung hier:
http://www.trojaner-board.de/38066-escan-anleitung-und-find-bat-autor-mightymarc.html
Wenn NEIN --- > Systemwiederherstellung aktivieren, Wiederherstellungspunkt erstellen

Ich werds versuchen und meld mich morgen Abend nochmal.Danke erstmal.

Ist oki, sorry wenn ich keine Verlinkungen habe, aber ich denke mir mal, mit ein wenig "googeln" ist es leicht diesen Ablauf nachzuvollziehen. Du kannst auch in diesem Forum alle Links finden...

Gruß Patrick

Hallo.
beim Scan wird nichts mehr gefunden.Der Wurm scheint weg zu sein ,aber der andere Rest ist noch da.Das kann ich nirgents wo finden...( 2 mal Object "purityscan Spyware/Adware" in Dateisystem gefunden! )
.

Hi, ich hatte bis heute das gleiche Problem wie du (das Beenden von Prozessen mit dem anschließendem Countdown). Ich hab zumindest gefunden was das verursacht hat. Aber ich glaube nicht, dass ich damit auch die Wurzeln des Wurms (?) gefunden hab.

Guck doch mal in deinen Tasks Ordner im Ordner WINDOWS und guck mal ob dort Tasks sind die du nicht kennst (bei mir hießen sie At1 - At18). Guck danach mal in den Eigenschaften der Tasks was sie ausführen. Bei mir führten sie alle die datei "y8V3ADNQ.exe" aus, die ich im Ordner System32 gefunden hab. Der Name kann aber auch zufallsgeneriert sein. Ich hab die Datei dann mal auf VirusTotal geprüft und herausgefunden, dass das eine "böse" Datei ist. Hab die Tasks und "y8V3ADNQ.exe" einfach gelöscht und hab seit dem Ruhe vor den Prozessbeendigungen und dem Countdown oder dem Bluescreen der durch winlogon.exe kam.

Ich mache aber trotzdem noch ein Neuaufsetzen da ich mir nicht sicher bin ob das alles vom Wurm war.

Wenn du in den angegeben Ordnern nichts findest hab ich nen anderen Wurm als du gehabt. (dann aber mit sehr ähnlichen Auswirkungen)

Oder du hast ihn wirklich erwischt ;)

mfg samsh

Hallo.Ich hatte die Task leider so gelöscht,ohne auf Eigenschaften zu schauen .Was stand denn da bei windows noch hinter der bösen Datei?

Es war der selbe Wurm.Hatte genausolche Probleme ua.auch viel mit Winloogon.

was genau meinst du jetzt? Die Datei die durch die Tasks ausgeführt wurde? Oder was das fürn Virus/Wurm/Trojaner das war? In den Eigenschaften stand eben nur drin, das die datei "y8V3ADNQ.exe" ausgeführt wird und wann das geschieht.