|
Wurm oder ähnliches eingefangen? Hallo, Ich hab ein problem: ich glaub ich hab mir nen wurm eingefangen! Ich weis aber nicht welchen. Bekomme ständig irgentwelche Meldungen ,das der und das beendet werden muß. Kurz darauf folgt dann meistens noch die meldung, dass "services.exe" beendet werden musste. Winlogon,servises oder andere prozesse (wie z.b. "Generic Host Process for Win32 Services"), die bis vor einigen tagen noch keine probleme gemacht haben, beendet werden müssen. Nun ja darauf folgt dann das bekannte schild mit dem zwang zum herunterfahren und dem countdown von 1:00 min. Logfile of HijackThis v1.99.1 Scan saved at 20:21:50, on 19.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing) O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe |
Diese EXE sollte normalerweise hier zu finden sein: C:\Windows\System32\services.exe Wenn nicht dort , so suche diese EXE und kopiere diese ins weisse Fensterchen bei http://virusscan.jotti.org , klicke auf submit. Das Ergebnis postest Du ! |
Dort wurde nichts gefunden. |
War denn die EXE überhaupt unter diesem Pfad? Gut, scan nach dieser Anleitung Dein System: http://www.trojaner-board.de/38066-escan-anleitung-und-find-bat-autor-mightymarc.html |
Hatte eben wieder schweren SystemfehlerSystemprozeß Windows Logon Process Hier ein Scan bericht.Ich hoffe,ich habe alles richtig gemacht.Wie werde ich die Teile los ? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.2.7 Sprache: German C:\DOKUME~1\Moni\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen. System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\tasks\at1.job Offending file found: C:\WINDOWS\tasks\at1.job ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Programme\aida Offending Folder found: C:\Programme\aida ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\program files\Musicmatch\Musicmatch Update\MMJB\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\Musicmatch\Musicmatch Update\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 63268 Gefundene Viren: 2 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 30 Dauer des Scans bisher: 00:41:35 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 22:14:27,85 Batchende: 22:14:40,79 |
Ist jetzt eine gute Frage, ich würde die Systemherstellung beim nächsten booten deaktivieren. Danach Rebooten ,anschliessend im im abgesicherten Modus mit CCleaner den Rechner entmüllen, mit einem frischem Spybot und Adaware (Update, mit aktuellen Signierungen) Dein System bereinigen, Systemherstellung aktivieren, anschliessend Dein System normal hochfahren, nochmals mit den eben genannten Programmen Deinen Rechner scannen und alles löschen was die finden. Neuen e-scan posten! |
Es hatte sich was im Task planer festgesetz ,habe das erstmal gelöscht.Ich habe sonst das Programm XP Clean,das räumt eigentlich gut auf,nur eben nicht bei Viren. Was kann ich noch tun? |
Zitat: Was kann ich noch tun? Ich habe sonst das Programm XP Clean,das räumt eigentlich gut auf,nur eben nicht bei Viren. Viren? Gibt es sowas in heutigen Zeiten überhaupt noch??? :confused: Die Zeiten ändern sich, heute beherrschen Ad- und Malware das Internet, diverse Rootkits schleichen sich an Antivirenprogs vorbei, ein HJT sieht längst nicht immer alles (Solltest im übrigen mal Deine Hijackthis.exe in irgendwas umbenennen!) usw,usw..... Kein Antiviren oder Antispyprog wird jemals den Rechner 100% sichern können, man kann nur Prophylaxe betreiben. Das ist eine Endlosschraube, die "Bösen" werden immer einen Schritt vorraus sein, bevor man selber aggieren kann. Versuch mal dieses Version von meinem Statement von 23:01 h (Einfacher erklärt): 1.Lade Dir Spybot sowie Adaware runter, mach als erstes ein update und scan Dein System. 2.Dann lade bitte CCleaner und bereinige alles. 3. Systemwiederherstellung deaktivieren. 4. Im Abgesicherten Modus ( F8 drücken ) alle drei Programme nochmals ausführen. 5. Anschl. im normalen Modus arbeiten und nochmals nachsehen ob die Datei vorhanden ist bzw sich erneuert hat. Wenn JA ---> Onlinescan ** Anleitung hier: http://www.trojaner-board.de/38066-escan-anleitung-und-find-bat-autor-mightymarc.html Wenn NEIN --- > Systemwiederherstellung aktivieren, Wiederherstellungspunkt erstellen |
Ich werds versuchen und meld mich morgen Abend nochmal.Danke erstmal. |
Ist oki, sorry wenn ich keine Verlinkungen habe, aber ich denke mir mal, mit ein wenig "googeln" ist es leicht diesen Ablauf nachzuvollziehen. Du kannst auch in diesem Forum alle Links finden... Gruß Patrick |
Hallo. beim Scan wird nichts mehr gefunden.Der Wurm scheint weg zu sein ,aber der andere Rest ist noch da.Das kann ich nirgents wo finden...( 2 mal Object "purityscan Spyware/Adware" in Dateisystem gefunden! ) . |
Hi, ich hatte bis heute das gleiche Problem wie du (das Beenden von Prozessen mit dem anschließendem Countdown). Ich hab zumindest gefunden was das verursacht hat. Aber ich glaube nicht, dass ich damit auch die Wurzeln des Wurms (?) gefunden hab. Guck doch mal in deinen Tasks Ordner im Ordner WINDOWS und guck mal ob dort Tasks sind die du nicht kennst (bei mir hießen sie At1 - At18). Guck danach mal in den Eigenschaften der Tasks was sie ausführen. Bei mir führten sie alle die datei "y8V3ADNQ.exe" aus, die ich im Ordner System32 gefunden hab. Der Name kann aber auch zufallsgeneriert sein. Ich hab die Datei dann mal auf VirusTotal geprüft und herausgefunden, dass das eine "böse" Datei ist. Hab die Tasks und "y8V3ADNQ.exe" einfach gelöscht und hab seit dem Ruhe vor den Prozessbeendigungen und dem Countdown oder dem Bluescreen der durch winlogon.exe kam. Ich mache aber trotzdem noch ein Neuaufsetzen da ich mir nicht sicher bin ob das alles vom Wurm war. Wenn du in den angegeben Ordnern nichts findest hab ich nen anderen Wurm als du gehabt. (dann aber mit sehr ähnlichen Auswirkungen) Oder du hast ihn wirklich erwischt ;) mfg samsh |
Hallo.Ich hatte die Task leider so gelöscht,ohne auf Eigenschaften zu schauen .Was stand denn da bei windows noch hinter der bösen Datei? |
Es war der selbe Wurm.Hatte genausolche Probleme ua.auch viel mit Winloogon. |
Zitat:
|
Habe eben bei Virus total einen Virenscan bei einer verdächtigen Datei gemacht und ich glaube es war eine "böse" Datei.Schreibe gleich mehr.Es sind glaube ich noch mehr von denen da. |
Das ist eine Auswertung.Aber wie werde ich das Ding los? Antivirus Version Update Result AhnLab-V3 2007.6.20.1 06.20.2007 no virus found AntiVir 7.4.0.34 06.20.2007 TR/Hijack.Explor.3467 Authentium 4.93.8 06.19.2007 Possibly a new variant of W32/NewMalware-Rootkit-PX-based!Maximus Avast 4.7.997.0 06.20.2007 no virus found AVG 7.5.0.467 06.20.2007 BackDoor.Generic7.IPU BitDefender 7.2 06.20.2007 BehavesLike:Win32.ExplorerHijack CAT-QuickHeal 9.00 06.20.2007 no virus found ClamAV devel-20070416 06.20.2007 no virus found DrWeb 4.33 06.20.2007 no virus found eSafe 7.0.15.0 06.20.2007 Win32.VB.kb eTrust-Vet 30.8.3730 06.20.2007 no virus found Ewido 4.0 06.20.2007 Backdoor.VB.kb FileAdvisor 1 06.20.2007 no virus found Fortinet 2.91.0.0 06.20.2007 no virus found F-Prot 4.3.2.48 06.19.2007 W32/NewMalware-Rootkit-PX-based!Maximus Aditional Information File size: 19520 bytes MD5: fee615815b5a3972a514ec0e8fa5aae6 SHA1: 0b16aa0dc8ee5e67c4179b0fff9ad33c7fdef797 VirusTotal is a free service |
is das die EXE, die ich meinte (also y8V3ADNQ.exe) ? Ich glaub ich hatte nämlich die gleichen Ergebnisse. Also ich hab die EXE einfach gelöscht. Bin mir aber nicht sicher ob das den Wurm entgültig entfernt... denke mal eher nicht, da die EXE ja irgendwo hergekommen sein muss. |
Die Datei hatte eien anderen Namen,scheint aber das selbe zu sein oder zumindest die selben Wirkungen.Habe eben noch gegoogelt aber da kommt keine richtige Hilfe |
Der Name sieht zufallsgeneriert aus (also bei jedem anders). Von daher ist klar das wir beide bei Google nichts gefunden haben... |
Was nun? Das Thema hier im Bord nochmal neu eingeben? |
AVG Anti-Spyreware7.5.1.43 findet die Datei |
Tut mir Leid für euch, Standardusus hier am Board ist es Leuten, die mit Backdoortrojanern befallen sind ein Neuaufsetzen zu empfehlen. In dem Link findet ihr auch die Begründung, WARUM wir das empfehlen. Ich hab mir jetzt eure Logs nicht durchgeschaut und weiß auch nicht was euch bisher empfohlen wurde. Daher würd ich an eurer Stelle noch auf Rückmeldung von Mobius warten. lg myrtille EDIT: Da ist er ja schon. :) Da hätte ich ja gar nicht groß Antwort schreiben brauchen |
Etwas stutzig machen mich die Namen des Fundes von Virustotal schon. Ob es da mit dem einfachen Löschen der "bösen" Date getan ist, mag ich zu bezweifeln. Deaktiviere bei Deinem Rechner die Systemwiederherstellung, gucken hier: http://www2.tu-berlin.de/www/software/virus/sysres.shtm Beim nächsten booten drückst Du F8 und scannst das System nochmals mit a-suared :http://www.emsisoft.com/de/software/free/ Anschliessend Rechner im normalen Modus neu starten. Hier ist auch noch eine Liste von Rootkit-scannern: http://www.techsupportalert.com/best_46_free_utilities.htm#7 Aber solltest Du wirklich einen Rootkit drauf haben, macht dies die Sache noch komplizierter! Denn "Einbrecher" benutzen diese Technik um sich gut zu verbergen. Dazu ändert das Rootkit interne Abläufe des Betriebssystems oder es manipuliert Datenstrukturen, auf die sich das Betriebssystem beim Verwalten und Überprüfen verlässt. Hat man also nur den begründeten Verdacht das ein Rootkit sich im System breit gemacht hat, sollte man eigentlich Formatieren und Neuaufsetzen. |
Standardusu, was meinst du damit? AVG hat alles gefunden .Müste doch alles weg sein, Oder? |
Was myrtille meinte ist dies hier: http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html Glaubst Du allen ernstes, AVG hat alle Deine Probs behoben? Bei Deinem Problem ist mir manches nicht geheuer... Bin der gleichen Meinung, sollten die Wurstelei sein lassen, kurzen Prozess, setz neu auf! Übrigens, Hi myrtille... |
Übersetzte Version von http://www.authentium.com/threatmatrix/VirusDetail.aspx?RefNo=842 Habe eben das bei google gefunden.Hilft das und wie funktioniert das dann.Oder muß ich alles neu machen?Kann ich mir noch etwas auf Cd sicher ,oder wird das dann auch verseucht sein? |
Dann ist aber alles von dem Ding weg oder?Kann ich mir nun vorher noch was wichtiges auf Cd brennen oder nicht?Ich mein,ohne da irgentwas von dem Ding mit draufzu bekommen |
Fidel Castro tot. So kann man es am besten beschreiben! Es lohnt sich vor der Neuinstallation nicht, ein backup von windows zu machen ,weil niemand weiss, ob nicht irgendein Hacker über den Backdoor/Rootkit Deine Systemdateien verändert hat. Und komm mal von Deinem kindlichen Ur-Vertrauen in "Virenklingel und löschen" weg. Also, ich denke mir mal, ist jetzt alles geschrieben worden. |
War das jetzt die Antwort auf die Frage, ob man vorher noch wichtige Daten (nicht aus dem Betriebssystem) sichern kann? Z.B. auf externe Festplatte (vorher formatiert also noch nicht mit Virus o.Ä. in Kontakt gekommen) oder brennen? Für mich kommt nämlich nur so formatieren in Frage, da ich Dateien habe die ich unter allen Umständen behalten möchte. Ich hatte ja eigentlich vor zu formatieren... mfg samsh |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board