Virus / Trojaner

[novocain]

hi.

ich hab so ziemlich das selbe problem, nur hab ich keine möglichkeit die systemwiederherstellung zu nutzen.

Hijackthis-log:

Logfile of HijackThis v1.99.1

Scan saved at 08:11:55, on 04.01.2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Programme\VMware\VMware Workstation\vmware-authd.exe

C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

C:\WINNT\system32\vmnat.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\vmnetdhcp.exe

C:\WINNT\Explorer.EXE

C:\Programme\Java\jre1.5.0_08\bin\jusched.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\WINNT\system32\ctfmon.exe

c:\progra~1\intern~1\iexplore.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

E:\Download\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Willkommen bei MSN Deutschland

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {4D007783-96F7-4E33-8CE3-7821FBB840B2} - C:\WINNT\system32\msencoee.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM\..\Run: [Face Error Memo List] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ante bat face error\IntraFlap.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP OfficeJet Series 500] "C:\Programme\Hewlett-Packard\HP OfficeJet Series 500 NT\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet Series 500\Install"

O4 - HKCU\..\Run: [Lies about] C:\DOKUME~1\pbehrens\ANWEND~1\IDLEOK~1\pollpopinside.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKCU\..\Run: [spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = int.rotenburger-rundschau.de

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = int.rotenburger-rundschau.de

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = int.rotenburger-rundschau.de

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINNT\system32\vmnat.exe

AntiVir meldet als fund "TR/Obfuscated.BL"

gefunden @C:\DOKUME~1\user\ANWEND~1\IDLEOK~1\vsiiwkdl.exe

(wobei user nur ein platzhalter für die benutzer ist)

das teil nervt schon ein wenig, weil er sich inzwischen auf mehreren rechnern im netzwerk verbreitet hat.

hat jemand ne ahnung, wo ich ansetzen muss, und vorallem wie, damit ich den virus vollständig beseitigen kann ?!

[Hunduster]

Also ich habe meine durch Zufall wegbekommen. Ich hatte bei einer Routine Einstellung die Viren im Autostart unter msconfig gefunden. Überall ausgeschaltet, dass sie nicht mit Windows starten und dann Virenprogramme alles löschen lassen. Seid dem hab ich keinen Stress mehr.

[novocain]

hmm klingt vielversprechend, nur hab ich das problem, das mir windows (2000) sagt, die msconfig könne nicht gefunden werden...

[Hunduster]

hmm klingt vielversprechend, nur hab ich das problem, das mir windows (2000) sagt, die msconfig könne nicht gefunden werden...

Das wird daran liegen das es das nur bei XP gibt

[novocain]

wie aufmerksam von dir aber wie bekomm ich den trojaner nun weg ? z.Zt. hindere ich ihn mit Spybot's teatimer daran, sich erneut in die registry einzutragen, was aber auf dauer und auf das netzwerk betrachtet keine wirkliche lösung ist...

[Hunduster]

wie aufmerksam von dir aber wie bekomm ich den trojaner nun weg ? z.Zt. hindere ich ihn mit Spybot's teatimer daran, sich erneut in die registry einzutragen, was aber auf dauer und auf das netzwerk betrachtet keine wirkliche lösung ist...

Hast du alle Programme auch im Abgesicherten Modus laufen lassen?

HiJack This!

Ad-Aware

Spybot

Antivir

dann evt. noch:

Ewido Anti Malware

Panda AntiVir

Ansosnten Neuinstallation

[novocain]

das steht noch aus, zur zeit beobachte ich das ganze und werde in der mittagspause einen kompletten virenscan laufen lassen. gestern nach feierabend hab ich per spybot sd teatimer verhindert, das der virus sich in die registry eintragen konnte, seit dem hab ich keine meldungen mehr bekommen und auch keine popup's.

[hades]

Befallene Systeme vom Netzwerk trennen.

Nimm knoppicillin mit aktuellen Virendefinitionen und scanne diese Rechner.

mehr siehe c't 21/2006, S. 168: Sicherheit: Knoppicillin

Weitere Analysetools:

- Process Explorer und AutoRuns von Microsoft/Sysinternals.

Beide bieten wesentlich ausfuehrlichere Ergebnisse als die MS-Originale Taskmanager und msconfig.

AVG AntiSpyware:

30 Tage Trial siehe AVG Anti Virus: Products

[novocain]

Problem behoben.

Der Virus "TR/Obfuscated.BL" konnte mit Spybot Search & Destroy entfernt werden, nachdem der teatimer den neueintrag in der registry verhindert hat.