unbekannter Virus! |
|
|---|---|
|
15.07.2006, 22:15
Ehrenmitglied
 Beiträge: 29434 |
|
 
|
|
|
15.07.2006, 23:14
Member
Themenstarter Beiträge: 18 |
#17
Kategorie: Bedrohungswarnungen
Datum,Funktion,Bedrohungsname,Ergriffene Maßnahme,Elementtyp,Ziel,Verdächtige Aktion,Version der Virendefinitionen,Produktversion,Benutzername,Computername,Details 15.07.2006 23:08:47,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 21:43:37,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 21:21:46,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 21:17:54,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 21:16:26,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 18:44:09,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 18:39:18,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 18:31:07,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 17:02:16,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 15:46:19,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 15:30:25,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 13:43:53,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 13:05:10,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\mssave.exe 15.07.2006 12:51:45,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 12:41:33,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 12:00:01,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 11:45:43,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 11:16:21,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 15.07.2006 01:03:10,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe |
|
|
|
|
16.07.2006, 13:13
Ehrenmitglied
Beiträge: 29434 |
#18
das sieht nach Rootkits aus.............
1. http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten 2. RootkitRevealer -> poste das log http://www.sysinternals.com/Utilities/RootkitRevealer.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
16.07.2006, 14:15
Member
Themenstarter Beiträge: 18 |
#19
FSB:
07/16/06 13:31:32 [Info]: BlackLight Engine 1.0.42 initialized 07/16/06 13:31:32 [Info]: OS: 5.1 build 2600 (Service Pack 2) 07/16/06 13:31:32 [Note]: 7019 4 07/16/06 13:31:32 [Note]: 7005 0 07/16/06 13:31:45 [Note]: 7006 0 07/16/06 13:31:45 [Note]: 7011 1156 07/16/06 13:31:45 [Note]: 7026 0 07/16/06 13:31:45 [Note]: 7026 0 07/16/06 13:31:55 [Note]: FSRAW library version 1.7.1019 07/16/06 13:36:11 [Note]: 2000 1006 07/16/06 13:36:38 [Note]: 7007 0 RootkitReveal: HKLM\SOFTWARE\Classes\webcal\URL Protocol 08.03.2006 18:58 13 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 16.07.2006 13:37 80 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 30.05.2006 18:38 0 bytes Access is denied. C:\Dokumente und Einstellungen\Alex.JAGANG\Anwendungsdaten\ICQLite\Bartcache\133390439\Temp\ICQTempFile29571.tmp 16.07.2006 13:51 5.01 KB Hidden from Windows API. |
|
|
|
|
16.07.2006, 20:31
Ehrenmitglied
Beiträge: 29434 |
#20
1.
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom Avenger, was erscheint. 2. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) msconfigs in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) mssave in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
17.07.2006, 13:23
Member
Themenstarter Beiträge: 18 |
#21
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\mjkmvbav ******************* Script file located at: \??\C:\shfctjnh.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\msconfigs.exe not found! Deletion of file C:\WINDOWS\system32\msconfigs.exe failed! Could not process line: C:\WINDOWS\system32\msconfigs.exe Status: 0xc0000034 File C:\WINDOWS\system32\mssave.exe not found! Deletion of file C:\WINDOWS\system32\mssave.exe failed! Could not process line: C:\WINDOWS\system32\mssave.exe Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 17.07.2006 13:20:21 for strings: ; 'msconfigs' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "Microsoft Configoration Service"="msconfigs.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Microsoft Configoration Service"="msconfigs.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa] "Microsoft Configoration Service"="msconfigs.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Lsa] "Microsoft Configoration Service"="msconfigs.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Microsoft Configoration Service"="msconfigs.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\OLE] "Microsoft Configoration Service"="msconfigs.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Configoration Service"="msconfigs.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices] "Microsoft Configoration Service"="msconfigs.exe" [HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Control\Lsa] "Microsoft Configoration Service"="msconfigs.exe" [HKEY_USERS\S-1-5-21-3635226540-1556260073-3633870243-1005\Software\Microsoft\Search Assistant\ACMru\5603] "002"="msconfigs" [HKEY_USERS\S-1-5-18\Software\Microsoft\OLE] "Microsoft Configoration Service"="msconfigs.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Configoration Service"="msconfigs.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunServices] "Microsoft Configoration Service"="msconfigs.exe" [HKEY_USERS\S-1-5-18\SYSTEM\CurrentControlSet\Control\Lsa] "Microsoft Configoration Service"="msconfigs.exe" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 17.07.2006 13:22:38 for strings: ; 'mssave' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Zu Avenger wollt ich noch sagen das ja mein norton autoprotect den virus ja immer wieder findet und ihn dann löscht. Deswegen dürfte Avenger da nichts gefunden haben |
|
|
|
|
17.07.2006, 14:49
Ehrenmitglied
Beiträge: 29434 |
#22
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4PC wieder in den normalmodus starten - berichte, ob die reg funktioniert hat und pruefe mit Registry Search noch mal Microsoft Configoration Service __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
17.07.2006, 16:07
Member
Themenstarter Beiträge: 18 |
#23
reg scheint funktioniert zu haben
REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 17.07.2006 16:04:09 for strings: ; 'microsoft configoration service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 17.07.2006 16:06:17 for strings: ; 'msconfigs' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\S-1-5-21-3635226540-1556260073-3633870243-1005\Software\Microsoft\Search Assistant\ACMru\5603] "002"="msconfigs" ; End Of The Log... |
|
|
|
|
17.07.2006, 16:17
Ehrenmitglied
Beiträge: 29434 |
#24
loesche das noch manuell aus der registry
[HKEY_USERS\S-1-5-21-3635226540-1556260073-3633870243-1005\Software\Microsoft\Search Assistant\ACMru\5603] "002"="msconfigs" PC neustarten dann scanne noch mal im abgesicherten modus mit Norton und berichte, ob noch etwas gefunden wurde. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
17.07.2006, 20:19
Member
Themenstarter Beiträge: 18 |
#25
ok habs gelöscht und dann im abgesicherten Modus norton laufen lassen. Gefunden wurde jedoch nichts.
Als ich aber den PC wieder einige Zeit länger im normalen Modus hab laufen lassen, meldet Nortons Auto Protect wieder die selben Viruswarnungen wie die Tage zuvor und löschte den Virus auch immer wieder. Hier das Protokoll von heute: Kategorie: Bedrohungswarnungen Datum,Funktion,Bedrohungsname,Ergriffene Maßnahme,Elementtyp,Ziel,Verdächtige Aktion,Version der Virendefinitionen,Produktversion,Benutzername,Computername,Details 17.07.2006 20:08:39,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 17.07.2006 20:03:08,Auto-Protect,W32.Linkbot,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe 17.07.2006 16:30:42,Auto-Protect,W32.Spybot.Worm,Automatisch gelöscht,Datei,N/A,N/A,200607140020,11.0.16.2,SYSTEM,JAGANG,Quelle: C:\WINDOWS\system32\msconfigs.exe |
|
|
|
|
17.07.2006, 20:23
Ehrenmitglied
Beiträge: 29434 |
#26
du wirst ums formatieren nicht drumrumkommen, ich finde den Downloader nicht und symantec auch nicht, wie es scheint...keine Chance..................
und selbst wenn ein Scanner den Wurm findet...in der Registry ist alles umgestellt, dein Netzwerk kompromitiert, die Ports geoeffnet......... es scheint ein netzwerkwurm zu sein, der dein System instabil macht , es kann auch sein, dass er sich in deinen mails festsetzt und von dort verbreitet. Zitat Auf 311 Computer mit Windows-Software kommt ein Computer, der durch einen Trojaner infiziert ist und 60 Prozent von ihnen von Fremden ferngesteuert werden könnten. Dies geht aus den Daten hervor, die Windows mit seinem Malicious Software Removal Tool sammelte. Mit diesen Zombie-PCs können Hacker ungehindert Spammails versenden oder eigene Hackerangriffe starten. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
17.07.2006, 20:29
Member
Themenstarter Beiträge: 18 |
#27
ok schade trotzdem vielen dank für die Hilfe! Und was ich noch fragen wollte ist der Virus eigentlich sehr gefährlich? Weil Norton findet ihn ja immer sofort wenn er wieder auftaucht und die Meldung allein wär ja nicht das Problem wenn der Virus nicht viel anrichtet.
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
__________
MfG Sabina
rund um die PC-Sicherheit