Viren/Wurmschleuder entseucht oder nicht ? |
||
---|---|---|
#0
| ||
23.05.2004, 22:34
Member
Beiträge: 12 |
||
|
||
24.05.2004, 09:45
Member
Beiträge: 1095 |
#2
Hi miko
Dieses Logfile sieht gut aus. Die Tools scheinen ihre Arbeit getan zu haben Nur zur Info. Von Spybot S&D gibts jetzt Version 1.3, deswegen gibt kein Update mehr für 1.2 Dein einzigstes Problem ist wohl noch der laufende Prozess C:\WINNT\system32\ntsyskrnl.exe zu sein , ist von Agobot. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.IK Mach mal eine Neustart und poste nochmal das Logfile. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
24.05.2004, 09:47
Moderator
Beiträge: 7805 |
#3
Da hilft nur Daten sichern und "plattmachen". Auf andere Spielchen, bei der Vorgeschichte, wuerde ich mich nicht einlassen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.05.2004, 08:07
Member
Themenstarter Beiträge: 12 |
#4
@ paff
danke für die SpyBot-Info, werds gleich saugen. also ntsyskrnl.exe läuft noch (dreimal). hier das log : Logfile of HijackThis v1.97.7 Scan saved at 08:14:18, on 26.05.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\VetMsgNT.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\QuickTime\qttask.exe D:\SICHER~1\EZARMO~1\ETRUST~1\VetTray.exe C:\WINNT\system32\ctfmon.exe C:\WINNT\system32\wuauclt.exe D:\Sicherheit\HiJackThis\HijackThis.exe C:\WINNT\system32\ntsyskrnl.exe C:\WINNT\system32\ntsyskrnl.exe C:\WINNT\System32\ntsyskrnl.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer 6 SP1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SICHER~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [VetTray] d:\SICHER~1\EZARMO~1\ETRUST~1\VetTray.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Nt System Kernel] ntsyskrnl.exe O4 - HKLM\..\RunServices: [Nt System Kernel] ntsyskrnl.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\OfficeXP\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38129.7129166667 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab @ raman was meinst Du mit "plattmachen" ? Formatieren und neu aufziehen ? Gruß MIKO |
|
|
||
26.05.2004, 08:16
Moderator
Beiträge: 7805 |
#5
Genau das! Und wenn erst sp2 drauf war, ist die installation ja auch schon recht alt.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.05.2004, 08:31
Member
Themenstarter Beiträge: 12 |
#6
@ raman
ist ein bisserl problematisch, weil ich keine Setup-CD für Win 2000 hab. Die hat mein Kollege nicht gefunden. Und für XP ist der Rechner ein bischen schwach, oder ? (Pentium 2/400 mit 128 MB Ram) Gruß MIKO Dieser Beitrag wurde am 26.05.2004 um 08:33 Uhr von miko0001 editiert.
|
|
|
||
26.05.2004, 10:36
Member
Beiträge: 1095 |
#7
@miko
Wichtig ist alle Prozess des C:\WINNT\system32\ntsyskrnl.exe im Taskmanager killen. Dann in HiJackThis die EInträge O4 - HKLM\..\Run: [Nt System Kernel] ntsyskrnl.exe O4 - HKLM\..\RunServices: [Nt System Kernel] ntsyskrnl.exe fixen. Dann neustart machen Wenn einträge wieder da sind mach das ganze im abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm Danach wieder normal starten und wieder überprüfen opb die EInträge weg sind. Dann Virenscanner besorgen www.antivir.de updaten (WICHTIG!!!!!!!!!!!!!!!!!!!!) Dann wieder in abgesicherten Modus gehen Ganze Festplatte scannen Danach einfach mal den Report posten Außerdem wichtig: Wie raman sagt , 100% Sicherheit gibts jetzt nicht mehr. Auf jedenfall alle Passwörter ändern. Du hattest jede Menge Trojaner die alles ausspioniert haben an Board. Wenn dir dies zuviel ist , dann hilft nur FORMATIEREN Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
27.05.2004, 14:50
Member
Themenstarter Beiträge: 12 |
#8
jau war zuviel,
aber nich für mich sondern für den rechner. Als ich versucht habe das File-System von Fat32 auf NTFS zu ändern mit dem Befehl <CONVERT>, ist die Kiste irreparabel abgeschmiert. XP-Setup CD rein und alles neu gemacht ... trotzdem Danke für Eure TIPS ... Gruß MIKO |
|
|
||
ich hab von nem Kollegen den Rechner (WIN 2000 PRO SP2) zur Untersuchung gekriegt, weil nix mehr lief. Er sagte das Ding spinnt total, kann keine Emails mehr empfangen etc.
Hab das Ding erstmal ohne Netzwerk gestartet (zum glück) und nen Virenscanner installiert (CA EZ-Armor Suite (Virescanner/Firewall) gabs mal gratis im Netz/neuestes Update)
Was soll ich sagen ? 36 Infektionen mit ca 16-20 der berühmtesten Viren/Würmer. (AGOBOT,KLEEZ,NIMDA,LOVESAN,etc)
Dabei stellten sich eigentlich nur drei Dateien quer:
system32/drivers/etc/hosts
system32/ntsyskrnl.exe
system32/wuam.exe
Bei jedem Neustart meldete der Realtime-Virenscanner als infiziert mit blablabla.Virus und deleted / repaired.
Habe dann die Hosts (war 880 bytes) gelöscht und durch Editor-Datei ersetzt :
127.0.0.1 localhost
macht nur noch 25 bytes
Danach keine Meldung mehr wegen hosts-Datei.
Dann
Spybot Search & Destroy 1.2 (kein Update notwendig)
Spywareblaster 3.1 mit frischem Update
AdAware 6.0 Build 181 mit frischem Update
installiert und mit härtesten Bandagen kämpfen lassen.
Und das ist dabei rausgekommen :
Logfile of HijackThis v1.97.7
Scan saved at 22:16:22, on 23.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\VetMsgNT.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
D:\SICHER~1\EZARMO~1\ETRUST~1\VetTray.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\ntsyskrnl.exe
D:\Sicherheit\HiJackThis\HijackThis.exe
C:\WINNT\system32\ntsyskrnl.exe
C:\WINNT\system32\ntsyskrnl.exe
C:\WINNT\System32\ntsyskrnl.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer 6 SP1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SICHER~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [VetTray] d:\SICHER~1\EZARMO~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\OfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38129.7129166667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Ich hoffe ich bin alle Würmer,Viren,Spy- und Malware losgeworden.
Für Hinweise die zur Ergreifung weiterer Übeltäter führen wäre ich sehr dankbar.
[EDIT] Wenn das hier im falschen Forum gepostet wurde, sorry , bitte verschieben [/EDIT]
Gruß
MIKO