Viren/Wurmschleuder entseucht oder nicht ?

#1 Hallo Leute,

ich hab von nem Kollegen den Rechner (WIN 2000 PRO SP2) zur Untersuchung gekriegt, weil nix mehr lief. Er sagte das Ding spinnt total, kann keine Emails mehr empfangen etc.
Hab das Ding erstmal ohne Netzwerk gestartet (zum glück) und nen Virenscanner installiert (CA EZ-Armor Suite (Virescanner/Firewall) gabs mal gratis im Netz/neuestes Update)
Was soll ich sagen ? 36 Infektionen mit ca 16-20 der berühmtesten Viren/Würmer. (AGOBOT,KLEEZ,NIMDA,LOVESAN,etc)

Dabei stellten sich eigentlich nur drei Dateien quer:
system32/drivers/etc/hosts
system32/ntsyskrnl.exe
system32/wuam.exe

Bei jedem Neustart meldete der Realtime-Virenscanner als infiziert mit blablabla.Virus und deleted / repaired.

Habe dann die Hosts (war 880 bytes) gelöscht und durch Editor-Datei ersetzt :
127.0.0.1 localhost
macht nur noch 25 bytes

Danach keine Meldung mehr wegen hosts-Datei.
Dann
Spybot Search & Destroy 1.2 (kein Update notwendig)
Spywareblaster 3.1 mit frischem Update
AdAware 6.0 Build 181 mit frischem Update
installiert und mit härtesten Bandagen kämpfen lassen.

Und das ist dabei rausgekommen :
Logfile of HijackThis v1.97.7
Scan saved at 22:16:22, on 23.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\VetMsgNT.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
D:\SICHER~1\EZARMO~1\ETRUST~1\VetTray.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\ntsyskrnl.exe
D:\Sicherheit\HiJackThis\HijackThis.exe
C:\WINNT\system32\ntsyskrnl.exe
C:\WINNT\system32\ntsyskrnl.exe
C:\WINNT\System32\ntsyskrnl.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer 6 SP1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SICHER~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [VetTray] d:\SICHER~1\EZARMO~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\OfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38129.7129166667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ich hoffe ich bin alle Würmer,Viren,Spy- und Malware losgeworden.

Für Hinweise die zur Ergreifung weiterer Übeltäter führen wäre ich sehr dankbar.

[EDIT] Wenn das hier im falschen Forum gepostet wurde, sorry , bitte verschieben [/EDIT]

Gruß

MIKO

#2 Hi miko

Dieses Logfile sieht gut aus.
Die Tools scheinen ihre Arbeit getan zu haben
Nur zur Info.
Von Spybot S&D gibts jetzt Version 1.3, deswegen gibt kein Update mehr für 1.2

Dein einzigstes Problem ist wohl noch der laufende Prozess
C:\WINNT\system32\ntsyskrnl.exe
zu sein , ist von Agobot.
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.IK

Mach mal eine Neustart und poste nochmal das Logfile.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 Da hilft nur Daten sichern und "plattmachen". Auf andere Spielchen, bei der Vorgeschichte, wuerde ich mich nicht einlassen.
__________
MfG Ralf
SEO-Spam Hunter

#4 @ paff

danke für die SpyBot-Info, werds gleich saugen.
also ntsyskrnl.exe läuft noch (dreimal).

hier das log :
Logfile of HijackThis v1.97.7
Scan saved at 08:14:18, on 26.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\VetMsgNT.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
D:\SICHER~1\EZARMO~1\ETRUST~1\VetTray.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\wuauclt.exe
D:\Sicherheit\HiJackThis\HijackThis.exe
C:\WINNT\system32\ntsyskrnl.exe
C:\WINNT\system32\ntsyskrnl.exe
C:\WINNT\System32\ntsyskrnl.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer 6 SP1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SICHER~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [VetTray] d:\SICHER~1\EZARMO~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\RunServices: [Nt System Kernel] ntsyskrnl.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\OfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38129.7129166667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

@ raman

was meinst Du mit "plattmachen" ? Formatieren und neu aufziehen ?

Gruß

MIKO

#5 Genau das! Und wenn erst sp2 drauf war, ist die installation ja auch schon recht alt.
__________
MfG Ralf
SEO-Spam Hunter

#6 @ raman

ist ein bisserl problematisch, weil ich keine Setup-CD für Win 2000 hab.
Die hat mein Kollege nicht gefunden.
Und für XP ist der Rechner ein bischen schwach, oder ?
(Pentium 2/400 mit 128 MB Ram)

Gruß

MIKO

#7 @miko

Wichtig ist alle Prozess des C:\WINNT\system32\ntsyskrnl.exe im Taskmanager
killen.
Dann in HiJackThis die EInträge
O4 - HKLM\..\Run: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\RunServices: [Nt System Kernel] ntsyskrnl.exe
fixen.

Dann neustart machen

Wenn einträge wieder da sind mach das ganze im abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

Danach wieder normal starten und wieder überprüfen opb die EInträge weg sind.
Dann Virenscanner besorgen www.antivir.de
updaten (WICHTIG!!!!!!!!!!!!!!!!!!!!)

Dann wieder in abgesicherten Modus gehen
Ganze Festplatte scannen

Danach einfach mal den Report posten

Außerdem wichtig:
Wie raman sagt , 100% Sicherheit gibts jetzt nicht mehr.
Auf jedenfall alle Passwörter ändern. Du hattest jede Menge Trojaner die alles ausspioniert haben an Board.

Wenn dir dies zuviel ist , dann hilft nur FORMATIEREN

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#8 jau war zuviel,

aber nich für mich sondern für den rechner.
Als ich versucht habe das File-System von Fat32 auf NTFS zu ändern mit dem Befehl <CONVERT>, ist die Kiste irreparabel abgeschmiert.
XP-Setup CD rein und alles neu gemacht ...

trotzdem Danke für Eure TIPS ...

Gruß

MIKO