Virus/ Wurm Befall, suche seit mehreren Stunden im Inet

#0
31.05.2004, 03:42
...neu hier

Beiträge: 3
#1 Hi, ich hab mir auf meinem anderen pc nen virus/wurm ka eingefangen, soviel ist sicher. Er hat Symptome von Bagle und Sasser, aber diese removal tools und AV fanden keinen Virus. Außerdem hab ich nach vwipxspx.exe definitionen gesucht, aber immer nur fragezeichen gefunden. Ich weiß nicht ob ich die Löschen kann/darf. Ich benutze Win XP und der Rechner läd seit kurzem mindestens 2 Minuten lang hoch, also kann nichts machen, bei der Inet Connection läd der keine Sites und msconfig, regedit sowie AV Personal Edition werden beendet, ebenso der AVGuard. Ich möchte mich für den Fall, dass ich der 345 millionste typ bin, der so nen thread aufmacht entschuldigen, aber ich habe wirklich mehrere stunden mit google, hier in forum usw. gesucht und auch ein paar removal tools benutzt, unter anderen fand ich manche tools wie aswclnr hier. Hm, was kann ich noch sagen, Runservices.exe hab ich auch aufm rechner und auch keine description gefunden. Ich finds ziemlich krass, weil es anscheinend keiner dieser würmer ist, die ich dachte dass sie es sind. Hm, kann mir jemand helfen? Danke für eure Zeit und Antworten.

cya Kurdt
Seitenanfang Seitenende
31.05.2004, 08:00
Moderator

Beiträge: 7805
#2 Poste mal ein Hijcakthis log, ich denke da kann man mehr infos draus "lesen".
www.hjt.klaffke.de
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
31.05.2004, 11:56
...neu hier

Themenstarter

Beiträge: 3
#3 Hier meine Hijack Log:
Logfile of HijackThis v1.97.7
Scan saved at 11:55:15, on 31/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\runservice.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\HHVcdV5Sys\VC5Play.exe
C:\WINDOWS\System32\scvhost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Virtual CD v5\System\VC5Tray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Kurdt\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [AutoPlayer+] C:\PROGRA~2\AUTOPL~1\autoplayer_watcher.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Winamp.lnk = C:\Programme\Winamp\winamp.exe
O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\pc-bib\PCLib.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38132.5645833333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Übrigens hat der Virus/Wurm nach etwa 10-15 sekunden hijack this ebenfalls geschlossen, so macht er es auch immer mit regedit und msconfig.

cya Kurdt
Seitenanfang Seitenende
31.05.2004, 12:27
Moderator

Beiträge: 7805
#4 Da ist einiges. Wichtig ist auf jedenfall, das du windowsupdates machst!

Fix aber ersteinmal das:

O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

Starte dann neu und schicke bitte diese Dateien an virus@protecus.de

C:\WINDOWS\runservice.exe
C:\WINDOWS\System32\scvhost.exe

Dann nutze diesen Scanner im abgesicherten Modus:
http://www.mwti.net/antivirus/free_utilities.asp

und arbeite dich auch noch hier durch:
http://www.rokop-security.de/main/article.php?sid=703
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
31.05.2004, 12:28
...neu hier

Themenstarter

Beiträge: 3
#5 Danke für die Hilfe, ich probiere das jetzt mal aus, ich poste vom anderen rechner aus wenn es geklappt hat.

cya Kurdt
Seitenanfang Seitenende