!!!bin infiziert mit Droppers DR/Bridge.A.2 und worm random1

#0
31.08.2004, 16:49
...neu hier

Beiträge: 2
#1 hallo!
habe euer superforum gestern entdeckt - ist ja super wie ihr hier den leuten helft - ich hab sicher ein ähnliches porblem wie viele: hier meine "daten":

Das zeigt „ANTIVIR“:

C:\DOKUME~1\HAARST~1\LOKALE~1\TEMP\GSF5\IPCFG.EXE

Ist das Trojanische Pferd TR/Flood.BI

C:\DOKUME~1\HAARST~1\LOKALE~1\TEMP\ICD2.TMP\BRIDGE.DLL

Enthält Signatur des Droppers DR/Bridge.A.2

C:\DOKUME~1\HAARST~1\LOKALE~1\TEMP\GSF5\SOCKS.TXT

Enthält Signatur des Wurmes Worm/Randon.1

Das ist ein Auszug dem ANTIVIR Report:

C:\Dokumente und Einstellungen\Haarstudio\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SXEBSHQF
bridge[1].cab
ArchiveType: CAB (Microsoft)
--> bridge.dll
[FUND!] Enthält Signatur des Droppers DR/Bridge.A.2
--> jao.dll
[FUND!] Ist das Trojanische Pferd TR/Spy.Briss.G


Das ist die Seite, die immer automatisch kommt:

http://tpbot69.rg.tripod.com/sbc.html

hier mein logfile aus hijackthis

habe es immer wieder gefixt . die beiden – o17 einträge – bei jedem einwählen ins internet erscheint sie wieder

habe immer alle temp dateiein gelöscht, trotzdem immer wieder

hier ist das logfile:
Logfile of HijackThis v1.98.2
Scan saved at 16:21:47, on 31.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\Msbb.exe
C:\WINDOWS\System32\wmplayer.exe
C:\WINDOWS\System32\winu32.exe
C:\WINDOWS\System32\taskmenaagr.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\NTupdates.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Downloads\Schutz+Saübern\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
O4 - HKLM\..\Run: [Media Player] wmplayer.exe
O4 - HKLM\..\Run: [update service] winu32.exe
O4 - HKLM\..\Run: [Task manager] taskmenaagr.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - HKLM\..\RunServices: [Task manager] taskmenaagr.exe
O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [Task manager] taskmenaagr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FACA073-09C0-4671-A1BF-911FD0537CCC}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{3FACA073-09C0-4671-A1BF-911FD0537CCC}: NameServer = 217.237.150.33 194.25.2.129

vielen Dank im voraus!!!! für eure hilfe

gruß oxmox
Seitenanfang Seitenende
31.08.2004, 17:05
Moderator

Beiträge: 7805
#2 Dein system ist die reine Virenschleuder:

c:\NTupdates.exe
C:\WINDOWS\System32\Msbb.exe
C:\WINDOWS\System32\wmplayer.exe
C:\WINDOWS\System32\winu32.exe
C:\WINDOWS\System32\taskmenaagr.exe

... sind alles aktive bots zu deinen anderen Sachen, die sich in deinen Temp Ordnern befinden. Du solltest dir ernsthaft ueberlegen, ob du nicht dein System neu aufsetzen solltest. Vor dem aktivieren deines XPs solltest du die Winxp Firewall aktivieren und danach alle Updates von www.windowsupdate.com installieren.

Packe vorher die oben genannten Dateien in ein Zip oder Rar Archiv und schicke es bitte an virus@rokop-security oder zumindest an heuristik@antivir.de gib in beiden bitte einen Link zu diesem Thread.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
31.08.2004, 17:31
...neu hier

Themenstarter

Beiträge: 2
#3 hallo ralf,

klingt ja übelst - meinst du nicht es geht ohne neuaufsetzen? wenn ich mit

fixen
escan
abgesicherter modus
usw probiere?

wenn ja - bitte sag mir welche einträge ich aus dem hijack fixen soll

und...wenn ich alles neu aufsetze.und zum 1. mal wieder online gehe, habe ich ja wieder keinen schutz ohne die windows updates - und werde doch gleich wieder infiziert....


nochmals danke!
gruß oxmox
Seitenanfang Seitenende
31.08.2004, 17:40
Moderator

Beiträge: 7805
#4 DU musst nur vor dem ersten Onlinegehen die Windowsfirewall aktivieren und erstmal nur die Updates laden. Die Firewall schuetzt dich ersteinmal vor solchen Bots.

Man kann auch dein System von bekannten "Plagen" reinigen lassen, so wie du es vorgeschlagen hast( Warum hast du das eigentlich nicht erst versucht? ;) ).
Nur solltest du dir das mal duchlesen:

http://www.heise.de/newsticker/meldung/46634
http://oschad.info/wiki/index.php/Virenscanner

Wenn du aber trotzdem lieber eine Reinigung versuchen moechtest, lasse ersteinmal Escan deinen Rechner pruefen und poste dann ein neues Log. Packe die oben von mir genannten Dateien im abgesicherten Modus in ein Archiv (nicht die Dateien loeschen, da Escan sonst nicht alle Eintraege sauber reinigt) und lasse dann Escan ran.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende