Neue Festplatte -> istbar, sidefind, VX2, Powerscan

#0
06.09.2004, 19:23
...neu hier

Beiträge: 2
#1 Hidiho alle z`sammen.

Ich bin dem Weinkrampf schon sehr nahe ;/ Erst eine kurz Einleitung. (Hijackthis log + andere logs am Ende)

Am Freitag kamen meine bestellten HW-Teile an [alles fabrikneu: mobo (epox), ram (corsair), Festplatte (Seagate), Prozi, Nezteil etc) Bis auf mein alten CPU Lüfter und DVD-Brenner ist also alles neu.
Alles installiert und XP Pro neu drauf.

Und innerhalb von paar Minuten/Stunden hatte ich diverse Würmer/Trojaner etc drauf. Das obwohl ich nur Driver für meine Hardware gezogen hab.

Meine Probleme sehen wie folgt aus.

Wenn ich für ca. ne halbe Stunde online bin, fängt mein IE an zu spinnen. Ich kann nur mit ca. 3-5 kb/s surfen, dementsprechend auch nur langsam downloaden.

Hab dann zuerst "ad aware" (plus plvx2cleaner) laufen lassen. Gefunden:

- istbar
- sidefind
- 180 Solutions
- VX2
- Powerscan
- IP insigh

-> Gelöscht. Nach neuboot und kurzem surfen waren aber wieder einige dieser Würmer drauf. Windosupdate gemacht. Neu gebootet, alle Würmer entfernt, neu booten. Kurz online, wieder Würmer drauf.

Formatiert. Diesmal SOFORT alle Sicherheitsupdates von MS geladen. Neu gestartet, kurz online, alles wieder von vorne. Nur das jetzt teilweise PC-Neustart nötig ist damit ich überhaupt irgend ne Seite aufrufen kann.

Diesmal alles benutzt was ich finden konnte.

AntiVir Guard (findet bei jedem Durchlauf eigentlich was...)
Spybot (kommt immer wieder DSO Exploit (5 Einträge))
Hijackthis (teilweise, sofern verstanden, selbst Einträge gelöscht)
Pandasoft Online Scan (wenn er mal geht findet er auch immer wieder was)
cwshredder (hat bisher am wenigsten gefunden)

Gerade mal SpyHunter v1.1.30 laufen lassen:
- 2 x 180 Solutions Registry Eintrag
- Creative Labs (Werbung...)
- NewsUpd.exe (wohl auch ein File fon Creative Labs)

Soeben neuer Lauf von Spybot (erkennt diesmal mehr als vor 15 Minuten...)
- NewsUpdate (7 Entries)
- DSO Exploit (5 Entries)
- eAccleration (4 Entries - scheinen vom SpyHunter zu sein)

Zum Finale die Hijackthis log:

Logfile of HijackThis v1.98.2
Scan saved at 19:21:38, on 06.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\mIRC\mirc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\jethro\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKCU\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: SATARaid.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094399095883
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C545CBFF-E5C4-43EE-B845-0CDBC093BF16}: NameServer = 217.237.151.161 194.25.2.129


Zusatz:

Vllt wäre es auch von Nöten, oder einfacher wieder einmal zu formatieren. Was sollte ich dann zuerst machen? Bestimmte Software runterladen? WindowsUpdates? :/

jet
Dieser Beitrag wurde am 06.09.2004 um 19:26 Uhr von jet editiert.
Seitenanfang Seitenende
06.09.2004, 19:42
Member

Beiträge: 441
#2 Hallo,

Zitat

Vllt wäre es auch von Nöten, oder einfacher wieder einmal zu formatieren. Was sollte ich dann zuerst machen? Bestimmte Software runterladen? WindowsUpdates? :/
Das sicherste wäre ein Neuaufsetzen (formatieren + XP neu aufspielen) deines Systems, da es durch diverse Backdoor Trojaner kompromittiert wurde. Dein Problem ist einfach, du_sicherst_dein System_nicht_ensprechend_VOR_dem_ersten _Online_Gang_ab, daher die erneute Infizierung nach dem Formatieren.
http://faq.underflow.de/#SECTION000120000000000000000
http://oschad.de/wiki/index.php/Kompromittierung

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken

Weitere Lektüre:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

btw: Die Übeltäter:
explore32.exe => ?
winupdate.exe => W32/Spybot-BX
winsysi.exe => ?

Überprüfe diese drei Dateien sofern vorhanden bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 06.09.2004 um 19:49 Uhr von Cidre editiert.
Seitenanfang Seitenende
06.09.2004, 19:52
...neu hier

Themenstarter

Beiträge: 2
#3

Zitat

Cidre postete
9. Surfverhalten überdenken
Naja, ich denke mein Surfverhalten is einigermaßen sicher. Ich habe bisher immer Firefox benutzt, zudem surfe ich eigentlich nur auf einigen wenigen Seiten. (ich denke kaum das Seiten wie wikipedia oder sport1 Gefahren birgen ;) ) Aber sei es drum, irgendwo müssen diese "Viecher" ja herkommen, wobei ich vllt. wie schon gesagt gerade mal 1-2 Stunden online war ;)

Vielen Dank für die ausführliche Antwort, werde mir die Lektüre zu Genüge führen.

Bye bye

jet
Seitenanfang Seitenende
06.09.2004, 20:11
Member

Beiträge: 441
#4 Dabei geht es nicht nur um die Seiten die du ansurfst, sondern
daß du dein Brain einschalten und dich darüber informieren sollst, bevor du irgendetwas ausführst.
Downloads sollten immer mittels aktualisierten AV Scanner gegengeprüft werden.

by the way: Wenn du dir also die Schädlinge selbst installierst, ist jeder AV Scanner machtlos, sowie alle anderen getroffenen Sicherheitsmaßnahmen für die Katz.

Zitat

Aber sei es drum, irgendwo müssen diese "Viecher" ja herkommen, wobei ich vllt. wie schon gesagt gerade mal 1-2 Stunden online war
Wie gesagt, dein System ist nach dem Neuaufsetzen total ungesichert und enthält etliche Sicherheitslücken, diese mußt du natürlich mit Patches schließen. Es genügen bereits wenige Sekunden um dein ungeschütztes System zu kompromittieren.

Lese dir die Links durch, dort wird nochmal alles genau erklärt. ;)
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
06.09.2004, 20:17
Member

Beiträge: 1095
#5 @jet

Sehr hilfreich auch diese Anleitung zum "Sicheren" Installieren von Win XP.

http://dieschis-welt.de/wbboard/thread.php?threadid=4597&boardid=25&styleid=1&sid=6eaff64afcba421db643ebfd06fd85d9

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
06.09.2004, 21:01
Member

Beiträge: 441
#6

Zitat

Sehr hilfreich auch diese Anleitung zum "Sicheren" Installieren von Win XP.

http://dieschis-welt.de/wbboard/thread.php?threadid=4597&boardid=25&styleid=1&sid=6eaff64afcba421db643ebfd06fd85d9
Momentan leider außer Betrieb zwecks neuer Forum-Software.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende