Win32.Sober.I@mm?

#1 Hi leutz,
ich hab doofer weise ne E-Mail geöffnet "Ihre neuen Accound daten" von irgent einer GMX adresse.
Schon beim öffnen hat mein Pc zulange gerappelt (für sone kleine mail),
also habe ich mit meinem Bitdefender einen Vierenscan gemacht.
Ganz toll Virus erkannt, aber mehr als Ignorieren konnte ich nicht machen.
Wenn ihr mir helfen könntet den Win32.sober.I@mm von meinem Rechner zu entfernen.

MfG
Ghils33@KsK9
(sohn von monti)

#2 Mcafees Stinger sollte es koennen:
http://vil.nai.com/vil/stinger/

Bitdefender hat auch eines:
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=310#

unten auf der Seite.
__________
MfG Ralf
SEO-Spam Hunter

#3 @monti
Lief der Wächter von Bitdefender denn nicht? Der hätte den Wurm erkennen und blocken müssen...
Oder hast du nur diesen kostenlosen On-Demand-Scanner von Bitdefender?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#4 Hallo@monti

Deaktiviere die Wiederherstellung, lade das Entfernungstool und scanne im abgesicherten Modus.

Symantec Security Response has developed a removal tool to clean the infections of W32.Sober.I@mm. Try this removal tool first, as it is the easiest way to remove this threat.
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.i@mm.html
Removal using the W32.Sober Removal Tool

aktuelles HijackThis:
http://www.downloads.subratam.org/hijackthis.zip
1.Log
Lade das Tool HijackThis:-->Button "scan" --> Button "save" --> es öffnet sich das Notepad, nun das
KOMPLETTES Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"--> kopieren

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo an alle,
erst einmal vielen Dank für eure schnelle Hilfe. Leider musste ich mit meinem Sohn zum Kieferchirurgen. Er ist operiert worden. Deshalb antworte ich so spät.
Also, wir haben jetzt Hijackthis heruntergeladen und das Removaltool von bitdefender. Haben die Wiederherstellung ausgeschaltet und im Moment läuft ein scan über das Removaltool.
Ich habe deshalb das Tool von bitdefender gewählt, weil er ja auch den Virenscanner von denen hat. Ich dachte, das verträgt sich besser , oder ?!
Er hat noch den bitdefender 2.4, also eine ältere Version. Den Virus muss er sich am 17.11. eingefangen haben und bitdefender hat ihn erst am 19.11. entdeckt.
Wenn der Scan nun durchgelaufen ist...kann ich dann wieder im normalen Modus Windows starten, um hijackthis durchzuführen und euch das Ergebnis hier einzufügen ?
Ich hatte vorher schon probiert, von seinem PC mich hier im Forum einzuloggen, da hat er mir immer Fehler angezeigt. Muss sein PC eine extra Registrierung bekommen ?
LG Monti

#6 Hallo @ Sabina,
hier nun das komplette Log, nachdem wir hoffentlich erfolgreich das Entfernungstool eingesetzt hatten.





Logfile of HijackThis v1.98.2
Scan saved at 21:46:10, on 25.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\Live\avxlive.exe
C:\Programme\SOFTWIN\BDHome\lmgui.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\xcommsvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ingo\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ksk9.de/wbb2/hmportal.php?sid=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [servicedir] C:\WINDOWS\System32\rundata.exe
O4 - HKCU\..\Run: [crypt32logx] C:\WINDOWS\System32\cryptdata.exe %srun%
O4 - Global Startup: BitDefender Live!.lnk = C:\Programme\Gemeinsame Dateien\Softwin\Live\avxlive.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Murphy Shield.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B63FDCA-8213-4202-BDE7-FB3D1B6D41F3}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7825783D-3C1E-493E-AEF8-FF8D479AD872}: NameServer = 192.168.1.1

LG Monti

#7 Hallo@monti

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen vor diese zwei Eintraege -->> Button "Fix checked" -->> PC neustarten

O4 - HKCU\..\Run: [servicedir] C:\WINDOWS\System32\rundata.exe
O4 - HKCU\..\Run: [crypt32logx] C:\WINDOWS\System32\cryptdata.exe %srun%

neustarten

ueberpruefe bitte (und poste mir das Ergebnis:

C:\WINDOWS\System32\rundata.exe
C:\WINDOWS\System32\cryptdata.exe

die cryptdata.exe
sehe ich heute schon das 3. Mal und ich weiss nicht, was das ist.

* http://virusscan.jotti.dhs.org/ - im Text wird zu
* auf Durchsuchen klicken und die zu untersuchende Datei öffnen
- jede Datei (max 10MB) einzeln scannen, keine Archive scannen!
* auf Submit klicken - unterhalb des Textblocks wird jetzt der
Status angezeigt, zunächst uploading file, please wait = Datei wird
hochgeladen, bitte warten , danach inconclusive (scan still in
progress) = Scan noch nicht abgeschlossen und letztendlich das
Ergebnis des Scans, das laut Statistik (weiter unten auf der Seite)
zu etwa 99% akkurat ist...

<Das eScan AV Toolkit..Erkennungstool...loescht nicht (!) (mwav.exe) herunterladen, öffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten,

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Hallo @ Sabina,

vielen, vielen Dank !!! Ehe ich das alles machen kann, muss ich jetzt erst zur Arbeit. Ich werde erst heute Abend dazu kommen.
Mein Sohn, dem ich das gezeigt habe, kommt damit nicht klar-deshalb mache ich das lieber.

Eines müsste ich aber noch wissen:

soll ich dazu die Systemwiederherstellung noch einmal abschalten ?
Zwischenzeitlich habe ich sie nämlich wieder eingeschaltet gehabt, natürlich aber erst, nachdem vermeintlichen Entfernen.

LG Monti

#9 Ich komme damit schon klar.
Das Hijack ding habe ich durchgezogen.
Die besagten dateien tauchen nicht mehr auf.
Aber welche datei unter 10 mb soll ich testen, mit dem virusscan jotti.

#10 So folgendes ist passiert ich hab den schritt mit dem virusscan jotti ausgelassen.
beim suchen der kavupd.exe als ich sie gefunden habe muss mein Explorer wegen Kritischer fehler beendet werden mein bit defender meldet sich wegen einer datei mit doppeltem anhang.
Sie lautet:" C:windowsinstaller {a790beb1-bccf-4ec6-807b-5708b36e8a79}\ pros......da war das kästchin zuende und den rest konnte ich nicht lesen.
Was ist das ich sage immer nein du darfst nicht darauf zugreifen, mit der meldung binn ich das erste mal misstrauisch geworden und hab meinen Vieren scan durchgeführt. Das ergebnis beseitigen wir nun oder wir versuchen es.
Was soll ich tuhen?
Nochmal versuchen?
Den schritt mit virusscan jotti, unbedingt machen?
wenn ja nach was für dateien soll ich suchen?

#11 ueberpruefe bitte (und poste mir das Ergebnis:

C:\WINDOWS\System32\rundata.exe
C:\WINDOWS\System32\cryptdata.exe
* http://virusscan.jotti.dhs.org/ -

File to upload & scan:--> cryptdata.exe und danach rundata.exe
suchen und pruefen lassen

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
------------------------------------------------------------------------------
und den Scanner (escan) mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten,

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hir erstmal die geposteten Vieren:

mC:\DOKUME~1\Ingo\LOKALE~1\TEMPOR~1\Content.IE5\G5U7WLYZ\demo[1].jar infected by "Trojan.Java.ClassLoader.j" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\Ingo\LOKALE~1\TEMPOR~1\Content.IE5\WXYZC1EF\classload[3].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\Ingo\LOKALE~1\TEMPOR~1\Content.IE5\WXYZC1EF\classload[2].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\Ingo\LOKALE~1\TEMPOR~1\Content.IE5\WXYZC1EF\classload[1].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
Fri Nov 26 11:35:26 2004 => File C:\Dokumente und Einstellungen\Ingo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXYZC1EF\classload[3].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.Fri Nov 26 11:35:27 2004 => File C:\Dokumente und Einstellungen\Ingo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXYZC1EF\demo[1].jar infected by "Trojan.Java.ClassLoader.j" Virus. Action Taken: No Action Taken.
Fri Nov 26 11:35:26 2004 => File C:\Dokumente und Einstellungen\Ingo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXYZC1EF\classload[2].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Fri Nov 26 11:35:26 2004 => File C:\Dokumente und Einstellungen\Ingo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXYZC1EF\classload[1].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Fri Nov 26 11:35:17 2004 => File C:\Dokumente und Einstellungen\Ingo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5U7WLYZ\demo[1].jar infected by "Trojan.Java.ClassLoader.j" Virus. Action Taken: No Action Taken.

Fri Nov 26 11:29:35 2004 => Scanning File C:\Dokumente und Einstellungen\Ingo\Desktop\Save\emagic\Logic 5\Plug-In Settings\ES2\User Patches\069 Motions\035 VSequ-Infected_RyB.PST [**]

Fri Nov 26 11:37:51 2004 => Scanning File C:\Programme\emagic\Logic 5\Plug-In Settings\ES2\User Patches\069 Motions\035 VSequ-Infected_RyB.PST [**]

C:\DOKUME~1\Ingo\LOKALE~1\TEMPOR~1\Content.IE5\WXYZC1EF\demo[1].jar infected by "Trojan.Java.ClassLoader.j" Virus. Action Taken: No Action Taken.

Fri Nov 26 11:44:14 2004 => Scanning Folder: C:\Programme\SOFTWIN\BDHome\Infected\*.*

Fri Nov 26 12:12:53 2004 => Total Files Scanned: 91611
Fri Nov 26 12:12:53 2004 => Total Virus(es) Found: 10
Fri Nov 26 12:12:53 2004 => Total Disinfected Files: 0
Fri Nov 26 12:12:53 2004 => Total Files Renamed: 0
Fri Nov 26 12:12:53 2004 => Total Deleted Files: 0
Fri Nov 26 12:12:53 2004 => Total Errors: 2
Fri Nov 26 12:12:53 2004 => Time Elapsed: 00:49:15
Fri Nov 26 12:12:53 2004 => Virus Database Date: 2004/11/26
Fri Nov 26 12:12:53 2004 => Virus Database Count: 110568

Fri Nov 26 12:12:53 2004 => Scan Completed.

#13 Hallo@monti

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

dann scanne noch mal mit eScan und poste mir das Ergebnis der Ueberpruefung von :
C:\WINDOWS\System32\rundata.exe
C:\WINDOWS\System32\cryptdata.exe
* http://virusscan.jotti.dhs.org/ -

File to upload & scan:--> cryptdata.exe und danach rundata.exe
suchen und pruefen lassen

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Nach dem ich den 1ten schritt gibt es keine rundata.exe und keine crypdata.exe mehr. Dann hab ich das schon richtig verstanden aber sie sind weg.
Was mach ich nun mit den mwav.log einträgen?
Muss ich mein system neu aufsetzen?

#15 Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

dadurch werden die temporaeren Dateien geloescht. Dann scanne noch mal mit mwav.exe und berichte.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit