[Microsoft IIS]C:\WINDOWS\system32\syshost.exe--W32.Francette.Worm

#1 Ich denke diese Screenshots zeigen alles:

[img]www.K-Force.de/arac/Troja.jpg[/img]

So ich starte daraufhin, weils ja nicht geklappt hat alles zu entfernen, Windows XP im abgesicherten Modus.
Hier kann ich beide infizierten Dateien löschen.
Aber sobald ich neustarte, sind diese Dateien wieder da!

Ich hoffe ihr könnt mir sagen wie ich dieses Problem dauerhaft beheben kann!
Vielen Dank,
Arac

#2 Hallo@Arac

1) lade rem.zip herunter http://derbilk.de/rem.zip (direkter download-link).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
3) starte den rechner im abgesicherten modus.
4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.
erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Sorry aber der erste Link klappt net.
Außerdem...

Zitat

7) markiere den inhalt und füge ihn hier ein.
erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Kapier ich den schritt nicht so ganz was ich nun wo einfügen muss.
Aber trotzdem schonmal danke dass du dich um mich kümmerst...

#4 Einfuegen bedeutet, dass du alles, was im Text-Editor erscheint hier in den Thread kopierst.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hehe du hast was wichtiges übersehen!
Der Download-Link von der ZIP Datei klappt nicht wirklich!
Da kommt immer nur 404 Fehler und wenn ich auf "Ziel downloaden" gehe dann lädt der die 404.htm runter!

#6 HijackThis/1.98.2 :
http://www.downloads.subratam.org/hijackthis.zip
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Logfile of HijackThis v1.98.2
Scan saved at 18:24:44, on 08.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Pulse\Pulse.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\mIRC\mirc.exe
C:\Programme\Opera7\opera.exe
C:\Dokumente und Einstellungen\Julian\Eigene Dateien\Sonstiges\antiwurm\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\promt Übersetzer\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Pulse] C:\Pulse\Pulse.exe -splash
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{067B08F6-6D70-4B06-8871-DC10BD28234E}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{067B08F6-6D70-4B06-8871-DC10BD28234E}: NameServer = 62.27.27.62 62.27.53.66

#8 Hallo@

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe

PC neustarten

1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:

C:\WINDOWS\system32\syshost.exe

4.) PC neustarten

arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

Dann poste das Log noch einmal.
HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

__________________________________________________________________
W32.Francette.Worm
This worm also takes advantage of the following known Windows vulnerabilities, malware backdoor capabilities and application to propagate:
http://securityresponse.symantec.com/avcenter/venc/data/w32.francette.worm.html

Buffer Overflow in Universal Plug and Play
Buffer Overflow in SQL Server 2000
IIS/WebDAV vulnerability
Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
Windows LSASS vulnerability
WORM_BAGLE, WORM_MYDOOM, BKDR_OPTIX, BKDR_NETDEVIL, BKDR_KUANG and BKDR_SUB7 variants
DameWare

Wenn man so einen ungepatchten PC sieht, ohne Updates, dann kann man verstehen, warum du solche Viren eingfaengst....und noch einfangen wirst

#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
__________
MfG Sabina

rund um die PC-Sicherheit

#9 *g Sabrina ich mag nicht so gerne dass Microsoft auf meinen Rechner guggt und sachen sieht die besser nicht gesehen werden sollten

Hab nochmal eine Zwischenfrage:
Wo soll ich nach dem Scan überall Häkchen setzen? Wohl kaum überall oder?
Doch nur bei dem Syshost.exe oder?

#10 Hallo@Arak

So einen Bloedsinn habe ich schon lange nicht gehoert !!!!!!!!!!!!!!!!

Wieso soll MS auf deinen Rechner gucken...sind doch sowieso nur Viren ?????
Die SicherheitsUpdates haben doch nichts mit MS zu tun, sondern mit deiner PC-Sicherheit oder glaubst du im Ernst, dass MS nichts anderes zu tun hat , als deinen verseuchten PC zu beschnueffeln ??????????????

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen vor den Wurm-Eintrag-->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
PC neustarten

1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:

C:\WINDOWS\system32\syshost.exe

4.) PC neustarten

arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

Dann poste das Log noch einmal.
HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

_______________________________________________________________

#Backdoor Functionality
http://www.trojaner-board.de/showpost.php?p=71796&postcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung

So sichern Sie sich vor Viren, Trojanern und anderen ungebetenen Gästen
http://www.comsafe.de/
Halten Sie Ihr Computer-System immer auf dem neuesten Stand!
Verwenden Sie stets aktuelle Programmversionen - vor allem im Hinblick auf das Betriebssystem, den Internet-Browser und das Email-Programm. Die jeweils neueste Version lässt sich schnell und einfach mithilfe Ihres Windows-Update-Programms aus dem Internet herunterladen und installieren. Die Microsoft Patchsammlung SP2 lag als CD vielen Computerzeitschriften im September und Oktober 2004 bei und beinhaltet alle Sicherheitsupdates für Windows XP und den Internet Explorer bis zum August 2004. Hier können Sie das Programmpaket herunterladen:
Microsoft Sicherheitsupdate SP2 (Achtung: 265 MB!)

#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Also mein System ist dank dir wieder gesund!
Ich danke dir!

Allerdings wird sich bei mir nicht viel an sicherheit verändern.
Nochmal bin ich nicht so doof und deaktiviere meine Firewall und denk später beim connecten nicht dran die wieder anzuschalten.
Denn MIT Firewall hatte ich noch nie Probleme

Dank dir!
Arac