Schon wieder W32.sober.I@mm!enc

#0
20.12.2004, 15:51
...neu hier

Beiträge: 10
#1 Hallo zusammen,

ich habe den o. g. Virus auf dem Rechner und bekomme Ihn niicht weg.
Habe es mit dem Virusfix von Norton versucht, der findet aber nichts zum entfernen.

Es wird ständig versucht eine E-Mail weg zu schicken ( In_0001.tmp) die der der Norton aber löscht bzw. isoliert.
Des weiteren befindet sich ein Verzeichnis uaf C:\Programme\microsoft frontpage das ich nicht löschen kann.
Ich habe es dann im abgesicherten Modus gelöscht. Nach dem Start im normalen Modus war es wieder da.

Jetzt habe ich andere Treeds gelesen und schonmal einen Hijack scan gemacht.
Nun weiß ich nicht mehr weiter was zu tun ist, hier der scan:

Logfile of HijackThis v1.99.0
Scan saved at 15:14:52, on 20.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
d:\PROGRA~1\DIRECT~1\DUService.exe
C:\WINNT\System32\svchost.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\tlntsvr.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
D:\PROGRA~1\Jana\Jana.exe
C:\WINNT\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\NavNT\vptray.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
D:\Programme\CloneCD\CloneCDTray.exe
D:\Programme\DirectUpdate\DUControl.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\E-Mail\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINNT\Downloaded Program Files\googlenav.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "d:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [DUControl] d:\Programme\DirectUpdate\DUControl.exe
O4 - HKLM\..\Run: [FTP Server] D:\PROGRA~1\TYPSOF~1\ftpserv.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: &Google Search - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/deleon/1.1.62-deleon/GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACC9714-5A24-482E-ADE9-1C1EF55D3482}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE6D347D-62F7-4604-B458-B14DD236C566}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: DirectUpdate engine - http://www.directupdate.net/ - d:\PROGRA~1\DIRECT~1\DUService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Jana Server - Thomas Hauck (T.Hauck@t-online.de) - D:\PROGRA~1\Jana\Jana.exe
O23 - Service: Norton AntiVirus Client - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
O23 - Service: Remote_Procedure_Call - Unknown - %windir%\system32\svchost.cmd (file missing)

Gruß

Suffi
Seitenanfang Seitenende
21.12.2004, 14:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Suff

http://www.f-secure.com/v-descs/raleka.shtml

A service named 'svchost' is created with the description 'Remote_Procedure_Call'.
--------------------------------------------------------------------------------------
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "svchost'--Remote_Procedure_Call"

AUFPASSEN, DASS DU DEN DIENST AUSWAEHLST, DER VOM Worm.Win32.Raleka,
ERSTELLT WURDE UND NICHT DEN REGULAEREN VOM WINDOWS !!!!!!!

aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der svchost'--Remote_Procedure_Call beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der.svchost'--Remote_Procedure_Call läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

gehe in die Registry
Start<Ausfuehren<regedit

klicke dich durch zum Schluessel:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]

loesche:
"^%SystemRoot^%\SYSTEM32\NTROOTKIT.exe"="WIN2000"
"C:\WINDOWS\SYSTEM32\NTROOTKIT.exe"="WIN2000"

lade die Killbox und :
http://www.bleepingcomputer.com/files/killbox.php
geh auf
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\SYSTEM32\NTROOTKIT.exe
C:\WINDOWS\SYSTEM32\svchost32.exe
C:\WINDOWS\SYSTEM32\svchost.cmd
C:\WINDOWS\SYSTEM32\ntrootkit.reg

C:\WINDOWS\SYSTEM32\0001.TMP
oder:
C:\WINDOWS\SYSTEM32\In_0001.tmp

PC neustarten

------------------------------------------------------------------------------------
mache einen Onlinescann
#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

arbeite das ab.
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen

Dienste anzeigen:
#Scrolle bis zu Mitte dieser Seite und lade:
get_active_services_179.zip --> entpacken -->
http://computercops.biz/postp237756.html
gehe in den abgesicherten Modus (du must als Administrator angemeldet sein)
http://www.tu-berlin.de/www/software/virus/savemode.shtml
öffnen --> Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

dann poste das neue Log noch mal und berichte.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.12.2004 um 14:29 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.12.2004, 14:27
...neu hier

Themenstarter

Beiträge: 10
#3 Hi Sabina,

das ist hard Stuff für mich, ich werde schauen was ich machen kann.

Erstmal Danke für deine Hilfe. Ich melde mich wieder wenn ich das da oben abgearbeitet habe.

Gruss
Suffi
Seitenanfang Seitenende
21.12.2004, 14:55
...neu hier

Themenstarter

Beiträge: 10
#4 Hallo Sabina,

der von dier gannte Dienst svchost ist nicht vorhanden. Lediglich läuft der Prozess (Taskmanager) 2 mal.

In der Registry fehlt der Eintrag App....usw. Nicht vorhanden. Dadurch können die Einträge auch nicht gelöscht werden.

Ich bin mir jetzt unsicher ob ich mit der killbox jetzt weiter machen soll.

Gruß

Suffi
Seitenanfang Seitenende
21.12.2004, 15:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 mach mal weiter mit der Killbox...falls die Malware nicht da ist...wird die Killbox das melden
----------------------------------------------------------------------------------------
mache einen Onlinescann
#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

arbeite das ab.
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen

Dienste anzeigen:
#Scrolle bis zu Mitte dieser Seite und lade:
get_active_services_179.zip --> entpacken -->
http://computercops.biz/postp237756.html
gehe in den abgesicherten Modus (du must als Administrator angemeldet sein)
http://www.tu-berlin.de/www/software/virus/savemode.shtml
öffnen --> Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

dann poste das neue Log noch mal und berichte.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.12.2004 um 15:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.12.2004, 16:47
...neu hier

Themenstarter

Beiträge: 10
#6 Hallo Sabina,

das war ein hartesstück Arbeit.

Die Pfade die ich in die killbox eingeben sollte exsistiernen bei mir nicht, auf C: heist es C:\WinNT und nicht C:\Windows usw.

Onlinescan ausgeführt (trendmicro), keine Viren vorhanden.

escan aufgeführt, keine Viren vorhanden.

Hier Auszug aus Protokoll escan:
Tue Dec 21 16:23:34 2004 => ***** Checking for specific ITW Viruses *****
Tue Dec 21 16:23:34 2004 => Checking for Welchia Virus...
Tue Dec 21 16:23:34 2004 => Checking for LovGate Virus...
Tue Dec 21 16:23:34 2004 => Checking for CodeRed Virus...
Tue Dec 21 16:23:34 2004 => Checking for OpaServ Virus...
Tue Dec 21 16:23:34 2004 => Checking for Sobig.e Virus...
Tue Dec 21 16:23:34 2004 => Checking for Winupie Virus...
Tue Dec 21 16:23:34 2004 => Checking for Swen Virus...
Tue Dec 21 16:23:34 2004 => Checking for JS.Fortnight Virus...
Tue Dec 21 16:23:34 2004 => Checking for Novarg Virus...
Tue Dec 21 16:23:34 2004 => Checking for Pagabot Virus...
Tue Dec 21 16:23:34 2004 => Checking for Parite.b Virus...
Tue Dec 21 16:23:34 2004 => Checking for Parite.a Virus...

Tue Dec 21 16:23:34 2004 => ***** Scanning complete. *****

Tue Dec 21 16:23:34 2004 => Total Files Scanned: 18632
Tue Dec 21 16:23:34 2004 => Total Virus(es) Found: 0
Tue Dec 21 16:23:34 2004 => Total Disinfected Files: 0
Tue Dec 21 16:23:34 2004 => Total Files Renamed: 0
Tue Dec 21 16:23:34 2004 => Total Deleted Files: 0
Tue Dec 21 16:23:34 2004 => Total Errors: 69
Tue Dec 21 16:23:34 2004 => Time Elapsed: 00:20:59
Tue Dec 21 16:23:34 2004 => Virus Database Date: 2004/12/20
Tue Dec 21 16:23:34 2004 => Virus Database Count: 112939

Tue Dec 21 16:23:34 2004 => Scan Completed.

Hier Auszug aus Hijack:

Logfile of HijackThis v1.99.0
Scan saved at 16:34:37, on 21.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
D:\Programme\TuneUp Utilities 2004\Integrator.exe
C:\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINNT\Downloaded Program Files\googlenav.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "d:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [DUControl] d:\Programme\DirectUpdate\DUControl.exe
O4 - HKLM\..\Run: [FTP Server] D:\PROGRA~1\TYPSOF~1\ftpserv.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: &Google Search - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/deleon/1.1.62-deleon/GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACC9714-5A24-482E-ADE9-1C1EF55D3482}: NameServer = 192.168.0.1
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: DirectUpdate engine - http://www.directupdate.net/ - d:\PROGRA~1\DIRECT~1\DUService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Jana Server - Thomas Hauck (T.Hauck@t-online.de) - D:\PROGRA~1\Jana\Jana.exe
O23 - Service: Norton AntiVirus Client - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe


Und hier Auszug von Norton Antivierus nach dem Start von Windows:

Prüfungstyp: Echtzeitschutz Prüfung
Ereignis: Virus festgestellt!
Virusname: W32.Sober.I@mm!enc
Datei: D:\PROGRA~1\Jana\MAILOUT\In_0001.tmp
Ablageort: D:\PROGRA~1\Jana\MAILOUT
Computer: PC-05-NT-KOM
Benutzer: E-Mail
Durchgeführte Aktion: Löschen erfolgreich : Zugriff verweigert
Gefundenes Datum: Tue Dec 21 16:49:59 2004

Ich bin kurz davor um aus dem Kellerfenster zu springen.

Wo hat sich der Sack versteckt???

Gruß
Suffi
Seitenanfang Seitenende
21.12.2004, 17:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Meine Schuld: (bin von XP ausgegangen)

kopiere in die Killbox:

C:\WINNT\system32\NTROOTKIT.exe
C:\WINNT\system32\svchost32.exe
C:\WINNT\system32\svchost.cmd
C:\WINNT\system32\ntrootkit.reg

D:\PROGRA~1\Jana\MAILOUT\In_0001.tmp
------------------------------------------------------------------------------------
was ist das fuer ein Dienst ? (Programm ??)
O23 - Service: Jana Server - Thomas Hauck (T.Hauck@t-online.de) - D:\PROGRA~1\Jana\Jana.exe

W32.Sober Removal Tool
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html
--------------------------------------------------------------------------------------------------

W32/Sober-I spürt in Systemdateien E-Mail-Adressen auf und kann in einer E-Mail mit verschiedenen Betreffzeilen und Texten auf den Computer gelangen.

Wenn er ausgeführt wird, zeigt W32/Sober-I eine gefälschte Fehlermeldung mit dem Titel "WinZip Self-Extractor" und der Meldung "WinZip_Data_Module is missing ~Error:..." an. Gleichzeigt erstellt er folgende Dateien im Windows-Systemordner, von denen einige zum Speichern der aufgespürten Daten verwendet werden und andere verschlüsselte und/oder gepackte Wurmkopien sind:

Odin-Anon.Ger
clonzips.ssc text-ascii
clsobern.isc text-ascii
cvqaikxt.apk
dgssxy.yoi
diagdatacrypt.exe win-pack-hackupx
expolerlog.exe win-pack-hackupx
nonzipsr.noz
sysmms32.lla
winroot64.dal
winsend32.dal
zippedsr.piz text-ascii

W32/Sober-I kopiert sich als EXE-Datei in den Windows-Systemordner, wobei er einen Namen benutzt, der aus folgenden Zeichenfolgen zusammgesetzt ist:

sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool,service,smss32
http://www.sophos.de/virusinfo/analyses/w32soberi.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.12.2004 um 17:30 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.12.2004, 17:29
...neu hier

Themenstarter

Beiträge: 10
#8 Jana ist ein Kostenloser Proxyserver, mit dem ich unser Mails abhole und verteile (Mailserver) läuft schon seit ca. 3 Jahren bei uns ohne Probleme.

Oben hast du etwas geschrieben was ich nicht verstehe.
Zitat:

Dienste anzeigen:
#Scrolle bis zu Mitte dieser Seite und lade:
get_active_services_179.zip --> entpacken -->
http://computercops.biz/postp237756.html
gehe in den abgesicherten Modus (du must als Administrator angemeldet sein)
http://www.tu-berlin.de/www/software/virus/savemode.shtml
öffnen --> Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Die zip Datei habe ich bereits auf dem Rechner und entpackt aber dann??????

Gruß
Suffi
Seitenanfang Seitenende
21.12.2004, 17:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9

Zitat

Suff postete
Jana ist ein Kostenloser Proxyserver, mit dem ich unser Mails abhole und verteile (Mailserver) läuft schon seit ca. 3 Jahren bei uns ohne Probleme.

Oben hast du etwas geschrieben was ich nicht verstehe.
Zitat:

Dienste anzeigen:
#Scrolle bis zu Mitte dieser Seite und lade:
get_active_services_179.zip --> entpacken -->
http://computercops.biz/postp237756.html
gehe in den abgesicherten Modus (du must als Administrator angemeldet sein)
http://www.tu-berlin.de/www/software/virus/savemode.shtml

öffnen --> Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Die zip Datei habe ich bereits auf dem Rechner und entpackt aber dann??????

Gruß
Suffi
kopiere in die Killbox:

C:\WINNT\system32\NTROOTKIT.exe
C:\WINNT\system32\svchost32.exe
C:\WINNT\system32\svchost.cmd
C:\WINNT\system32\ntrootkit.reg

D:\PROGRA~1\Jana\MAILOUT\In_0001.tmp


1.Jana --->war nur ein Frage ;)

2.öffnen --> Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

3.W32.Sober Removal Tool
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.12.2004 um 17:33 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.12.2004, 17:51
...neu hier

Themenstarter

Beiträge: 10
#10 Noch mal,

ich habe die Zip-datei entpackt darus entsteht eine *.vbs Datei wenn ich die ausführe bekomme ich eine Fehlermeldung "Der Zugriff ....Script Host...deaktiviert..."

wie änder ich das??
Seitenanfang Seitenende
22.12.2004, 00:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 dann lass es...keine Ahnung

mache folgendes:
2.Log: (komplett)
HijackThis-->Config
<List also minor sections (full) -->Häkchen setzen
<List empty sections (complete) -->Häkchen setzen
HijackThis-->Config-->MiscTools-->Generate StartupListlog
-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


und was meint das Removaltool vom Symantec ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.12.2004, 12:32
...neu hier

Themenstarter

Beiträge: 10
#12 Hi Sabina,

du arbeitest ja bis spät in die Nacht hinein.

Also folgenden Stand habe ich jetzt.

Den Soberfix habe ich schon auf dem Rechner und auf allen anderen Rechner in unserem Netzwerk laufenlassen, mit dem Ergebnis, das kein Virusvorhanden ist. Im Netzwerk wurden alle Maschinen mit Norton geprüft, ohne Befund.

Den Fix habe ich jetzt nochmal durchlaufen lassen, nichts gefunden.

Hier das Protokoll von Hijack:

StartupList report, 22.12.2004, 12:37:56
StartupList version: 1.52.2
Started from : C:\Programme\Hijack\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
d:\PROGRA~1\DIRECT~1\DUService.exe
C:\WINNT\System32\svchost.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\tlntsvr.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
D:\PROGRA~1\Jana\Jana.exe
C:\WINNT\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\NavNT\vptray.exe
D:\Programme\CloneCD\CloneCDTray.exe
D:\Programme\DirectUpdate\DUControl.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
D:\PROGRA~1\TYPSOF~1\ftpserv.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hijack\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\E-Mail\Startmenü\Programme\Autostart]
*No files*

Shell folders AltStartup:
*Folder not found*

User shell folders Startup:
*Folder not found*

User shell folders AltStartup:
*Folder not found*

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

Shell folders Common AltStartup:
*Folder not found*

User shell folders Common Startup:
*Folder not found*

User shell folders Alternate Common Startup:
*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Share-to-Web Namespace Daemon = C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
vptray = C:\Programme\NavNT\vptray.exe
NeroCheck = C:\WINNT\system32\NeroCheck.exe
CloneCDElbyCDFL = "d:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
CloneCDTray = "d:\Programme\CloneCD\CloneCDTray.exe"
DUControl = d:\Programme\DirectUpdate\DUControl.exe
FTP Server = D:\PROGRA~1\TYPSOF~1\ftpserv.exe
SmcService = D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
SunJavaUpdateSched = C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINNT\System32\mshta.exe "%1" %*

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigIE

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigOE

[{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\mplayer2.inf,PerUserStub.NT

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

[{6A5110B5-E14B-4268-A065-EF89FF33C325}] *
StubPath = regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\wmp.inf,PerUserStub

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\System32\ie4uinit.exe

[{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}] *
StubPath = %SystemRoot%\System32\updcrl.exe -e -u %SystemRoot%\System32\verisignpub1.crl

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINNT\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINNT\system32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINNT\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINNT\Explorer\Explorer.exe: not present
C:\WINNT\System\Explorer.exe: not present
C:\WINNT\System32\Explorer.exe: not present
C:\WINNT\Command\Explorer.exe: not present
C:\WINNT\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Verifying REGEDIT.EXE integrity:

- Regedit.exe found in C:\WINNT
- .reg open command is normal (regedit.exe %1)
- Company name OK: 'Microsoft Corporation'
- Original filename OK: 'REGEDIT.EXE'
- File description: 'Registrierungs-Editor'

Registry check passed

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - D:\Programme\Spybot\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Task Scheduler jobs:

1-Klick-Wartung.job

--------------------------------------------------

Enumerating Download Program Files:

[DirectAnimation Java Classes]
CODEBASE = file://C:\WINNT\Java\classes\dajava.cab
OSD = C:\WINNT\Downloaded Program Files\DirectAnimation Java Classes.osd

[Microsoft XML Parser for Java]
OSD = C:\WINNT\Downloaded Program Files\Microsoft XML Parser for Java.osd

[Google Activate]
InProcServer32 = C:\WINNT\Downloaded Program Files\googlenav.dll
CODEBASE = http://toolbar.google.com/data/de/deleon/1.1.62-deleon/GoogleNav.cab

[Java Plug-in 1.4.2_06]
InProcServer32 = C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
CODEBASE = http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37869.0166666667

[Java Plug-in 1.4.2_06]
InProcServer32 = C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
CODEBASE = http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINNT\System32\rnr20.dll
NameSpace #2: C:\WINNT\System32\winrnr.dll
Protocol #1: C:\WINNT\system32\msafd.dll
Protocol #2: C:\WINNT\system32\msafd.dll
Protocol #3: C:\WINNT\system32\msafd.dll
Protocol #4: C:\WINNT\system32\rsvpsp.dll
Protocol #5: C:\WINNT\system32\rsvpsp.dll
Protocol #6: C:\WINNT\system32\msafd.dll
Protocol #7: C:\WINNT\system32\msafd.dll
Protocol #8: C:\WINNT\system32\msafd.dll
Protocol #9: C:\WINNT\system32\msafd.dll
Protocol #10: C:\WINNT\system32\msafd.dll
Protocol #11: C:\WINNT\system32\msafd.dll
Protocol #12: C:\WINNT\system32\msafd.dll
Protocol #13: C:\WINNT\system32\msafd.dll
Protocol #14: C:\WINNT\system32\msafd.dll
Protocol #15: C:\WINNT\system32\msafd.dll
Protocol #16: C:\WINNT\system32\msafd.dll
Protocol #17: C:\WINNT\system32\msafd.dll

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system)
Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart)
Service for Avance AC97 Audio (WDM): system32\drivers\ALCXWDM.SYS (manual start)
Warndienst: %SystemRoot%\System32\services.exe (manual start)
Anwendungsverwaltung: %SystemRoot%\system32\services.exe (manual start)
Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start)
Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system)
Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start)
Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start)
Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\System32\svchost.exe -k BITSgroup (manual start)
Computerbrowser: %SystemRoot%\System32\services.exe (autostart)
CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system)
Indexdienst: C:\WINNT\System32\cisvc.exe (manual start)
Ablagemappe: %SystemRoot%\system32\clipsrv.exe (manual start)
DefWatch: C:\Programme\NavNT\defwatch.exe (autostart)
DHCP-Client: %SystemRoot%\System32\services.exe (autostart)
DirectUpdate engine: "d:\PROGRA~1\DIRECT~1\DUService.exe" (autostart)
Datenträgertreiber: System32\DRIVERS\disk.sys (system)
Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
Treiber für die Verwaltung logischer Datenträger: System32\drivers\dmio.sys (system)
dmload: System32\drivers\dmload.sys (system)
Verwaltung logischer Datenträger: %SystemRoot%\System32\services.exe (autostart)
Microsoft DirectMusic SW-Synthesizer (WDM): system32\drivers\DMusic.sys (manual start)
DNS-Client: %SystemRoot%\System32\services.exe (autostart)
ElbyCDFL: System32\Drivers\ElbyCDFL.sys (manual start)
ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart)
Kingston PC Card Reader Driver: System32\DRIVERS\epcfw2k.sys (manual start)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
COM+-Ereignissystem: C:\WINNT\System32\svchost.exe -k netsvcs (manual start)
Faxdienst: %systemroot%\system32\faxsvc.exe (manual start)
Diskettencontrollertreiber: System32\DRIVERS\fdc.sys (manual start)
Diskettentreiber: System32\DRIVERS\flpydisk.sys (manual start)
Treiber für Datenträger-Manager: System32\DRIVERS\ftdisk.sys (system)
Gameport-Enumerator: System32\DRIVERS\gameenum.sys (manual start)
Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start)
i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system)
Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start)
IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start)
IP-Netzwerkadressenübersetzer: System32\DRIVERS\ipnat.sys (manual start)
IPSEC-Treiber: System32\DRIVERS\ipsec.sys (manual start)
IR Enumerator Service: System32\DRIVERS\irenum.sys (manual start)
PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system)
Jana Server: D:\PROGRA~1\Jana\Jana.exe (autostart)
Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system)
Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start)
Logitech PS/2 Mouse Filter Driver: System32\DRIVERS\L8042pr2.sys (manual start)
Server: %SystemRoot%\System32\services.exe (autostart)
Arbeitsstationsdienst: %SystemRoot%\System32\services.exe (autostart)
Logitech Keyboard Class Filter Driver: System32\DRIVERS\lkbdflt2.sys (manual start)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\services.exe (autostart)
Logitech Mouse Class Filter Driver: System32\DRIVERS\lmouflt2.sys (manual start)
Nachrichtendienst: %SystemRoot%\System32\services.exe (disabled)
NetMeeting-Remotedesktop-Freigabe: C:\WINNT\System32\mnmsrvc.exe (disabled)
Mausklassentreiber: System32\DRIVERS\mouclass.sys (system)
MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
Distributed Transaction Coordinator: C:\WINNT\System32\msdtc.exe (manual start)
Windows Installer: C:\WINNT\System32\MsiExec.exe /V (manual start)
Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start)
Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start)
Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start)
NAVAP: \??\C:\Programme\NavNT\NAVAP.sys (manual start)
NAVAPEL: \??\C:\Programme\NavNT\NAVAPEL.SYS (autostart)
NAVENG: \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20041221.033\NAVENG.sys (manual start)
NAVEX15: \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20041221.033\NAVEX15.sys (manual start)
RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start)
NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start)
RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start)
NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system)
NetBios über TCP/IP: System32\DRIVERS\netbt.sys (system)
Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (manual start)
Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (manual start)
NetDetect: \SystemRoot\system32\drivers\netdtect.sys (manual start)
Anmeldedienst: %SystemRoot%\System32\lsass.exe (autostart)
Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Norton AntiVirus Client: C:\Programme\NavNT\rtvscan.exe (autostart)
NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start)
Wechselmedien: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start)
Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start)
Parallelklassentreiber: System32\DRIVERS\parallel.sys (manual start)
Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (system)
PCANDIS5 Protocol Driver: \??\D:\PROGRA~1\T-ONLINE\BSW4\T-DSLT~1\PCANDIS5.SYS (manual start)
PCI Bus Driver: System32\DRIVERS\pci.sys (system)
PCIIde: System32\DRIVERS\pciide.sys (system)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Richtlinienagent: %SystemRoot%\System32\lsass.exe (autostart)
WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start)
Geschützter Speicher: %SystemRoot%\system32\services.exe (autostart)
Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start)
Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system)
Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start)
RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start)
Microsoft Streaming Network-RCA (Raw Channel Access): system32\drivers\RCA.sys (manual start)
Rdbss: System32\DRIVERS\rdbss.sys (system)
Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system)
Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Remote-Registrierungsdienst: %SystemRoot%\system32\regsvc.exe (autostart)
RPC-Locator: %SystemRoot%\System32\locator.exe (manual start)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
QoS RSVP: %SystemRoot%\System32\rsvp.exe -s (manual start)
NT-Treiber für Realtek RTL8139-basierten PCI-Fast Ethernet-Adapter: System32\DRIVERS\RTL8139.SYS (manual start)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Smartcard-Hilfsprogramm: %SystemRoot%\System32\SCardSvr.exe (manual start)
Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start)
Taskplaner: %SystemRoot%\system32\MSTask.exe (autostart)
Dienst "Ausführen als": %SystemRoot%\system32\services.exe (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Serenum-Filtertreiber: System32\DRIVERS\serenum.sys (manual start)
Treiber für seriellen Anschluss: System32\DRIVERS\Ser*hier nicht!*.sys (system)
SetupNT: \SystemRoot\system32\SetupNT.sys (autostart)
Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Sygate Personal Firewall Pro: D:\Programme\Sygate\SPF\smc.exe (autostart)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Srv: System32\DRIVERS\srv.sys (manual start)
Still Image Service: %systemroot%\system32\stisvc.exe (autostart)
Remote_Procedure_Call: %windir%\system32\svchost.cmd (disabled)
Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start)
Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start)
SymEvent: \??\C:\Programme\Symantec\SYMEVENT.SYS (manual start)
Microsoft System-Audiogerät: system32\drivers\sysaudio.sys (manual start)
Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start)
Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system)
T-DSL-Adapter (T-Online): System32\DRIVERS\TDSLAdap.sys (manual start)
T-DSL-Protocol (T-Online): System32\DRIVERS\TDSLProt.sys (manual start)
Teefer for NT: SYSTEM32\Drivers\Teefer.sys (system)
Telnet: %SystemRoot%\system32\tlntsvr.exe (autostart)
trid3d: System32\DRIVERS\trid3dm.sys (manual start)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\services.exe (autostart)
Universeller Microsoft USB-Hostcontrollertreiber: System32\DRIVERS\uhcd.sys (manual start)
Microcode Aktualisierungstreiber: System32\DRIVERS\update.sys (manual start)
Unterbrechungsfreie Spannungsversorgung: %SystemRoot%\System32\ups.exe (manual start)
Microsoft USB-Standardhubtreiber: System32\DRIVERS\usbhub.sys (manual start)
USB-Scannertreiber: System32\DRIVERS\usbscan.sys (manual start)
Hilfsprogramm-Manager: %SystemRoot%\System32\UtilMan.exe (manual start)
VgaSave: \SystemRoot\System32\drivers\vga.sys (system)
VIA AGP-Bus-Filter: System32\DRIVERS\viaagp1.sys (system)
VIA AGP Bus Filter : System32\DRIVERS\viaagp1.sys (system)
VIA USB Filter: \SystemRoot\System32\Drivers\viausb.sys (manual start)
viaide: System32\DRIVERS\viaide.sys (system)
VIAPFD: \SystemRoot\System32\Drivers\VIAPFD.SYS (system)
vsdatant: \??\C:\WINNT\System32\vsdatant.sys (manual start)
Windows-Zeitgeber: %SystemRoot%\System32\services.exe (disabled)
RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start)
Treiber für Microsoft WINMM-WDM-Audiokompatibilität: system32\drivers\wdmaud.sys (manual start)
SyGate for NT, wg3n: \SystemRoot\SYSTEM32\Drivers\wg3n.sys (autostart)
Windows-Verwaltungsinstrumentation: %SystemRoot%\System32\WBEM\WinMgmt.exe (autostart)
WMDM PMSP Service: C:\WINNT\System32\mspmspsv.exe (autostart)
Windows-Verwaltungsinstrumentations-Treibererweiterungen: %SystemRoot%\system32\Services.exe (manual start)
wpsdrvnt: \??\C:\WINNT\system32\drivers\wpsdrvnt.sys (system)
Automatische Updates: %systemroot%\system32\svchost.exe -k wugroup (disabled)
Drahtloskonfiguration: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)


--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: *Registry value not found*

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

End of report, 29.026 bytes
Report generated in 0,094 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


Ich hoffe es hilft

Gruß
Suffi
Dieser Beitrag wurde am 22.12.2004 um 12:33 Uhr von Suff editiert.
Seitenanfang Seitenende
22.12.2004, 12:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 alles sauber

was passiert, wenn du das hier in die Killbox kopierst ?
D:\PROGRA~1\Jana\MAILOUT\In_0001.tmp
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.12.2004, 14:56
...neu hier

Themenstarter

Beiträge: 10
#14 Da mein Norton so eingestellt ist das er die Datei gleich löscht, sagt mir die killbox das das File nicht exsitiert.

Ich habe langsam den Verdacht das der Virus nicht hier auf dem Rechner des Proxyservers ist sondern auf irgendeinem Rechner im Netz.

Warum:

Das Verzeichnis in dem die Datei *.tmp ist das Verzeichnis in dem die ausgehenden E-Mails gespeichert werden und zum Zeitpunkt x vom Janaserver erschickt werden.

Auf grund der Weihnachtsfeier die z. Z. im gang ist waren 90% der Rechner abgeschaltet und der Virus ist nicht aufgetaucht.

Ich werde mal die anderen Rechner mit den tools untersuchen und werde berichten.

Erstmal Danke
Seitenanfang Seitenende
22.12.2004, 15:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 nun, der Virus ist in :

D:\PROGRA~1\Jana\MAILOUT\

dort muesstest du im Prinzip alles loeschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: