Unterschiedliche Viren wie z.B, WORM/Sdbot.95232.74 u.ä.

#0
05.10.2006, 16:28
...neu hier

Beiträge: 4
#1 Hi ich habe auf meinen Computer Windows frisch aufgespielt, danach hab ich sofort AntiVir draufgespielt, es zeigte sofort mehrere Viren an wie z.B. den WORM/Sdbot.95232.74 oder den BackDoor Virus. Auch nach mehrmaligem löschen erscheinen einige wieder, den Backdoor Virus habe ich (glaube ich) im Abgesicherten Modus mit der Datei .exe gelöscht.
Jedoch tauchen immer weitere Viren auf.
Ich habe sämtliche Anti-Spyware programme wie: Ad-Aware, SpyBot S&D den Spywarescanner von Agnitum Outpost Firewall und Anitvir durchlaufen lassen. Manchmal wird etwas gefunden, manchmal aber auch nicht. Sobald ich mit dem Einwahlclienten mich in das Internet einwähle erscheint von AntiVir wieder eine Meldung einer Virus Infektion.
Was kann ich machen um die Viren restlos zu Eliminieren?
Ich vermute ich habe durch diesen BackDoor Virus weitere Viren hinzubekommen.

Hier mein Hijackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:27:25, on 05.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\kathi r\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160048939062
O17 - HKLM\System\CCS\Services\Tcpip\..\{0822BE79-B7E4-4623-AD8F-437A5305F023}: NameServer = 217.237.150.115 217.237.150.188
O17 - HKLM\System\CS1\Services\Tcpip\..\{0822BE79-B7E4-4623-AD8F-437A5305F023}: NameServer = 217.237.150.115 217.237.150.188
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)

Ich bitte um Hilfe, ich habe viele Möglichkeiten ausprobiert, jedoch die Viren bleiben....

MFG Mel_T

EDIT: Mir wurde jetzt schon ein Paar mal eine Meldung gezeigt, daß ein Prozess versucht meine Firewall auszuschalten "16:43:03 Versuchte Beendigung des Outpost Firewall Pro-Prozesses wurde verhindert. Anwendung: Anwendung für Dienste und Controller, Path: C:\WINDOWS\system32\services.exe" kommt mir ebenfalls etwas verdächtig vor.
Dieser Beitrag wurde am 05.10.2006 um 16:49 Uhr von Mel_T editiert.
Seitenanfang Seitenende
05.10.2006, 17:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.10.2006, 18:50
...neu hier

Themenstarter

Beiträge: 4
#3 Hui, recht kompliziert....... ok ich fang mal an....



Was genau bewirken diese Programme? Bei einem hab ich gesehen das es unter anderem Spyware vernichtet.

C:\WINDOWS\system32

05.10.2006 17:58 7.006 jupdate-1.5.0_06-b05.log
04.10.2006 20:17 81.496 nvapps.xml
04.10.2006 18:07 41.472 TFTP3232
04.10.2006 18:05 70 i
04.10.2006 18:04 0 h323log.txt
04.10.2006 17:59 0 TFTP3344
04.10.2006 17:56 0 TFTP3176

C:\WINDOWS\is-EVEIM.exe


«

Anhang: Logs.txt
Dieser Beitrag wurde am 05.10.2006 um 19:09 Uhr von Mel_T editiert.
Seitenanfang Seitenende
05.10.2006, 22:58
Member

Beiträge: 130
#4 combofix und datfindbat zeigen nur vorhandene dateien an, kannst du so gesehen als scan sehen, damit Sabina weiß was da an bösen dateien unter guten ist ;)

cleanup löscht nur temporäre internetfiles ;)
Seitenanfang Seitenende
06.10.2006, 10:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Mel_T

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\is-EVEIM.exe

poste den report

______________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service

Files to delete:
C:\WINDOWS\system32\TFTP3232
C:\WINDOWS\system32\i
C:\WINDOWS\system32\TFTP3344
C:\WINDOWS\system32\TFTP3176
Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste den report vom avenger, der nach neustart erscheint

**
loesche das backup vom Avenger, unter C:\Avenger\backup.zip

**
scanne, lasse alles loeschen und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.10.2006, 18:52
...neu hier

Themenstarter

Beiträge: 4
#6 Ok ich hab hier mal virustotal durchlaufen lassen, er zeigt mir an, dass diese Datei kein Virus sei. Die Datei sollte ich prüfen richtig ? C:\WINDOWS\is-EVEIM.exe

Hier der Virustotal LOG und Avanger LOG

Seit kurzem erscheint bei meiner Firewall eine Meldung dass ein Angriff von außen blockiert worden sei.

Ich habe AVG ABti-Spy 7.5 durchlaufen lassen, habe die Datei gelöscht "downloader" weitere Informationen waren nicht vorhanden über diese Dabei. Einen Fehler habe ich gemacht: ich habe weiter geklick und den LOG nicht gespeichert, kann man den irgendwie anschauen außer direkt nach dem Scan??

Dieser Beitrag wurde am 08.10.2006 um 19:27 Uhr von Mel_T editiert.
Seitenanfang Seitenende
09.10.2006, 10:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 scanne, lasse alles loeschen und poste den scanreport
http://virus-protect.org/a2.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.10.2006, 15:51
...neu hier

Themenstarter

Beiträge: 4
#8 Hier ist der LOG, es wurden keine Probleme gefunden.

Seitenanfang Seitenende
11.10.2006, 00:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Mel_T

so richtig traue ich dem Braten nicht ;) .. waere zu leicht.
klicke noch mal die datfindbat, bedenke, es sind 6 logs und ich will von jedem ca. 3 Monate sehen, denn sie sind nach Datum geordnet.
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 00:57
...neu hier

Beiträge: 2
#10 Hallo,

bin seit gestern auch ein verwundertes Opfer von Virenfunden auf meinem Rechner geworden. Habe das Avira Antivir Programm und neben dem dem Droppers DR/Shelled Gen ist ausserdem noch der Worm Alcra B gemeldet. Habe schon ein bißchen im Netz dazu rumgesucht und auch schon das HijackThis Programm runtergeladen und ausgeführt. Das ist dabei rausgekommen:

Logfile of HijackThis v1.99.1
Scan saved at 00:40:44, on 11.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Silicon Integrated Systems\SiSRaidPackage\hot_plug.exe
C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\j2re1.4.2_08\bin\jusched.exe
C:\Programme\XpertVision\TBPanel.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Dokumente und Einstellungen\Abi1\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Hotplug] C:\Programme\Silicon Integrated Systems\SiSRaidPackage\hot_plug.exe
O4 - HKLM\..\Run: [SiSRaid] C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_08\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GAINWARD] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

muss ich jetzt meine Festplatte wieder formatieren? und wie werde ich diese Dinger wieder los?

kann mir jemand dazu einen Tipp geben?

gruß

Abi
Seitenanfang Seitenende
11.10.2006, 01:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 abilacht

poste bitte dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 10:17
...neu hier

Beiträge: 2
#12 Hallo Sabina,

erstmal danke für deine Antwort. Muss zugeben, der von dir angegebene linkbringt mich zwar auf eine Seite mit einer combofix Anleitung, aber die beiden downloadlinks dort lassen sich irgendwie nicht öffnen oder zeigen error ann, und daher kann ich das combofix nicht downloaden.

kannst du mir noch einen anderen Link zum downloaden posten?

gruß

Abi
Seitenanfang Seitenende
11.10.2006, 10:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 im Moment sind beide obrigen Links tot (11.10.2006) - ich lade also mal die Verison hoch, die ich selbst vor einiger Zeit geladen habe
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende