Datei bild_album.zip wird angehängt!

#1 Hallo,
es geht hier um den Rechner meines Onkels.
Bei ihm werden in unregelmässigen abständen die Datei bild_album.zip an E-Mails angehängt.
Ich habe den Rechner mit Hijackthis überprüft und das Log mit der Onlineüberprüfung gecheckt.
Angeblich alles in Ordnung.
Dann habe ich einen Online-Scan mit Panda gemacht, was mir vier Viren gefunden und entfernt hat. Die zweite Überprüfung hat kein Ergebnis mehr gebracht.

Nun war wieder ein paar Tage ruhe, und wir dachten, dass Panda uns das "Ding" entfernt hat.
Seid gestern geht es aber wieder los.

Was können wir noch machen?

Danke schonmal.

Selber

#2 Was wird in der Zip fuer ein Viorus gemeldet und was hat Panda gefunden.

Schick diese bild_album.zip bitte einmal an virus@protecus.de
__________
MfG Ralf
SEO-Spam Hunter

#3 Selber

edit:
raman das war fast zeitgleich

nicht richtig verstanden ...er erhaelt Mails mit dem Anhang oder wenn er Mails versendet, haengt sich die zip automatisch mit an ?

poste bitte dieses log
http://virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Die Datei wird beim Versand von dem Wurm an die entsprechende Email angehaengt. Genaueres kann ich erst sagen, wenn ich die Datei bekomme. Laut Google ist es ein Rootkit....
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo,
die E-Mail habe ich jetzt rausgeschickt.

Kaspersky-Online identifiziert den Virus als : Worm.Win32.Agent.X

Norton Internetsecurity findet im übrigen gar nichts.

Was Panda gefunden hat, weiss ich leider nicht mehr. Ich kann nur über NetOp auf den Rechner meines Onkels zugreifen, was meist sehr, sehr langsam ist (Der Seitenaufbau dauert da manchmal 1-2 Minuten.). Von daher hab ich das Ganze auf ein Minimum reduziert und nicht versucht, irgendwas zu kopieren, oder logs zu machen.

Der Comboscan wird nachgeliefert.

#6 wenn du das log von comboscan erstellt bekommst, gibt es eine Chance , den Rechner zu saeubern
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hier das log:

p.s. War zu viel für einen Post, habs mal als Anhang beigelegt.

Hoffe, das hilft weiter.
und danke schonmal

-------------------------------------------------------------------------

Zitat

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll
O16 - DPF: {00000000-6666-0704-0B53-2C8830E9FAEC} - http://key.one2bill.de/soft/ieloader.cab

#8 Die von dir genannte/geschickte Datei erstellt diese Datei: C:\WINDOWS\system32\RPCRT3.dll

Zu viel mehr bin ich noch nicht gekommen, ausser, das die bild*.exe doch schon recht gut erkannt wird:

Scan report of: bild_album.ex

AntiVir TR/Small.DBY.W
Avast! -
AVG Worm/Generic.ANB
BitDefender -
ClamAV -
Command W32/Trojan.XQX@spy (destructive program)
Dr Web MULDROP.Trojan (probably)
Ewido Worm.Agent.x
F-Prot W32/Trojan.XQX@spy
F-Secure Worm.Win32.Agent.x
Fortinet W32/Agent.EBM!worm
Ikarus Trojan-Downloader.Win32.Zlob.and
Kaspersky Worm.Win32.Agent.x
McAfee -
Microsoft Worm:Win32/Agent.D
Nod32 Win32/Fukustog worm (probably variant)
Norman W32/Suspicious_U.gen
Panda Trj/Agent.EAN
QuickHeal Worm.Agent.x
Rising -
Sophos Troj/Agent-EBM
Symantec -
Trend Micro WORM_FUKUSTOG.A
UNA Worm.Win32.Agent.x
VBA32 Worm.Win32.Agent.x
VirusBuster Worm.Agent.SDE
__________
MfG Ralf
SEO-Spam Hunter

#9 ««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}

Files to delete:
C:\WINDOWS\system32\info.txt
C:\WINDOWS\system32\form.txt
C:\WINDOWS\system32\RPCRT3.dll
C:\WINDOWS\system32\ipv6monl.dll
C:\WINDOWS\system32\ipv6monk.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

--------------

««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix
RunThis.bat doppelt klicken

schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Ihr koennt auch Ewido ausprobieren. Das sollte alle Teile erkennen, genauso wie die ipv6monl und k, die Sabina gelistet hat:

edit (Sabina) - ewido ist jetzt: AVG Anti-Spyware
http://virus-protect.org/ewido.html

http://www.ewido.net/de/ bzw: http://downloads.ewido.net/ewido_micro.exe
__________
MfG Ralf
SEO-Spam Hunter

#11 ich wollte erst mal sehen, was in der firewall-list erlaubt ist, wahrscheinlich der Internetexplorer
dann wollte ich sophos ueber DOS ausfuehren lassen.
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Das sollte auch funktionieren...

BTW: Der Wurm patcht auch die svchost.exe, die musst du auch noch durch ein Orginal ersetzen....
__________
MfG Ralf
SEO-Spam Hunter

#13 o.k. ich lasse das dann ueberpruefen, wenn der User wieder da ist
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Wichtig ist, erst svchost.exe erneuern, dann die dll loeschen, sonst kann es dir den Rechner "zerlegen"!
__________
MfG Ralf
SEO-Spam Hunter

#15 So,
den letzten Schritt mit SDFix konnte ich noch nicht ausführen, weil ich dafür auf meinen Onkel warten muss.
Ohne Netzwerk kein NetOp.
Hier schonmal die Batfind-Dateien:
down.txt ist leer, wenns nur die letzten 3 Monate betrifft
sys.txt:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\

21.02.2007 14:56 0 sys.txt
21.02.2007 14:56 572 down.txt
21.02.2007 14:55 325 tmp.txt
21.02.2007 14:55 16.237 system.txt
21.02.2007 14:54 127 systemtemp.txt
21.02.2007 14:54 104.779 system32.txt
21.02.2007 14:53 33 PSPath.ini
19.02.2007 06:14 510 11.tt
19.02.2007 06:10 536.399.872 hiberfil.sys
19.02.2007 06:10 1.572.864.000 pagefile.sys
14.02.2007 07:58 12.099 JB_GES.DBF

23 Datei(en) 2.109.732.058 Bytes
0 Verzeichnis(se), 65.452.417.024 Bytes frei

system.txt:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS

21.02.2007 13:23 547 NetOp.INI
21.02.2007 13:21 50 wiaservc.log
21.02.2007 13:21 159 wiadebug.log
19.02.2007 06:12 0 0.log
19.02.2007 06:12 4.938 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
19.02.2007 06:11 1.496.066 WindowsUpdate.log
19.02.2007 06:10 2.048 bootstat.dat
16.02.2007 17:35 32.526 SchedLgU.Txt
15.02.2007 10:02 1.469 mozver.dat
15.02.2007 09:48 849 win.ini
15.02.2007 09:46 113.724 setupapi.log
14.02.2007 15:01 186.164 iis6.log
14.02.2007 15:01 412.689 comsetup.log
14.02.2007 15:01 262.527 ntdtcsetup.log
14.02.2007 15:01 1.374 imsins.log

322 Datei(en) 36.209.882 Bytes
0 Verzeichnis(se), 65.452.466.176 Bytes fr

system32.txt:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS\system32

21.02.2007 14:53 2.206 wpa.dbl
21.02.2007 11:41 300 stoG._
19.02.2007 06:14 29.972 atta._
15.02.2007 10:00 9.857 jupdate-1.5.0_11-b03.log
15.02.2007 09:45 2.550 Uninstall.ico
15.02.2007 09:45 1.406 Help.ico
15.02.2007 09:45 30.590 pavas.ico
14.02.2007 15:00 122.142 TZLog.log
11.02.2007 16:46 58.072 ipv6monl.dll
11.02.2007 16:44 4.096 bzzz._
08.02.2007 13:37 33.280 RPCRT3.dll
07.02.2007 23:01 12.293.536 MRT.exe
03.02.2007 21:09 10.446 EraserAHS.log
03.02.2007 21:09 10.444 coh.cache
03.02.2007 21:09 24.804 EraserAHS.tlg
29.01.2007 09:58 60.416 tzchange.exe
23.01.2007 20:30 546.304 hhctrl.ocx


2145 Datei(en) 415.103.605 Bytes
0 Verzeichnis(se), 65.452.474.368 Bytes frei

systemtemp.txt ist leer

tmp.txt:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS\Temp

21.02.2007 14:53 409 WGANotify.settings
21.02.2007 14:53 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 65.452.462.080 Bytes frei

Das Avanger-Log war im übrigen leer.
Ich hoffe, dass das ok ist?

edit:
Der Report von SDFix:
SDFix: Version 1.67

Run by User - 21.02.2007 @ 15:50:57,04

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\ipv6monl.dll - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.


Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Dokumente und Einstellungen\\User\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\S6YBRQTL\\incredimail_install[1].exe"="C:\\Dokumente und Einstellungen\\User\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\S6YBRQTL\\incredimail_install[1].exe:*:Enabled:IncrediMail Installer"
"C:\\Dokumente und Einstellungen\\User\\Lokale Einstellungen\\Temp\\ImInstaller\\IncrediMail\\incredimail_install[1].exe"="C:\\Dokumente und Einstellungen\\User\\Lokale Einstellungen\\Temp\\ImInstaller\\IncrediMail\\incredimail_install[1].exe:*:Enabled:IncrediMail Installer"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\\Programme\\Danware Data\\NetOp Remote Control\\Host\\NHSTW32.EXE"="C:\\Programme\\Danware Data\\NetOp Remote Control\\Host\\NHSTW32.EXE:*:Enabled:NetOp Host"
"C:\\Programme\\Coolspot\\Personal ID\\pid.exe"="C:\\Programme\\Coolspot\\Personal ID\\pid.exe:*:EnabledersonalID"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Danware Data\\NetOp Remote Control\\Host\\NHSTW32.EXE"="C:\\Programme\\Danware Data\\NetOp Remote Control\\Host\\NHSTW32.EXE:*:Enabled:NetOp Host"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Programme\Messenger\msmsgs.exe
C:\Programme\Common Files\X10\Common\x10prod.sys

Add/Remove Programs List:

ATI - Dienstprogramm zur Deinstallation der Software
ATI Display Driver
C-Media 3D Audio
CleanUp!
DivX Codec
HijackThis 1.99.1
Microsoft Internationalized Domain Names Mitigation APIs
Windows Internet Explorer 7
Microsoft Data Access Components KB870669
LiveUpdate 3.1 (Symantec Corporation)
Medi@Show
Mitgliederbereich
Nero OEM
Microsoft National Language Support Downlevel APIs
Novell Client f�r Windows
PageScript
Panda ActiveScan
Microsoft Picture It! Foto Premium 9
RealOne Player
Shockwave
Adobe Flash Player 9 ActiveX
Norton Internet Security (Symantec Corporation)
Viewpoint Media Player
Windows Media Format Runtime
Windows Media Player 10
Windows XP Service Pack 2
WinRAR Archivierer
X10 Hardware(TM)
Microsoft Encarta Enzyklop„die 2004
ATI Control Panel
Adobe Photoshop Album 2.0 Starter Edition
NetOp Remote Control
VideoLive Mail
PowerCinema 2.0
SymNet
CA Licensing
J2SE Runtime Environment 5.0 Update 11
ccCommon
Informationen �ber Ihren PC
Microsoft Windows-Journal-Viewer
MUSICMATCH(R) Jukebox
Norton Internet Security
Norton Confidential Browser Component
Microsoft Works Suite-Add-Ins f�r Microsoft Word
eTrust Antivirus Registration
Norton Internet Security
Microsoft Works
PowerDVD
Home Cinema XL II
Windows-Sicherungsprogramm
SPBBC 32bit
Norton AntiVirus
Microsoft AutoRoute v11.0
Microsoft Office Excel 2003
Microsoft Office Outlook 2003
Microsoft Office PowerPoint Viewer 2003
Microsoft Word 2002
Norton Protection Center
InstantCopy
MSN Messenger 6.0
Adobe Reader 7.0.9 - Deutsch
PowerProducer
MSRedist
PowerDirector
Microsoft .NET Framework 1.1
USB Wireless Keyboard Driver
Norton Confidential Web Protection Component
Microsoft Picture It! Foto Premium 9
Symantec Real Time Storage Protection Component
Norton Internet Security
Norton Internet Security
Microsoft .NET Framework 1.1 German Language Pack
Medion Flash XL
AppCore
AV
Personal ID
HighMAT-Erweiterung f�r den Microsoft Windows XP-Assistenten zum Schreiben von CDs

Finished