Exploit-DcomRpc.gen Virus

#1 hi
Stinger hat den "Exploit-DcomRpc.gen Virus" gefunden, konnte ihn aber nicht beseitigen.
Habe schon nach Exploit gesucht und verschiedene Versionen gefunden, aber nicht die o.g., da ich keine genaue Ahnung habe ob sich die Trojaner unterscheiden möchte ich hier nochmal fragen, wie ich ihn loswerde. Tut mir leid falls ihr das schonmal hattet.

Danke schonmal

Ahima

#2 Wo genau wird denn der Virus gefunden, welcher Dateiname und welches Verzeichniss. Falls noch nicht geschehen bitte mal www.windowsupdate.com besuchen
__________
MfG Ralf
SEO-Spam Hunter

#3 In svchost.exe. Ich poste mal ein log, vielleicht kann mir dazu ja jemand was sagen

Logfile of HijackThis v1.97.7
Scan saved at 03:15:19, on 18.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\ScanSoft\OmniPageSE\opware32.exe
E:\Programme\Real\RealPlayer\RealPlay.exe
E:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
E:\Programme\Logitech\ImageStudio\LogiTray.exe
E:\Dokumente und Einstellungen\Administrator\Desktop\Antivir\AVGNT.EXE
E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\WINDOWS\System32\wuamgrd.exe
E:\WINDOWS\System32\svchosts.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Microsoft Office\Office\OSA.EXE
E:\PROGRA~1\ICQ\ICQ.exe
E:\Dokumente und Einstellungen\Administrator\Desktop\Antivir\AVGUARD.EXE
E:\Dokumente und Einstellungen\Administrator\Desktop\Antivir\AVWUPSRV.EXE
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\drivers\svchost.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Dokumente und Einstellungen\Administrator\Desktop\Antivir\Andere\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Omnipage] E:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [RealTray] E:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVCOMS] E:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] E:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] E:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Dokumente und Einstellungen\Administrator\Desktop\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVWUpd32] E:\DOKUME~1\ADMINI~1\Desktop\Antivir\Avwupd32.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update] svchosts.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] svchosts.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] svchosts.exe
O4 - Startup: Office-Start.lnk = E:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9E30E5A-C2D7-4055-9124-36586AFB2724}: NameServer = 217.237.149.161 194.25.2.129

Danke

#4 Fix bitte das:

O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update] svchosts.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] svchosts.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] svchosts.exe

Danach bitte neu starten und diese Dateien bitte an virus@protecus.de schicken und dann loeschen:

E:\WINDOWS\System32\wuamgrd.exe
E:\WINDOWS\System32\svchosts.exe

Bitte, bitte dein Windows updaten! Zwischenzeitlich vieleicht die Windowwseigene Firewall einschalten:
http://www.pctip.ch/helpdesk/kummerkasten/archiv/winxp/24376.asp
__________
MfG Ralf
SEO-Spam Hunter

#5 Hi

nach dem fix hat sich wuamgrd.exe verabschiedet, ist jetzt nicht mehr im System32 ordner... Soll ich svchost.exe trotzdem noch schicken oder ist es dann auch egal? Stinger meldet jedenfalls weiterhin den Trojaner in svchost.exe...

#6 Ja, bitte und schaue auch mal, ob die andere Datei nicht doch da ist, indem du versteckte Dateien anzeigen laesst:

Versteckte Dateien anzeigen lassen.

Standard mäßig wird die Funktion alle Dateien anzeigen ausgeschaltet dies ist aber leicht wieder zu ändern dazu öffnen Sie Ihren "Windows Explorer" und klicken oben auf "Extras" und auf "Ordneroptionen..." es öffnet sich ein neues Fenster klicken Sie jetzt im Register auf "Ansicht" uns Scrollen bis ganz nach unten dort gibt es die Kategorie "Versteckte Dateien und Ordner" dort klicken Sie auf "Alle Dateien und Ordner anzeigen" nun werden Ihnen alle Dateien angezeigt und können bearbeitet werden.(computer-handyportal.de)
__________
MfG Ralf
SEO-Spam Hunter

#7 Die beiden Dateien "svchostS" waren als pf.s im ordner "prefatch", hab sie geschickt und gelöscht, aber stinger meldet immer noch einen virus in svchost (ohne s).exe im ordner system32/drivers...

vielleicht noch n fehler im log?

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\ScanSoft\OmniPageSE\opware32.exe
E:\Programme\Real\RealPlayer\RealPlay.exe
E:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
E:\Programme\Logitech\ImageStudio\LogiTray.exe
E:\Dokumente und Einstellungen\Administrator\Desktop\Antivir\AVGNT.EXE
E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Microsoft Office\Office\OSA.EXE
E:\PROGRA~1\ICQ\ICQ.exe
E:\Programme\Windows Media Player\wmplayer.exe
E:\Dokumente und Einstellungen\Administrator\Desktop\Antivir\AVGUARD.EXE
E:\Dokumente und Einstellungen\Administrator\Desktop\Antivir\AVWUPSRV.EXE
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\drivers\svchost.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Dokumente und Einstellungen\Administrator\Desktop\Antivir\Andere\stinger.exe
E:\Dokumente und Einstellungen\Administrator\Desktop\Antivir\Andere\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Omnipage] E:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [RealTray] E:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVCOMS] E:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] E:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] E:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Dokumente und Einstellungen\Administrator\Desktop\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVWUpd32] E:\DOKUME~1\ADMINI~1\Desktop\Antivir\Avwupd32.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Office-Start.lnk = E:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9E30E5A-C2D7-4055-9124-36586AFB2724}: NameServer = 217.237.149.161 194.25.2.129


Jedenfalls schonmal danke

#8 Fast, dieses bitte noch (auf eigene gefahr) herausnehmen:

O10 - Broken Internet access because of LSP provider 'avsda.dll' missing

und windows auf den neusten Stand gebracht?
__________
MfG Ralf
SEO-Spam Hunter