PC-Probleme-Thread - Oder auch "Frag Dr. Glamatus"

[Glamatus]

Original von Obsen
Wie groß ist die Gefahr, dass ich noch einen Wurm auf dem Rechner habe?

Wahrscheinlich schon groß. Wenn es dumm gelaufen ist sogar einen relativ neuen der von den Scannern noch nicht erkannt wird. Solche Meldungen häufen sich in letzter Zeit leider in diversen Foren.

Poste bitte einfach mal ein HijackThis Logfile. Vielleicht erkennt man da schon was.

Viele Grüße!

[Shiek]

Original von Glamatus
Nimm einfach den IBM Drive Fitness Test. Der funktioniert bei allen Platten, unabhängig vom Hersteller.
http://www.chip.de/downloads/c1_downloads_13007626.html

Wie funktioniert das? Nachdem ich es installiert habe (auf ner Diskette irgendwie ) habe ich jetzt da Dateien und Ausführungen. Was soll ich denn jetzt genau anstellen? Die eine Ausführung erstellt auch nur Dateien, die mir nicht recht einleuchten.

[Glamatus]

Original von Shiek
Wie funktioniert das?

Einfach von der Diskette booten.

[Obsen]

Voilà:

Logfile of HijackThis v1.99.1
Scan saved at 20:23:35, on 01.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Downloads\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 193.192.248.219:3128
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: printers - {40E28E5E-7B95-4C97-9B5D-C338D201E0D4} - libwinets.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

[Glamatus]

Dieser Eintrag hier sieht nicht wirklich gut aus:

O21 - SSODL: printers - {40E28E5E-7B95-4C97-9B5D-C338D201E0D4} - libwinets.dll (file missing)

Das erinnert ganz stark an MSN-Viren. Kannst du mal im abgesicherten Modus diese Datei suchen, kopieren und umbenennen und dann beim Jotti-Onlinescan hochlanden?

http://virusscan.jotti.org/de/

Könnte allerdings auch sein das du sie nicht findest.

Wenn du die *.rar Datei noch hast, auch einfach mal hochladen und schauen was der Scan sagt.


Mach als nächstes im abgesicherten Modus mal bitte einen Durchlauf mit eScan: http://www.mwti.net/products/mwav/mwav.asp
Vorher aber noch aktualisieren.

Bei "Scan Optionen" muß bei "Speicher", "Startup Ordner", "alle lokalen Festplatten", "Registrierung", "System Ordner", "Dienste" und "Alle Dateien scannen" ein Häkchen gesetzt sein.

Cookies und ähnliches kannst du beim Scanergebnis ignorieren. Wichtig wären nur gefundene Viren.

[Obsen]

Also:

Der eScan geht bei mir irgendwie nicht. Er kann sich nicht aktualisieren und wenn ich scanne sagt er mir, dass er nur was findet aber nix löscht, weil ich keine Lizenz habe.

Die libwinets.dll habe ich aber gefunden und bei Jotti hochgeladen:

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Backdoor.Agent.YUV gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web BackDoor.IRC.Sdbot.1703 gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.IRCBot.acd gefunden
NOD32 a variant of Win32/IRCBot.WO gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Das hilft mir jetzt schonmal sehr weiter. Wenn du dennoch einen letzten Leitfaden für den DAU machen könntest, würdest du deinem tollen Service noch die Krone aufsetzen.

Echt super von dir!

[Glamatus]

Es ist ein Backdoor... Und dazu anscheinend noch eine relativ neue Variante. Also eigentlich ist die einzig sichere Methode einen Schädling mit Backdoor-Funktionen zu entfernen ein komplettes Neuaufsetzen des Systems. Das ist auch das was ich dir ans Herz legen würde und was Microsoft rät.

Siehe z.B. hier:
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Gerade das Problem an diesen MSN-Würmern ist es auch, das sie sich an legitime Programme wie z.B. die explorer.exe anhängen, was eine Bereinigung sehr schwierig macht.

Und so wie ich das gerade gelesen habe scheinst du eine neue Variante erwischt zu haben die sich erst seit dem 30. Juli im Umlauf befindet. Den absoluten Jackpot quasi.


Was du versuchen könntest ist ein Online-Scan mit anschließender automatischer Bereinigung mit BitDefender: http://www.bitdefender.com/scan8/ie.html

Aber ganz ehrlich, das wäre mir alles zu heikel. Den Extremfall siehst du z.B. hier: http://www.oschad.de/wiki/index.php/Virenscanner

[Obsen]

Ok, hilft ja alles nix. Ich als guter Windoof User, der ja quasi mit solchen Problemen plant habe auf meiner C: - Partition nur Windows. Reicht es wenn ich diese Formatiere und neuinstalliere oder muss ich alle Partitionen formatieren um diesen Wurm loszuwerden?

Das war es dann auch mit Fragen.

[Glamatus]

Ja, sollte reichen. Neuere Viren sind da zum Glück recht "einfallslos". Wenn ich mich an früher erinnere als Viren auch noch wirklich jede ausführbare Datei infiziert hatten...

Jedenfalls ein formatieren von C:\ sollte eigentlich bei diesen Typen von Viren reichen.

[Obsen]

Nochmals Danke für deine Mühen und deine Geduld.