tigermore
Goto Top

hab einen neuen Virus

hab mir irgendwie einen virus eingefangen face-sad
er verändert die registry
antiviren und firewalls werden gesperrt und man kann nicht mehr ins internet
sobald ich kaspersky anmache steht dran zugriff verweigert, bin mal mit spybot drüber gegangen und der hat mehrere
sachen gefunden
und ich kann den namen nicht rausfinden, wenn ich taskmanager anmachen geht der nach 2-3 sekunden wieder aus, dass gleiche passiert auch sobald ich die registry öffne

kann mir irgendjemand helfen ?

Content-ID: 18288

Url: https://administrator.de/contentid/18288

Ausgedruckt am: 31.10.2024 um 14:10 Uhr

10545
10545 23.10.2005 um 19:10:31 Uhr
Goto Top
Moin,

starte den Rechner im abgesicherten Modus* und probiere dann die Cleaning-Maßnahmen.
Bei XP: Denke bitte dran, den "Wiederherstellungspunkt" zu deaktivieren!

Gruß, Rene

PS: Ich bin erstaunt, dass Kaspersky das Teil (bin mal gespannt, welcher das ist) nicht "kassiert" hat!

Halte uns bitte auf dem Laufenden!

  • Irgendwie entsinne ich, dass der Abgesicherte Modus mit 256 Farben startet, Kaspersky weigert sich (glaube ich) unter 256 Farben zu arbeiten ...
tigermore
tigermore 23.10.2005 um 19:35:06 Uhr
Goto Top
naja hab mal im abgesicherten modus hijackthis durchlaufen lassen (im normalen modus geht auch hijackthis aus !)
und stinger hat auch nix endeckt
und ich weiss nicht was ich sonst machen kann face-sad

hier mein logfile,vielleicht kann mir jemand helfen =/

Logfile of HijackThis v1.99.1
Scan saved at 19:25:47, on 23.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Tigermore\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [svshost] C:\WINDOWS\System32\hhwuxfdir\svshost.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.ca ...
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
Teddyhamster2000
Teddyhamster2000 23.10.2005 um 20:07:29 Uhr
Goto Top
wenn du mal auf http://www.hijackthis.de/ gehst, kannst du dein Logfile auswerten lassen - scheint ganz brauchbar zu sein face-smile
tigermore
tigermore 23.10.2005 um 20:18:04 Uhr
Goto Top
lol....
sobald ich auf die seite gehe, schließt sich der explorer face-sad
10545
10545 23.10.2005 um 20:18:05 Uhr
Goto Top
Und 1 Sekunde später die Antwort face-wink :

Moin,

jaja, die bösen IRC-Channels face-wink

Du hast in folgendem Schlüssel

HKLM\..\Run: [svshost] C:\WINDOWS\System32\hhwuxfdir\svshost.exe

den Trojaner: TROJ/SDBOT-HN TROJAN

Der Rest ist sauber.

Das sagt Sophos zum Entfernen:
Recovery
This section tells you how to disinfect.

Please follow the instructions for removing Trojans.

Windows NT/2000/XP/2003

In Windows NT/2000/XP/2003 you will also need to edit the following registry entry. The removal of this entry is optional in Windows 95/98/Me. Please read the warning about editing the registry.

At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.

Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.

Locate the HKEY_LOCAL_MACHINE entry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
svshostdriver= svshost.exe

and delete it if it exists.

Close the registry editor.

Wenn Du dann alles obige gemacht hast, dann lasse "das volle Programm" laufen:

Ad-Ware, SpyBot, AV-Scanner


Gruß, Rene
10545
10545 23.10.2005 um 20:27:02 Uhr
Goto Top
... und man möge es mir verzeihen, aber es bestätigt mich leider erneut:

Symantec ist sein Geld absolut nicht mehr wert!
Dieses Stück "Pseudo"-Sicherheitssoftware macht das System langsam, verankert sich sooo dermaßen tief in das BS, dass eine sauberer De-Install = Formatieren bedeutet. Als Belohnung dafür bekommt man eine der schlechtesten Erkennungsraten bei Trojanern.

Sorry, aber immer wieder (ob nun bei Kunden oder im einschlägigen Internetforen) begegne ich Anwendern, die mit aktiviertem Symantec-Produkten völlig verseucht sind ...face-sad

Sorry, das ist meine Meinung.

Gruß, Rene
tigermore
tigermore 23.10.2005 um 20:52:11 Uhr
Goto Top
###e face-sad
ich kann den eintrag in der registry zwar löschen, aber der kommt wieder sobald ich im normalen modus starte face-sad
adaware, spybot und kaspersky hab ich drüberlaufen lassen, aber die haben nix gefunden

was soll ich jetzt machen ? =(

edit: gibt es ne möglichkeit ihn im abgesicherten modus zu löschen ? also ich meine im system32 ordner, die datei muss sich ja irgendwo befinden
obiwahn69
obiwahn69 23.10.2005 um 21:39:42 Uhr
Goto Top
Hallo Tiger,
versuchs mit der neuen Version von Panda Software Internet Security 2006, kannst du als Test- bzw. evalversion für 30 Tage kostenlos nutzen.

Die Technologie ist neu und sehr effektiv bei der beseitigung von Viren.

Ich hatte vor kurzen ein ähnliches Problem.

Viel erfolg
ConnecT
ConnecT 24.10.2005 um 00:40:01 Uhr
Goto Top
zum Bereinigen kannst Du alternativ auch die kostenlose Damage Cleanup Engine von TREND MICRO verwenden.
Download unter:
http://de.trendmicro-europe.com/enterprise/support/tsc.php

Gruß Christian
Biber
Biber 24.10.2005 um 01:14:08 Uhr
Goto Top
@tigermore
Nur zur Ergänzung der vorherigen Postings:
Es gibt reichlich Varianten von diesem Baukastentrojaner.
Sophos beispielsweise spuckt bei kurzer Nachfrage 170 Varianten aus, die eine svshost.exe in den AutoStart-Bereich der Registry schreiben.
Muss also nicht der Spybot-HN sein ..der ist vom April 2004 - das ist eher unwahrscheinlich.

Mich wundert wirklich nur, dass es eine Firewall gibt, die diesem Billigzeugs nicht gewachsen ist. Kannst Du bitte, wenn der aktuelle Stress nachlässt und Du diesen Quatsch entsorgt hast, bitte nochmal posten, was (und welche Versionen) an Firewall/AV-Tools Du im Einsatz hast?

Denn wenn das "nur" ein Trojaner/Networm/IRC-Backdoor aus diesem Toolkit ist und dennoch nicht abgefangen wird, muss ich Rene wirklich zustimmen - dann taugt Symantec nicht für 5 Cent.

Danke
Biber
10545
10545 24.10.2005 um 07:09:42 Uhr
Goto Top
Moin,

@Biber
Er hat die <tt>Norton Internet Security</tt> im Einsatz (siehe die 8.000.000 Einträge im HJT-Log...)
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll)

HJT hat auch diese Trojaner-Variante erkannt, daher schrieb ich auch die Anleitung für diesen Typus.

@tigermore
Was mich gerade mehr als wundert: Wieso läuft bei Dir Kaspersky, wenn die NIS noch aktiv ist?!
Du solltest NIEMALS 2 Virenwächter (Monitore) parallel installiert haben ? das gibt immer Stress!
U.A. kann sich das so auswirken, dass Viren/Trojaner nicht mehr erkannt werden ! .... face-sad

<font color=red>Bitte ALLE folgenden Schritte im abgesicherten Modus und in der exakten Reihenfolge ausführen:</font>

1.) Den Wiederherstellungsfunktion von XP deaktivieren

2.) Erneut den entsprechenden Registry-Key löschen

3.) Alle Einträge in der REG nach dem String "svshost.exe" durchsuchen und löschen (keine Sorge, die Original Windows-Datei heißt svchost")

4. Alle Einträge in der REG nach dem String "hhwuxfdir" durchsuchen und löschen
(Zu 3 und 4: Mit "löschen" meine ich den kompletten Schlüssel!)

5. Die Datei C:\WINDOWS\System32\hhwuxfdir\svshost.exe LÖSCHEN. Kopiere nun aber (nur um ganz sicher zu gehen) die notepad.exe unter dessen Namen (svshost.exe) in den System32-Ordner und belege sie mit Schreibschutz!

6. Versuch, ins Internet zu gehen (wenn Du das jetzt liest, dann bist Du zweifelsfrei online face-wink

7. Lösche (Zippen und löschen geht auch) nun bitte die Datei "\\Windows\system32\drivers\etc\HOST"

8. Ich habe Dir Bitdefender-Free und die Ewido-Security-Suite (beide laufen ohne Probleme neben aktiven Virenscannern!) auf meinen Server geschmissen, falls der Trojaner evtl. bekannte URL´s von AV-Herstellern abfängt. Außerdem vermute ich, dass er die HOST (die ja nun weg sein sollte) manipuliert hat. ==>Folgende Dateien downloaden:
[...]

Die vorgenannten Anwendungen bitte installieren und laufen lassen.

Melde Dich bitte unbedingt, wenn Du die Dateien gezogen hast, ich lösche Sie dann wieder aus Traffic-Gründen.

Lass von Dir hören!

Gruß, Rene
10545
10545 24.10.2005 um 07:20:04 Uhr
Goto Top
... und noch einen ernstgemeinten Anhang:

Besteht die Möglichkeit, ohne großen Aufwand das System komplett neu aufzusetzen?

Falls ja, oder falls Du eh regelmässige Backups hast (Vorsicht!! Hier könnte der Trojaner schon bei sein!), würde ich Dir diesen Weg nahe legen:

Du hättest die Sicherheit, dass der Übeltäter wirklich verschwunden ist (obwohl die vorbeschriebenen Wege auch zum Erfolg führen).
Ferner wäre der Symantec-M**l weg, den bekommst Du so nämlich nicht mehr so einfach aus dem System.

Ich empfehle Dir dann dringend den Einsatz von Kaspersky oder Bitdefender Personal (Pro).
Als Desktopfirewall taugen die "Sygate Personal Firewall-Free" und die "Outpost Personal" (Free) zumindest soweit, um solch bekannte Plagegeister abzuhalten (solange sie bekannte/nicht gefixte Ports benutzen).

Die Erkennungsraten von Kaspersky und Bitdefender sind seit Jahren ungeschlagen.
Im Übrigen vereint das Produkt G-DATA Antivirus 2005 beide Engines unter einem Dach ? allerdings klagen viele Anwender, dass G-Data sehr Ressourcenhungrig ist und das System verlangsamen soll.

Das "A&O" gegen Plagegeister ist aber nachwievor, nicht auf alles draufzuklicken, MS-Updates regelmässig zu installieren, Outlook (falls verwendet) in die eingeschränkte Sicherheitszone zu setzen und ebenfalls bei OL die "Autovorschau" rauszunehmen (!). Unbekannte E-Mails gehören UNGELESEN gelöscht.
TIPP: Wenn man in Outlook und auch Outlook-Express beim Löschen (ENTF.-Taste) gleichzeitig die Großstelltaste (Shift) drückt, wird sofort gelöscht, nicht erst in den Papierkorb verschoben.

Ferner empfehle ich immer (insb. bei IE) Java-Applets und ActiveX nur dann zu aktivieren, wenn man es wirklich benötigt und die Quelle vertrauenswürdig ist!

Schreibe doch mal bitte, wie Du in´s Internet gehst (Router, FritzCard, Modem?) und welche CPU/RAM Dein Rechner hat.

Gruß, Rene

PS: Ich schreibe hier mit Absicht (z.B. als Kaufkriterium) keine Produktpreise, denn Dein jetziger Aufwand kostet viiieeeel mehr, als der Kaufpreis eines guten AV-Schutzes!
tigermore
tigermore 25.10.2005 um 20:00:56 Uhr
Goto Top
also hab das genau gemacht was du gesagt hast, aber irgendwie klappts immernoch nicht :'(

systemwiederherstellung war schon deaktiviert
hab den key in der reg gelöscht
hab nach weiteren svshost und hhwuxfdir keys in der reg gesucht und nichts gefunden
hab die datei im ordner hhwuxfdir gelöscht und die notepad.exe in den ordner kopiert und umbenannt und schreibgeschützt

wenn ich den pc hochstarte öffnet sich jetzt der notepad als "unbennant"
tigermore
tigermore 25.10.2005 um 20:28:36 Uhr
Goto Top
hmmmmm
irgendwie läuft was schief =/

wenn ich den pc hochfahre läuft der svshost prozess nicht mehr, in der reg ist der key auch weg und der ordner hhwuxfdir gibts auch nicht mehr. (und es kommt nicht mehr die meldung, dass eine datei eine verbindung zu irc.xposed.com herstellen möchte)
ich komm mit dem IE ins internet
task manager, reg editor (alles was vorher sich automatisch geschlossen hat) schließt sich nicht mehr
mozilla (mit mozilla kann ich nicht online gehen, also offline selbsterstellte html seiten funktionieren; der sagt mir, dass er keine verbindung herstellen kann mit der gewünschten seite), kaspersky, firewall gehen nicht, und bei allen programmen geht der update nicht mehr (fehlermeldung: konnte keine verbindung herstellten), obwohl ich eine verbindung habe.

was soll ich jetzt machen =? hab das gefühl ich muss formatieren, da viele daten in reg verändert wurden :'''(

edit: hab eine datei gefunden
SVSHOST.EXE-1A8E373B.pf
in C:\WINDOWS\Prefetch , datei kann aber nicht gelöscht werden face-sad
Biber
Biber 25.10.2005 um 21:00:09 Uhr
Goto Top
Ach, die ziert sich nur bisschen...
Im abgesicherten Modus starten.. nur auf CMD-Ebene gehen und die Datei ganz billig mit "del " löschen.
Hast Du denn noch irgendeine "saubere" Boot-Möglichkeit (CD; Disk)?
Du solltest einmal mit unverseuchtem System durchstarten können, denn Deine letzte gesicherte Konfiguration war offensichtlich auch nicht so richtig gesund.
10545
10545 25.10.2005 um 21:25:52 Uhr
Goto Top
... und solange das Notepad beim Hochfahren gestartet wird, hast Du noch immer irgendwo den Wurm sitzen (der so doof und billig ist, dass er nicht mal merkt, dass man ihm das Notepad unterschiebt face-wink face-big-smile ).

Ansonsten kann ich mich nur biber seinem Rat anschließen (Bootdisk/-CD).

Aber, wie auch schon "angedroht": <tt>Format C:\</tt> hilft immer, auch wenn´s die Holzhammer-Methode ist... ? ob der Aufwand groß ist, weiß ich nicht, Du hast meine restlichen Fragen ja noch nicht beantwortet face-sad

Gruß, Rene

PS: Dateien auf meinem Server habe ich nun gelöscht.
tigermore
tigermore 25.10.2005 um 21:33:43 Uhr
Goto Top
ehm ja danke bis jetzt für die hilfe :D

die prefetch datei ist nun auch weg face-smile
aber leider hab ich keine bootcd oder disk :'(

zu deinen fragen
ich benutz ein modem 1mbit leitung (terrorcom), cpu ist pentium 4 2,53 ghz, 512 mb ddram

danke für die programme face-smile , aber da ich sie nicht updaten kann, kann ich sie noch nicht wirklich testen face-sad

gibt es wirklich keine andere methode ausser format c =?
10545
10545 25.10.2005 um 21:50:52 Uhr
Goto Top
danke für die programme face-smile , aber da
ich sie nicht updaten kann, kann ich sie
noch nicht wirklich testen face-sad

Ich lege Dir gleich mal die Updatesignaturen auf den Server ? Link folgt ...

Gruß, Rene
tigermore
tigermore 25.10.2005 um 22:27:32 Uhr
Goto Top
hab sie mir gezogen, aber ich kann kaspersky gar nicht starten face-sad
er sagt mir ja: Fehler beim Start des Serviceteils von Kaspersky Anto-Virus Personal
und geht gar nicht an face-sad
gibt es denn eine möglichkeit, alles wieder zum laufen zu bringen =?
oder kommt nur format c in frage ?
10545
10545 25.10.2005 um 22:53:56 Uhr
Goto Top
oder kommt nur format c in frage ?

Ich denk so langsam, das ist der schnellste Weg ... ? nachdem wir es nun seit 2 Tagen probieren ...face-wink

Gruß, Rene
tigermore
tigermore 26.10.2005 um 09:50:23 Uhr
Goto Top
> oder kommt nur format c in frage ?

Ich denk so langsam, das ist der schnellste
Weg ... ? nachdem wir es nun seit 2 Tagen
probieren ...face-wink

Gruß, Rene


:'( naja das mach ich dann am wochenende
Cythux
Cythux 03.07.2007 um 02:36:03 Uhr
Goto Top
sucht nach einer Datei die sich "MyAlbum2007" nennt, nicht öffnen !!!!
Dort ist ein neuer MSN Virus drauf, der sich selbst verteilt und auch wieder
zurück kommt!

zur Zeit finden zwar einige Antivirenprogramme diesen, er kann aber nicht entfernt werden!

Da hilft nur eins "Neuinstallation des Betriebssystems"

http://www.trojaner-board.de/40526-msn-virus.html hier ist link wo ich meine infos gefunden habe