nicht angemeldet
Systemwiederherstellungspunkt macht Virus weg
Hi,
muss gerade einen Rechner von einer Freundin richten und hab herausgefunden das der Bloodhound.W32.EP Virus auf dem Rechner ist.
Habe einen alten Systemwiderherstellungspunkt vor der Infektion genommen und nun scheint der Virus weg zu sein. Norton findet auch nichts mehr, aber es ist halt nur Norton :-).
Kann ich mir sicher sein, das der Virus weg ist oder sollte ich noch einige andere Prüfverfahren durchführen ?
Grüsse
Maze
-
Hallo,
Kann ich mir sicher sein, das der Virus weg ist oder sollte ich noch einige andere Prüfverfahren durchführen ?
Wichtiger fuer Deine weitere Freizeit duerfte sein, wo der Virus ueberhaupt her kam.
Gruss
Thomas-
Hello,
habe hier auf einem XP-System auch immer noch einen üblen Gesellen, und bekomme ihn nicht weg mit
- Spybot S&D
- HijackThis
- Norton Internet Security
- NOD32 (der detektiert zumindest die Aktion und stoppt sie)
Das Teil telefoniert immer mit 195.95.218.99 und mit 85.255.113.43 und versucht, von dort über http Trojaner nachzuladen. Die beiden IPs sollten also international schon mal auf die schwarze Liste.
Der Virus wird wohl im Sceduler des Datei-Explorers sitzen. Wie bekomme ich den nun weg?
Gibt hier natürlich keine XP-Pro CD als Vollversion, sondern nur so eine Recovery-CD, die aber nichts taugt für meine Zwecke...
Harzliche Grüße vom Berg
esst mehr http://www.harte-harzer.deTom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
Moin Tom,
habe hier auf einem XP-System auch immer noch einen üblen Gesellen,
immer noch? Ich hatte Deine Antwort irgendwie übersehen.
- Spybot S&D
- HijackThis
- Norton Internet Security
- NOD32 (der detektiert zumindest die Aktion und stoppt sie)
Dann schlage ich vor: Poste mal das Log von HiJackThis. Vielleicht kommen wir dem auf die Schliche.
Das Teil telefoniert immer mit 195.95.218.99 und mit 85.255.113.43 und versucht, von dort über http Trojaner nachzuladen. Die beiden IPs sollten also international schon mal auf die schwarze Liste.
Naja, das heißt, das System ist nicht mehr als vertrauenswürdig anzusehen. Und was heißt das normalerweise? Wenn das Teil auf dem System aktiv ist, weißt Du nie, was es wirklich angerichtet hat. Vielleicht läuft da ja auch schon eine SMTP-Engine?
Der Virus wird wohl im Sceduler des Datei-Explorers sitzen. Wie bekomme ich den nun weg?
Ja, poste mal das Log.
Viele Grüße
Jörg
-
Hello,
Der Virus wird wohl im Sceduler des Datei-Explorers sitzen. Wie bekomme ich den nun weg?
Ja, poste mal das Log.
welches Log?
*dumm aus der Wäsche guck*Harzliche Grüße vom Berg
esst mehr http://www.harte-harzer.deTom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
Hi,
welches Log?
*dumm aus der Wäsche guck*das von HiJackThis. Damit kannst Du ja scannen und ein Logfile erstellen.
Viele Grüße
Jörg
-
Hello Jörg,
welches Log?
*dumm aus der Wäsche guck*das von HiJackThis. Damit kannst Du ja scannen und ein Logfile erstellen.
Das war ein Trojaner, der sich selber mutiert bzw. den Namen wechselt:
yaemu.exe startet mit Systemstart und erzeugt eine Datei
hgqhp.exeDie beiden passen gegenseitig aufeinander auf.
Sie kommuniziren mit den IPs 195.95.218.99 und 85.255.113.43
Mit HiJackThis kann man sie ausschalten und dann nach dem Neustart löschen.
Das schlimme an den beiden Trojanern ist, dass sie eine Latte von anderen Trojaner versuchen nachzuladen und ich jetzt immer noch nicht sicher weiß, ob ich alle gekillt habe.Bleibt noch die Frage, wie die an NOD32 vorbei auf die Platte hüfen konnten. Muss also doch noch Hintertüren gegebn, die das Programm nicht bewacht.
Hier nochmal das Logfile von HiJackThis, ob ich noch einen übersehen habe:
Logfile of HijackThis v1.99.1
Scan saved at 10:02:28, on 12.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\nslsvice.exe
C:\WINDOWS\system32\nsl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\hpb2ksrv.exe
C:\WINDOWS\System32\hpbhksrv.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hpstatus.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\WINDOWS\System32\HPBSPSVR.EXE
C:\WINDOWS\System32\HPBJDSNT.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
\Server\alleuser\Download\Software\Schutzprogramme\hjt\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.1.1:3128/ken2000.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.1.1:3128;http=192.168.1.1:3128;https=192.168.1.1:3128;socks=192.168.1.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost; 192.168.1.8; contenido;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM..\Run: [HP Status] C:\WINDOWS\System32\hpstatus.exe
O4 - HKLM..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDFConverter 2.0 Professional\PDFConv\RegistryController.exe"
O4 - HKLM..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDFConverter 2.0 Professional\PDFConv\IEShellExt.dll /500
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://192.168.1.1:3128/ken2000.html
O17 - HKLM\System\CCS\Services\Tcpip..{24D3F420-8A5B-4850-97A7-E2E83876CB15}: NameServer = 69.50.161.131,85.255.112.10
O17 - HKLM\System\CCS\Services\Tcpip..{7091F130-4641-42DE-9AFE-9D5C7A95AE90}: NameServer = 69.50.161.131,85.255.112.10
O23 - Service: HP Status - Hewlett-Packard Company - C:\WINDOWS\System32\hpb2ksrv.exe
O23 - Service: HP Status Print - Hewlett-Packard Company - C:\WINDOWS\System32\hpbhksrv.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: Lotus Notes - Gemeinsame Anmeldung (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\System32\nslsvice.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exeHarzliche Grüße vom Berg
esst mehr http://www.harte-harzer.deTom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
Hi Tom,
Das war ein Trojaner, der sich selber mutiert bzw. den Namen wechselt:
yaemu.exe startet mit Systemstart und erzeugt eine Datei
hgqhp.exeJa, das ist typisch, deshalb kann es z. B. auch passieren, daß AV-Programme nur die Folgen erkennen, nicht aber die Ursachen.
Das schlimme an den beiden Trojanern ist, dass sie eine Latte von anderen Trojaner versuchen nachzuladen und ich jetzt immer noch nicht sicher weiß, ob ich alle gekillt habe.
Das ist ja das Schlimme.
Bleibt noch die Frage, wie die an NOD32 vorbei auf die Platte hüfen konnten. Muss also doch noch Hintertüren gegebn, die das Programm nicht bewacht.
Naja, das ist nicht so das große Problem, sowas läßt sich schon recht einfach in VB machen.
Leider bin ich gerade etwas in Hektik, momentan ruft ständig jemand an. ;-)
Deshalb mal nur zum ersten Teil:
Platform: Windows XP SP1 (WinNT 5.01.2600)
SP2 fehlt.
C:\WINDOWS\system32\csrss.exe
Diese Datei prüfen.
C:\WINDOWS\System32\hpbhksrv.exe
Diese Datei prüfen.
C:\Programme\Eset\nod32krn.exe
Diese Datei prüfen, muß nicht zu nod32 gehören.
Die Dateien kannst Du bei http://www.virustotal.com prüfen.
Ansonsten kannst Du ja auch mal auf http://www.netz-treff.de posten, da ist Markus, der kennt sich damit am besten aus.
Aber ich fürchte, wenn Du kein Image hast, kommst Du wohl um eine Neuinstallation nicht herum.
Viele Grüße
Jörg,
der jetzt erstmal wech ist ...
-
Hallo Tom!
Das war ein Trojaner, der sich selber mutiert bzw. den Namen wechselt:
yaemu.exe startet mit Systemstart und erzeugt eine Datei
hgqhp.exeDa mindestens ein Schädling aktiv war (welcher eigentlich genau, hast du einen Schädlingsnamen?), rate ich zu einer Neuinstallation des Systems (format c:).
Das schlimme an den beiden Trojanern ist, dass sie eine Latte von anderen Trojaner versuchen nachzuladen und ich jetzt immer noch nicht sicher weiß, ob ich alle gekillt habe.
Das kann man nach _keiner_ solchen Infektion sicher wissen. Siehe:
-> http://sicher-ins-netz.info/forum/forum_entry.php?id=562Bleibt noch die Frage, wie die an NOD32 vorbei auf die Platte hüfen konnten.
Weil _kein_ Virenscanner sicheren Schutz vor Schädlingen herbeiführen kann, die z.B. über ungepatchte Anwendungen (auch das Betriebssystem selbst) auf das System gelangen.
Muss also doch noch Hintertüren gegebn, die das Programm nicht bewacht.
Selbst wenn alles "bewacht" werden würde, bleibt immer noch das Problem, dass der Exploit oder die Schädlinge erkannt werden müssen. Obwohl NOD32 das heuristikstärkste, verfügbare Programm am Markt ist, unterliegt es doch den prinzipiellen Schwächen, denen ein jeder Virenscanner unterliegt:
-> http://oschad.de/wiki/index.php/Virenscanner
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Dem System fehlt das Service Pack 2 sowie diesem nachfolgende Patches. Mit anderen Worten: Es ist offen wie ein Scheunentor, zumal auch noch der IE zum Surfen verwendet wird, was das Ganze noch einmal verschärft:
C:\Programme\Internet Explorer\IEXPLORE.EXE
-
Hello,
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Dem System fehlt das Service Pack 2 sowie diesem nachfolgende Patches. Mit anderen Worten: Es ist offen wie ein Scheunentor, zumal auch noch der IE zum Surfen verwendet wird, was das Ganze noch einmal verschärft:
Danke für diese Einschätzung. Sage ich doch immer, Hört ja keiner auf mich.
Harzliche Grüße vom Berg
esst mehr http://www.harte-harzer.deTom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-
-
-
Hallo Tom,
Gibt hier natürlich keine XP-Pro CD als Vollversion, sondern nur so eine Recovery-CD, die aber nichts taugt für meine Zwecke...
Wieso sollte die nichts für Deine Zwecke taugen? Typischerweise lässt sich aus Recovery-CDs auch ein Installationsmedium für eine saubere Neuinstallation (inklusive integriertem SP2 u.ä.) nur mit den gewünschten Komponenten erstellen.
Das kann durchaus mit etwas Arbeit verbunden sein. Das lohnt sich im Falle eines Rechners mit zentraler Funktionalität durchaus. Stell Dir vor, Du hättest so ein Medium...
Freundliche Grüße
Vinzenz
-