Hab ich ein Wurm?

Hallo,
als ich gestern Abend in einem Forum gesehen hatte, dass eine andere IP sich mit meinem Accaunt eingeloggt hat, wurde ich aufmerksam. (nicht in diesem Forum)

Ich habe mit HijackThis gescannt und ein nicht erfreuliches Ergebnis erhalten:
http://www.pic-share.eu/image/20071006/14eb94e504.png

Daraufhin habe ich den Virenscanner sofort deinstalliert(ohne Internetverbindung) die Cache geleert und im Abgesicherten modus mit meinem Spywarescanner gescannt. Er hatte jedoch leider keinen virus gefunden. Ich habe meinen PC neugestartet meinen AV neuinstalliert und um zu gucken wie es jetzt aussieht einen erneuten HijackThis Scan gemacht.

Ergebnis:
http://www.pic-share.eu/image/20071006/f51a787596.png

• Evil Player ist mein Musikplayer… nunja dann habe ich trotzdem ihn bei Virustotal getestet und was kam raus? ->
  http://www.virustotal.com/de/resultado.html?6235c7fd…

Bei der anderen Meldung, dass ich shed mal prüfen soll, kam jedoch kein einziger Fund.

Wie soll ich weitermachen?

• will nicht formatieren bzw kann man klar sagen das ich infiziert bin?
  Danke

Moin, Thunderfox,

kann man klar sagen das ich infiziert bin?

genau das geht eben nicht. Entweder weißt Du, das dein System wasserdicht abgeschottet ist, sodass sich nichts eingenistet haben kann, oder Du weißt es nicht. In dem Fall kann das System kompromittiert sein.

will nicht formatieren

Wer will das schon. Angesichts der Aussage

als ich gestern Abend in einem Forum gesehen hatte, dass eine
andere IP sich mit meinem Accaunt eingeloggt hat

wird Dir wohl nichts anderes bleiben.

Nebenbei gefragt: Wie siehst Du, dass eine andere IP mit Deinem Account eingeloggt ist?

Gruß Ralf

Hallo,
komisch ist nur das manche .exe Datein erkannt werden. Normal wenn der Virus alle .exe Datein infizieren würde, wären alle betroffen, aber ich habe jetzt mal einfach .exe Datein von Programmen bei virustotal getestet und da sind gar nicht alle infiziert… hmm das ist doch zum verrückt werden…Ich stelle mir die Frage, ob es Falschausgaben sind oder welche, die den Virus betreffen.

FLV Player:
http://www.virustotal.com/de/resultado.html?1ca7fec3…
Auslogics diskdefrag:
http://www.virustotal.com/de/resultado.html?832b4838…
Ccleaner:
http://www.virustotal.com/de/resultado.html?d48f2243…
Firefox:
http://www.virustotal.com/de/resultado.html?b9c56eda…
und jetzt habe ich meinen Evil Player neuinstalliert und nochmals gescannt: (wieder das selbe Ergebnis )
EvilPlayer:
http://www.virustotal.com/de/resultado.html?a5e2a359…

Ps. Wenn einer ganz nett wäre würde ich mich freuen, wenn er bei sich mal EvilPlayer installiert und auch mal bei virustotal prüfen könnte. Dann wüsste ich ob es ein Fehlalarm ist oder ob es was mit meinen (wahrscheinlich vorhandenen) Wurm zu tun hat.
http://www.chip.de/downloads/c1_downloads_19285406.html

Nebenbei gefragt: Wie siehst Du, dass eine andere IP mit
Deinem Account eingeloggt ist?

Das geht mit CTracker. Ps. es kann aber auch sein, dass der nur noch einmal die Meldung von gestern mir gezeigt hat, weil da war ich einmal mit dem Proxy drin. Hmm wieder seh ich nur ???..

Danke

als ich gestern Abend in einem Forum gesehen hatte, dass eine
andere IP sich mit meinem Accaunt eingeloggt hat, wurde ich
aufmerksam. (nicht in diesem Forum)

Woraus schließt du das? Und woher weißt du, dass diese IP nicht deine eigene war?

Ich habe mit HijackThis gescannt und ein nicht erfreuliches
Ergebnis erhalten:
http://www.pic-share.eu/image/20071006/14eb94e504.png

Woher weißt du, ob diese Datei überhaupt diesen Wurm enthalten hat? Hast du Avira AntiVir installiert gehabt in diesem Verzeichnis? Wenn ja, wieso sollte da ein Wurm drin sein?
Soweit ich das http://www.sophos.de/security/analyses/w32netskyg.html hier ansehe, sollte - falls der Registry-Eintrag von dem Wurm erzeugt wird, der Pfad eher auf eine avguard.exe im Windows-Verzeichnis zeigen.

Daraufhin habe ich den Virenscanner sofort deinstalliert(ohne
Internetverbindung) die Cache geleert und im Abgesicherten
modus mit meinem Spywarescanner gescannt. Er hatte jedoch
leider keinen virus gefunden.

Vielleicht hättest du erstmal von einer Boot-CD starten sollen und die betroffene Datei zu einem Online-Virenscanner alá http://virusscan.jotti.org/de/ hochladen sollen. Dann hättest du überhaupt erstmal gewußt, ob diese Meldung von wegen NetSky-Wurm nicht einfach nur Blödsinn war.

Wie soll ich weitermachen?

• will nicht formatieren bzw kann man klar sagen das ich
  infiziert bin?

Tja, du hast dich in die unglückliche Situation manövriert, dass du wohl selbst gar nicht weiß, ob dein Rechner kompromittiert wurde oder nicht.
Wenn du den Wurm wirklich drauf hattest oder noch hast, dann hilft nur eine Neuinstallation.

Woraus schließt du das? Und woher weißt du, dass diese IP
nicht deine eigene war?

Ein Angreifer würde niemals sich mit seiner wahren IP einloggen und im Log stand diese IP 166.111.138.xx. Meine sieht standartmäßig so aus: 84.139.4.xx. Jedoch habe ich gerade im Protokoll gelesen, das es schon am 4.10 war und an dem besagten Tag war ich gerade mit dem Proxy am surfen un wollte testen, ob diese Loginsicherheit im Forum wirklich funktioniert. Also ist die Ip mit hoher Sicherheit von meinem Tor Proxy.

Woher weißt du, ob diese Datei überhaupt diesen Wurm enthalten
hat?

Hmm das weiß ich nicht aber ich war so eingeschüchtert von der Meldung, und dann stand da unbedingt fixen. Als ich das erledigt hatte, hab ich mich auch gefragt, ob es nicht besser gewesen wäre die Datei erstmal in die Quarantäne zu verschieben und einmal ausgibig zu untersuchen. Nur ich dachte diese Würmer zerschießen ja den Virenschutz und ich hatte Angst, dass der Angreifer (falls er da wäre) noch mehr Blödsinn anstellte…

Hast du Avira AntiVir installiert gehabt in diesem
Verzeichnis?

Ja das hatte ich…

Wenn ja, wieso sollte da ein Wurm drin sein?
Soweit ich das
http://www.sophos.de/security/analyses/w32netskyg.html hier
ansehe, sollte - falls der Registry-Eintrag von dem Wurm
erzeugt wird, der Pfad eher auf eine avguard.exe im
Windows-Verzeichnis zeigen.

Im Windows verzeichnis finde ich keine avguard.exe.

Vielleicht hättest du erstmal von einer Boot-CD starten sollen
und die betroffene Datei zu einem Online-Virenscanner alá
http://virusscan.jotti.org/de/ hochladen sollen. Dann hättest
du überhaupt erstmal gewußt, ob diese Meldung von wegen
NetSky-Wurm nicht einfach nur Blödsinn war.

Ja das wäre wohl besser gewesen

Tja, du hast dich in die unglückliche Situation manövriert,
dass du wohl selbst gar nicht weiß, ob dein Rechner
kompromittiert wurde oder nicht.

Ja das merke ich immer mehr…

Wenn du den Wurm wirklich drauf hattest oder noch hast, dann
hilft nur eine Neuinstallation.

Hmm das ist echt eine Zwickfalle…aber jetzt wo ich nochmal einen HijackThis Log gemacht habe, finde ich den Beitrag nicht mehr in der Registry, und wenn es Blödsinn war müsste doch jetzt, wo der Virenschutz genau wie vorher wieder da steht doch normal der selbe Schertzbeitrag kommen… dabei finde ich diesmal unter der besagten Registrystelle nur folgendes:

O4 - HKLM…\Run: [avgnt] „C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe“ /min

Und nich avguard.exe wie auf dem Screen…

Danke

FLV Player:
http://www.virustotal.com/de/resultado.html?1ca7fec3…
Auslogics diskdefrag:
http://www.virustotal.com/de/resultado.html?832b4838…
Ccleaner:
http://www.virustotal.com/de/resultado.html?d48f2243…
Firefox:
http://www.virustotal.com/de/resultado.html?b9c56eda…
und jetzt habe ich meinen Evil Player neuinstalliert und
nochmals gescannt: (wieder das selbe Ergebnis )
EvilPlayer:
http://www.virustotal.com/de/resultado.html?a5e2a359…

Was sollen wir mit diesen Links anfagen? Die verweisen alle auf längst verfallene Session-IDs, die eh nur für deinen Rechner gültig waren. Um die Ergebnisse eines Scans von Virustotal zu zeigen, musst du auch da Screenshots machen.

Im übrigen - auch wenn ich sonst nicht der Auffassung bin, die Computerei sei nur etwas für die ganz harten Jungs - wer sich von der Meldung igendeines Programmes ‚einschüchtern‘ lässt, sollte dringend sein Nervenkostüm überprüfen lassen. Ich habe in deinen Beitrage kein brauchbares Indiz dafür gefunden, dass mit deinem Rechner irgendwas nicht in Ordnung sei.

Gruss
Schorsch

Danke:Close

Was sollen wir mit diesen Links anfagen? Die verweisen alle
auf längst verfallene Session-IDs, die eh nur für deinen
Rechner gültig waren. Um die Ergebnisse eines Scans von
Virustotal zu zeigen, musst du auch da Screenshots machen.

Oh sry das wusste ich nicht… ich dachte so kann man das machen…

Im übrigen - auch wenn ich sonst nicht der Auffassung bin, die
Computerei sei nur etwas für die ganz harten Jungs - wer sich
von der Meldung igendeines Programmes ‚einschüchtern‘ lässt,
sollte dringend sein Nervenkostüm überprüfen lassen. Ich habe
in deinen Beitrage kein brauchbares Indiz dafür gefunden, dass
mit deinem Rechner irgendwas nicht in Ordnung sei.

Naja wenn du auf deinem Computer wichtige Datein hast und man bedenkt, dass ein Idiot an nem anderen PC die jetzt alle löschen könnte, wer wird dann nicht nervös? Ich glaube dabei kann keiner still zugucken.
Und man kann nunmal nicht alle 5 Minuten BackUps machen.
Naja ich werde dann jetzt erstmal den PC so lassen, sollte mir noch eine ernste Sache auffallen werde ich ihn sofort platt machen.

Danke an euch alle

Hallo Fragewurm,

Nebenbei gefragt: Wie siehst Du, dass eine andere IP mit
Deinem Account eingeloggt ist?

Das geht mit CTracker. Ps. es kann aber auch sein, dass der
nur noch einmal die Meldung von gestern mir gezeigt hat, weil
da war ich einmal mit dem Proxy drin. Hmm wieder seh ich nur
???..

LOL
Der Proxy wird ja zwischen dich und den Host geschaltet, also sieht der Host nicht deinen PC sondern den Proxy !!
Die fremde IP ist diejenige des Proxy.

Ich schätze das war Trick 17 mit Selbstüberlistung, was du da gemacht hast.

MfG Peter(TOO)

Der Proxy wird ja zwischen dich und den Host geschaltet, also
sieht der Host nicht deinen PC sondern den Proxy !!

Das weiß ich doch, dass mein ich ja auch, weswegen es nicht wikrlich auf etwas hinweist.

Die fremde IP ist diejenige des Proxy.

Ist mir auch klar.

Ich schätze das war Trick 17 mit Selbstüberlistung, was du da
gemacht hast.

??? o_O

O4 - HKLM…\Run: [avgnt] „C:\Programme\Avira\AntiVir
PersonalEdition Classic\avgnt.exe“ /min
Und nich avguard.exe wie auf dem Screen…

Nunja, die Datei avguard.exe gibt es ja bei Avira trotzdem. Könnte ja sein, dass in der Version, in der du es zuerst installiert hast, der Registry-Eintrag auf avguard.exe verwies und in der neuen Version verweist er auf angnt.exe.
Ob dem so ist, wirst du wohl nur beim Hersteller der Software, also bei Avira direkt erfahren. Wenn die das bestätigen können, würde ich mal davon ausgehen, dass alles nur ein Fehlalarm war (woran man mal wieder sieht, was man von so manchen „Security-Tools“ wie HijackThis halten kann…)
Wenn Avira das aber nicht bestätigt, sprich: Es gab nie bei Avira so einen Registry-Eintrag, dann kannst du wohl von einer Infektion ausgehen, was dann Neuinstallation des Betriebssystems bedeuten würde.

Was sollen wir mit diesen Links anfagen? Die verweisen alle
auf längst verfallene Session-IDs, die eh nur für deinen
Rechner gültig waren.

Nur für seinen Rechner waren sie nicht gültig. Man konnte sie zumindest für eine bestimmte Zeit nachdem er die Antwort geschrieben hat, lesen. Hilft natürlich jemanden, der den Link jetzt anschauen will, trotzdem wenig

Danke für den Tipp.
Meinste ich soll Avira mal anschreiben? Und denen den Ausschnitt von dem Screen schicken?

Danke für den Tipp.
Meinste ich soll Avira mal anschreiben? Und denen den
Ausschnitt von dem Screen schicken?

Du könntest sie zumindest mal fragen, ob dieser Registry-Eintrag von
Avira AntiVir (z.B. von einer früheren Version) stammen könnte oder ob
so ein Eintrag von ihnen noch nie benutzt wurde.
Ist ersteres der Fall, dann würde ich sagen, dass alles ein Fehlalarm
ist. Bei zweiterem könnte man schon von einer Infektion ausgehen.

Im Avira Forum bekam ich bisher folgende Antwort:

Hi,

der Start des Antivir-Guards avguard.exe steht bei den O23-Einträgen. :Bei O4 sollte folgender Eintrag für das Kontrollprogramm avgnt.exe :stehen, der fette Teil kann fehlen, wenn noch eine alte Installation :von vor dem letzten großen Update vorliegt:

O4 - HKLM…\Run: [avgnt] „C:\Programme\Avira\AntiVir PersonalEdition :Classic\avgnt.exe“ /min

Du solltest mal das Log komplett hier posten. Wenn Du Glück hast, ist :es nur eine kaputtgebastelte Antivir-Installation.

Ne mein PC hatte von Anfang an aber die 7er Version… o.O
Und auf mein Posting vom Logifile, kam noch keine Antwort.
Kann es ja auch mal hier posten falls Intresse besteht.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:15:43, on 07.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\PC-Zeit\trap.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\ThunderfoX\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM…\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [pczeit] „C:\Programme\PC-Zeit\trap.exe“
O4 - HKLM…\Run: [avgnt] „C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe“ /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra ‚Tools‘ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra ‚Tools‘ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‚Tools‘ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra ‚Tools‘ menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/osca…
O17 - HKLM\System\CCS\Services\Tcpip…{64C2E882-1D23-4DB0-B42E-5DFA101CF43E}: NameServer = 192.168.178.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

–
End of file - 5084 bytes