Hammer Virus ?!?

Ralf_a1ade7 · 31. August 2007 um 21:23

Jetzt hat es mich auch mal erwischt.
Nach ausführen eines vermeintlichen Tools, wurde mein Antivir (Avira) gelöscht, Spybot - Search and Destroy und meine Firewall abgeschaltet. Neuinstallation dieser Programme geht nicht, wird sofort wieder gelöscht. Die Firewall konnte ich wieder einschalten.
Eine Systemwiederherstellung zu einem früheren Zeitpunkt wird mit Fehler abgebrochen. Ein Start im abgesicherten Modus hat einen Reboot zur Folge.

Mache gerade einen MCAfee online Virus Scan ob der was findet, damit ich überhaupt einmal weiss mit was ich es zu tun habe.

Hat mir mal jemand einen Tipp (ausser gleich alles neu zu installieren) ?

Ralf

Ralf_a1ade7 · 31. August 2007 um 21:39

Hier habe ich noch den Log von HijackThis

C:\Programme\No-IP\DUC20.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programme\Internet Download Manager\IDMIECC.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
O3 - Toolbar: pcwPrivilegien - {1D7A52EE-FBCB-4F46-AD2A-9C0ABAA20BC0} - C:\PROGRA~1\pcwRunAs\PCWPRI~1.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM…\Run: [TkBellExe] „C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe“ -osboot
O4 - HKLM…\Run: [iRemotePC] „C:\Programme\iRemotePC\iRemotePC.exe“ servicehelper
O4 - HKLM…\Run: [avgnt] „C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe“ /min
O4 - HKLM…\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [TrueCrypt] „C:\Programme\TrueCrypt\TrueCrypt.exe“ /q preferences
O4 - HKCU…\Run: [eyeBeam SIP Client] „C:\Programme\CounterPath\eyeBeam 1.5\eyeBeam.exe“
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU…\Run: [Free Download Manager] „C:\Programme\Free Download Manager\fdm.exe“ -autorun
O4 - HKCU…\Run: [MsnMsgr] „C:\Programme\MSN Messenger\MsnMsgr.Exe“ /background
O4 - HKCU…\Run: [C:\Programme\NetMeter\NetMeter.exe] C:\Programme\NetMeter\NetMeter.exe
O4 - Startup: PowerMenu.lnk = C:\Programme\PowerMenu\PowerMenu.exe
O4 - User Startup: PowerMenu.lnk = C:\Programme\PowerMenu\PowerMenu.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: iOpus iMacros - {0483894E-2422-45E0-8384-021AFF1AF3CD} - C:\Programme\iMacros\imacros.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra ‚Tools‘ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ‚Tools‘ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsC…
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,…
O17 - HKLM\System\CCS\Services\Tcpip…{66918711-BA25-498B-AD9D-5B904C0190C8}: NameServer = 200.165.132.147 200.165.132.155
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Apache2.2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\filezillaftp\filezillaserver.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: iRemotePC Server (iRemotePC) - Unknown owner - C:\Programme\iRemotePC\iRemotePC.exe" service (file missing)
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Programme\No-IP\DUC20.exe
O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINDOWS\PSEXESVC.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

muzel_c91186 · 31. August 2007 um 23:42

Hallo Ralf,

Hat mir mal jemand einen Tipp (ausser gleich alles neu zu
installieren) ?

Wasch mir den Pelz, aber mach mich nicht naß? Vergiß es, die einzige Lösung hast du schon genannt. Zeigt nebenbei, was die üblichen „Firewalls“ und Virenscannner taugen.

Gruß, muzel

old_Max · 1. September 2007 um 12:21

Hmm… man könnte meinen, da hat jemand anderes deinen Rechner übernommen …
hast du irgendeine Software laufen, die das Vorhandensein von „Pc-Fernbedienungen“ nötig macht? Hast du dir mal die Auswertung von Hijackthis angesehen? Hast du versucht die „schlimmen“ Prozesse damit zu entfernen? Mal nach http://www.google.de/search?q=PSEXESVC.EXE&hl=de&sta… gegoogelt?
Wenn du gar keine Ahnung von PCs hast, kann ich mich nur meinen Vorrednern anschliessen und eine komplette Neuinstallation nach dem Formatieren der Festplatte empfehlen.

Gruss
Max

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

big_surfer · 2. September 2007 um 10:10

Hallo Ralf,

zwar kann man bei Schädlingsbefall mit speziellen Tools diese im System identifizieren und beseitigen, aber es bleibt immer die Unsicherheit, ob man auch alle Eindringlinge gefunden hat oder ob der Schädling nicht noch an anderer Stelle im System Veränderungen vorgenommen hat (Eier gelegt hat), die erst später ihre Wirkung entfalten.

Es ist deshalb eine gute Idee das Betriebssystem komplett neu und sicher aufzusetzen. Wenn man diese Aktion mit einem guten Image-Backup absichert erspart man sich später auch sehr viel Zeit, da man jederzeit auf einen definierten Zustand aufsetzen kann.

Damit man sich beim Neuaufsetzen nicht gleich wieder neue Schädlinge einfängt (die durchschnittliche Infektionszeit eines ungeschützen Systems, das ans Internet angeschlossen wird beträgt heutzutage weniger als 15 Minuten) sollte man folgendermaßen vorgehen:

System vom Netz trennen
Systeminstallation von der Original Betriebssystem CD starten
Dateisystem NTFS auswählen
in den Netzwerkeinstellungen „Client für MS Netzwerke“ und „Datei und Druckerfreigabe für MS Netzwerke“ deaktivieren
Service Pack 2 installieren
alle aktuellen Sicherheitspatches installieren
ein eingeschränktes Benutzerkonto einrichten
Windows Firewall aktivieren
Image Software installieren und ein erstes Backup erstellen
erst jetzt online gehen
Windows Update starten
Antivirenprogramm installieren
Nicht benötigte Dienste schließen ->NTSVCFG
Browsersicherheitseinstellungen vornehmen, am besten Firefox verwenden
Mailprogramm sicher konfigurieren, am besten Thunderbird verwenden
die zehn goldenen Regeln für sicheres Surfen im Internet befolgen

Für diese sichere Art des Neuaufsetzens von Windows sind einige Dateien und Programme notwendig, die man sich unbedingt vorher besorgen sollte. Eine detaillierte Beschreibung der Vorgehensweise habe ich unter http://www.comsafe.de/neuinstallation.html zusammengefasst.