Virus

Pixel · 8. Dezember 2009, 14:06

Seit gestern spuckt Antivir Meldungen über zwei .vbs-Dateien aus, die "erkennungsmuster des html-scriptvirus" enthalten.

Logfile sagt folgendes:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:09, on 08.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\Trust\270KDS~1\Keyboard\Ikeymain.exe
C:\Programme\SysMetrix\SysMetrix.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Qlikworld\RSSReader\RSSReader.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Rockstar Games\Rockstar Games Social Club\1_1_3_0\RGSC.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ask.com/?o=13166&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by OPA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrustKeybd] C:\PROGRA~1\Trust\270KDS~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysMetrix] C:\Programme\SysMetrix\SysMetrix.exe
O4 - HKLM\..\Run: [OPA] C:\WINDOWS\SYSTEM32\OPA.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RssReader] "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Qlikworld\RSSReader\RSSReader.exe" /Autostart
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [RGSC] C:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Programme\QIP\qip.exe (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe

--
End of file - 9969 bytes

what to do?

Arilac · 8. Dezember 2009, 16:28

Installiere dir erstmal den Secunia Software Inspector. Deine Software ist höllisch veraltet,. (Open Office, Java, Adobe Reader...)
secunia.com/vulnerability_scanning/personal/

Weißt du wo sich die Daten befinden die Avira ankreidet?

Pixel · 8. Dezember 2009, 17:16

ich weiß dass die ganzen sachen veraltet sind^^

die beiden .vbs dateien befinden sich direkt auf C

edit: weiteres problem: wenn ich auf die externe zugreifen will erscheint ebenfalls die meldung dass opa.vbs bei antivir gefunden wurde und wenn ich irgendetwas anderes als ignoriere kann ich auch nicht auf die externe zugreifen. dabei liegt dann opa.vbs übr. auf G, also auf meiner externern.

Arilac · 8. Dezember 2009, 19:26

Original von Pixel
ich weiß dass die ganzen sachen veraltet sind^^

Dann könnte man sich ja 5 Minuten die Zeit nehmen ein Update zu machen. Java und Adobe Reader sind im ungepatchten Zustand eine einige Sicherheitslücke.

Original von Pixel
edit: weiteres problem: wenn ich auf die externe zugreifen will erscheint ebenfalls die meldung dass opa.vbs bei antivir gefunden wurde und wenn ich irgendetwas anderes als ignoriere kann ich auch nicht auf die externe zugreifen. dabei liegt dann opa.vbs übr. auf G, also auf meiner externern.

Kannst du vielleicht eine der Dateien auf: virustotal.com/ hochladen und sich analysieren lassen. Somit kann man ein Fehlalarm seitens Avira ausschließen.

Pixel · 8. Dezember 2009, 19:59

File OPA.vbs received on 2009.12.08 18:58:05 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 33/41 (80.49%)

Arilac · 8. Dezember 2009, 20:12

Die ganze Liste wäre auch hilfreich gewesen, denn ein Malwaretyp hat oftmals verschiedene Namen die dann etwas bekannter sind als HTML Script Virus.

Probiere die Dateien mal wie hier beschrieben mit Killbox zu löschen.
virus-protect.org/killbox.html

Pixel · 8. Dezember 2009, 20:14

Antivirus Version Last Update Result
a-squared 4.5.0.43 2009.12.08 Virus.VBS.AutoRun.c!IK
AhnLab-V3 5.0.0.2 2009.12.08 VBS/Solow
AntiVir 7.9.1.102 2009.12.08 HTML/Silly.Gen
Antiy-AVL 2.0.3.7 2009.12.08 -
Authentium 5.2.0.5 2009.12.02 VBS/Solow.A
Avast 4.8.1351.0 2009.12.08 VBS:Solow-L
AVG 8.5.0.426 2009.12.08 VBS/Small
BitDefender 7.2 2009.12.08 Generic.ScriptWorm.A865BD27
CAT-QuickHeal 10.00 2009.12.08 VBS/IETitle
ClamAV 0.94.1 2009.12.08 Worm.VBS.AutoRun-28-unic
Comodo 3103 2009.12.01 -
DrWeb 5.0.0.12182 2009.12.08 VBS.Generic.582
eSafe 7.0.17.0 2009.12.08 -
eTrust-Vet 35.1.7164 2009.12.08 VBS/Slogod
F-Prot 4.5.1.85 2009.12.08 VBS/Solow.A
F-Secure 9.0.15370.0 2009.12.07 Generic.ScriptWorm.A865BD27
Fortinet 4.0.14.0 2009.12.08 -
GData 19 2009.12.08 Generic.ScriptWorm.A865BD27
Ikarus T3.1.1.74.0 2009.12.08 Virus.VBS.AutoRun.c
Jiangmin 13.0.900 2009.12.02 I-Worm/LoveLetter.by
K7AntiVirus 7.10.915 2009.12.08 -
Kaspersky 7.0.0.125 2009.12.08 Virus.VBS.AutoRun.c
McAfee 5826 2009.12.08 VBS/Generic
McAfee+Artemis 5826 2009.12.08 VBS/Generic
McAfee-GW-Edition 6.8.5 2009.12.08 Script.Silly.Gen
Microsoft 1.5302 2009.12.08 Worm:VBS/Slogod.F
NOD32 4671 2009.12.08 VBS/Butsur.E
Norman 6.03.02 2009.12.08 VBS/Solow.I
nProtect 2009.1.8.0 2009.12.08 Script-VBS/W32.Runauto.E
Panda 10.0.2.2 2009.12.08 -
PCTools 7.0.3.5 2009.12.08 VBS.Niric.B
Prevx 3.0 2009.12.08 -
Rising 22.25.01.09 2009.12.08 Worm.VBS.Sowel.a
Sophos 4.48.0 2009.12.08 VBS/Solow-Gen
Sunbelt 3.2.1858.2 2009.12.08 Trojan.VBS.Autorun.a (v)
Symantec 1.4.4.12 2009.12.08 VBS.Runauto
TheHacker 6.5.0.2.088 2009.12.07 -
TrendMicro 9.100.0.1001 2009.12.08 VBS_SOLOW.AK
VBA32 3.12.12.0 2009.12.08 Worm.VBS.Solow.gen
ViRobot 2009.12.8.2076 2009.12.08 VBS.Autorun.4228.B
VirusBuster 5.0.21.0 2009.12.08 VBS.Niric.B
Additional information
File size: 4188 bytes
MD5...: 6bf0ee5dce4bbb16028ed4bd692d43c7
SHA1..: e4d696a575aac907b425638c348c8bddd2e8f3ce
SHA256: 2a91d7821d51b12c86614021e6695e12dedc9f006d5458a184d30cf968425d6e
ssdeep: 48:H3Di2qhvXLviovTMsV2MUEu2TjaaIVhGUXDXsPqLle7QJvIGusqWk+uvv7:He
ou02TeResvIpb+q
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
packers (F-Prot): Unicode
packers (Authentium): Unicode
pdfid.: -
trid..: Text - UTF-16 (LE) encoded (64.4%)
MP3 audio (32.2%)
Lumena CEL bitmap (2.0%)
Corel Photo Paint (1.3%)

Killbox hab ich schon versucht, aber schon während der countdown zum rebooten runterläuft kommt die nächste antivir-meldung über die datei rein^^ bringts da noch was den pc neuzustarten?

Arilac · 8. Dezember 2009, 22:16

Wie es mir scheint ist er mehr lästig als gefährlich. Ist ein Visual Basic Wurm, welcher sich über Wechseldatenträger verbreitet. Er infiziert also alle Datenträger die an dein System angeschlossen werden und infiziert somit wieder andere Rechner. Um der Bedrohung Herr zu werden müssen sowohl alle USB Sticks gereinigt werden als auch der Rechner gereinigt werden.Ich gehe nicht davon aus, dass du eiin Linux System hast oder irgendein Live System mit welchem man mal die Laufwerke als erstes reinigen könnte?

Pixel · 8. Dezember 2009, 22:36

nicht dass ich wüsste^^

Arilac · 9. Dezember 2009, 09:49

Wäre es ein Problem für dich, wenn ich dir per Fernwartung helfe? Teamviewer bietet sich dafür an. So könnte ich eventuell helfen, denn mit Beschreibung allein wird es zu lange dauern.
chip.de/downloads/TeamViewer-Portable_30215209.html

Wärst somit schon der 3te dem ich so helfen würde. Habe aber erst morgen dafür Zeit wenn das OK ist.

Pixel · 9. Dezember 2009, 15:05

jo klar wär ich dabei.

vom pc ist es anscheinend runter (dank killbox), zumindest zeigt antivir nix mehr ein
nur wenn ich jetzt auf die externe zugreifen will kommt "die scriptdatei opa.vbs wurde nicht gefunden"...

Arilac · 9. Dezember 2009, 17:14

Man muss sowieso sämtliche Autoruns.inf von den Wechseldatenträger entfernen sonst wird der Pc jedes Mal wieder neu infiziert wenn du Pech hast. Die Daten auf den Laufwerken sind zudem meist versteckt.

Arilac · 10. Dezember 2009, 21:01

Es würde mich zwar wundern, aber schließe mal alle Laufwerke und Wechselmedien an den Pc und überprüfe die hiermit:
winplanet.com/file/11428.htm

Eine Engine erkennt ihn als den bekannte I Love you Wurm von 2000 oder eine Untervariante.

Virus

Virus

RE: Virus

RE: Virus

RE: Virus

Teilen

Benutzer online 1