Forum
Tipps
News
Menu-Icon

PC mit Email-Worm befallen

Hallo, mein Virenprogramm (G Data Internet Security) zeigt seit ein paar Tagen sehr viele Warnmeldungen an, dass bestimmte Programme mit verschiedenen Variationen dieses email Worms befallen sind. Momentan ist der häufigste Wurm dieser hier: : Email-Worm.Win32.Warezov.la
am anfang waren es noch nur unwichtige Programme mittlerweile sind aber glaube ich auch systemnotwendige Programme betroffen.
hier mal das logfile von hijackhits:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:45:45, on 21.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Fingerprint Sensor\ATSwpNav.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\de\DevDetect.exe
C:\Programme\Santa Cruz Networks\Festoon\Festoon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\Maxi.SN112638230312\Desktop\HiJackThis_v2.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu29\toolbaru.dll
O2 - BHO: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu29\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu29\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NECHotkey] mHotkey.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "c:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [Festoon] C:\Programme\Santa Cruz Networks\Festoon\Festoon.exe /BOOT
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: Festoon - (no CLSID) - (no file)
O20 - AppInit_DLLs: e1.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9047 bytes
wäre echt gut, wenn ihr mir da helfen könntet. 



Antworten zu PC mit Email-Worm befallen:

 

Zitat
O20 - AppInit_DLLs: e1.dll
Das gehört schon mal zu dem Bösewicht

Was man Dir jetzt raten sollte, ist aufgrund Deiner o.g. Angaben nicht gerade einfach.

Du sagst, dass Du mehrere Meldungen mit verschiedenen Varianten dieses Wurms bekommen hast.

Verschieden Varianten dieser Malware haben Backdoor-Funktionalität. Das heißt, Du solltest Dein System neu aufsetzen.

Zu dem Thema Backdoor:
Zitat
Original von SETI@home:

Zum Thema Backdoors/Botwürmer

Ein Bot-Wurm enthält Backdoortrojaner-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer ermöglicht.

Eine Backdoor ist ein Programm, mit dem ein Angreifer die vollständige Kontrolle über ein fremdes Betriebs-System übernehmen kann. Daher ist ein Betriebs-System, bei dem eine Backdoor entdeckt worden ist, als kompromittiert anzusehen.

In so einem Fall hilft nur noch ein Neuaufsetzen des Betriebs-Systems und ein Überdenken des bisherigen Sicherheitskonzepts! Zusätzlich sollten alle jemals auf dem System verwendeten bzw. gespeicherten Passwörter als nicht mehr vertrauenswürdig angesehen und daher geändert werden!

Evtl. kann man die Backdoor selbst ja noch relativ einfach entfernen. Die Löcher, welche die Backdoor ins System gerissen hat, sind aber nahezu unmöglich aufzuspüren und damit leider auch nicht zu entfernen!
Über diese Löcher kann dann jederzeit Dein System erneut infiziert werden, die Kontrolle über Dein System erneut übernommen werden und das System kann so weiterhin für illegale Ativitäten genutzt werden, für die Du am Ende sogar noch zu Verantwortung gezogen werden kannst!

Aufgrund der wahrscheinlich vorgenommen Manipulationen steht der Aufwand eines Versuchs der vollständigen Beseitigung der ins System gerissenen Löcher in keinem Verhältnis zum Ergebnis, welches noch dazu immer mit der Unsicherheit, doch nicht alle Löcher geschlossen zu haben, behaftet bleiben wird; und es steht auch in keinem Verhältnis zum Aufwand, der beim Neuaufsetzen des Systems entstehen würde. Das Betriebssystem neuaufzusetzen, ist in so einer Situation auf jeden Fall deutlich schneller, eindeutig weniger aufwendig und wesentlich sicherer als ein Versuch der Bereinigung aller ins System gerissenen Löcher.

Natürlich können wir in vielen Schritten versuchen, allen Infektionen auf den Grund zu gehen. Jedoch steht es meiner Meinung nach nicht im Verhältnis zu dem evtl. zu erwartenden Ergebnis. Aus diesem Grund rate ich Dir zu einem Neuaufsetzen des Systems...

MfG

MaxiH

Fixe aus dem HijackThis Lode diesen Eintrag, er gehört zu Malware Warezov:
O20 - AppInit_DLLs: e1.dll

Weiter lösche per Hand diese Dateien aus dem Windows System Verzeichnis, sofern vorhanden:
%System%\dxtmmnmd.exe
%System%\dxtmmnmd.dll
system32\mprwanp.dll
system32\idqdfrg.dll

Danach boote den PC im abgesicherten Modus von Windows und führe einen vollständigen Scan mit G Data aus.
Poste den Bericht hier!

O20 - AppInit_DLLs: e1.dll habe ich gelöscht
Die angegeben Dateien waren alle nicht vorhanden im System Verzeichnis. Virencheck läuft gerade, werde dann das Ergebnis posten sobald es fertig ist. Vielen Dank auf jeden Fall schon mal für die Hilfe. Ist das eigentlich ein schlimmer Virus oder ein vergleichsweise harmloser ?
 

Jede Malware auf dem PC ist eine zuviel!

Hier eine Beschreibung zu Win32.Warezov.la:
http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=%Warezov%&submit=suche&show=Email-Worm.Win32.Warezov.la

Eine Backdoor Funktion hat dieser schon Mal nicht,
nur kann er weitere Dateien, meist Trojaner, nachladen.
Deshalb ist wohl dein PC mehrfach infiziert,
obgleich AVK dies verhindern müsste.
Ist deine AVK Lizenz noch gültig? 

ja die AVK Lizenz ist schon noch gültig. 

HijackThis incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html
Log oder Zusammenfassung  ggf hier posten.

-------------------------------------------------------------------------------------------------------------

 Unbedingt :
Im abgesicherten Modus !
unter SYSTEM die Systemwiederherstellumg AUS , (vorsicht, alle Punkte sind dann weg)
Virenscan machen  & ggf Adwarscan mit Spybot S&D oder Adware-SE
Systemwiederherst. wenn OK = wieder AN
Normalstart

-------------------------------------------------------------------------------------------------------------

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP
des schwarzen Schirms mit dem Blinkstrich ....

Alternativ :
msconfig  <<< ausführen , dann Diagnosestart wählen .
Später wieder auf "normalen Systemstart" umstellen !!

-------------------------------------------------------------------------------------------------------------

Systemwiederherstellung   AUS
Rechtsklick auf Arbeitsplatz
Eigenschaften , Systemwiederherstellung
Deaktivieren anhaken : <<< Vorsicht , damit sind ALLE Punkte weg !!

Fertig damit :
Rechtsklick auf Arbeitsplatz
Eigenschaften , Systemwiederherstellung
Deaktivieren AB-haken
Danach ggf einen Punkt mit Bemerkung setzen. 

-------------------------------------------------------------------------------------------------------------

Der Virendoktor
http://www.heise.de/security/artikel/80369

-------------------------------------------------------------------------------------------------------------

so das ergebnis der virenprüfung ist da. 3 viren wurden gefunden.
1.) Virus: Email-Worm.Win32.Warezov.la(Engine A)
    Datei: e1.dll
    Verzeichnis: C:\Windows\system32
2.) Virus: Email-Worm.Win32.Warezov.iq(Engine A)
    Datei: msbiwimp.dll
    Verzeichnis: C:\Windows\system32
3.) Virus: Email-Worm.Win32.Warezov.la(Engine A)
    Datei: test.exe.exe
    Verzeichnis: C:\Windows

MaxiH
Mit dem Tool “The Avenger“ können die Dateien und Einträge die für Infektion verantwortlich sind manuell gelöscht werden.
Eine gute Anleitung zum Tool und einen Downloadlink findet man hier:
http://virus-protect.org/artikel/tools/avenger.html


Der folgende Script muss komplett nach Avenger unter “View/edit script“ kopiert werden:
###Diese Zeile nicht kopieren!###
Files to delete:
C:\Windows\system32\e1.dll
C:\Windows\system32\msbiwimp.dll
C:\Windows\system32\test.exe.exe

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
###Diese Zeile nicht kopieren!###
Anschließend sollte um eine weitere mögliche Malwareinfizierung auszuschließen bzw. zuerkennen zur Kontrolle auch eine Überprüfung mit dem Freeware Online-Scanner von
F-Secure vorgenommen werden. Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“
 

also bei mir gab es nachdem ich das Script kopiert habe und dann die ausgeführt habe einen Fehler und das Program hat abgebrochen. 

Files to delete:
C:\Windows\system32\e1.dll
C:\Windows\system32\msbiwimp.dll
C:\Windows\system32\test.exe.exe

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs


Wiederhole es noch mal mit diesem!
Das Tool zickt hin und wieder mal.


« Komische Spyware oda VirusNT-Autorität, advanced.. »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Internet
Das Internet, ein aus den Worten "International" und "Network" zusammengesetzter Begriff, ist ein globales Netzwerk (WAN: Wide Area Network), das eine Vielzahl von Comput...

Internet Time
Siehe Swatch Internet Time. ...

Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...