Gibts sowas, denn trotz Neuinstallation von XP (inkl SP1) hab ich Sh1ceware oben, dieunter den Namen:

winsys32.exe

mist anstellt. Antiviren Programme funzen nicht. Wenn ich die Datei lösche. kommt ein Programm startet sich ein Programm mit dm Namen tftp.exe. Schliess ich das, ist aufeinmal wiedwer winsys32.exe aktiv, obwohl ich die Datei gelöscht hab.

Mit Hijackthis kann ich zwar den Starteintrag entfernen, aber nich dauerhaft. Hier mein Log:

Logfile of HijackThis v1.97.7
Scan saved at 14:10:03, on 22.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\cmd.exe
C:\temp\Sysinternals\Filemon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Opera7\Opera.exe
C:\WINDOWS\explorer.exe
C:\temp\LAN_Test\LAN_Test.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\Manu\Desktop\Hijack\HijackThis.exe

O4 - HKLM\..\Run: [Microsoft Update] winsys32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] winsys32.exe

mmm...

Das du selber das Log kastriert hast, ist nicht schön. So kann ich nur raten, wie das Programm arbeitet: Wenn die Winsys32.exe gekillt wird, legt sie eine Datei mit dem Namemn tftp.exe an, ruft diese auf und beendet sich dann erst => schau nach, wo diese tftp.exe liegt, lösche diese Datei und leg eine neue Textdatei mit diesem Namen an, mach den Schreibschutz auf deine Textdatei drauf und hoffe, das so die tftp.exe nicht woanders neu angelegt wird, sondern nix weiter passiert ... wie man Dateiendungen angezeigt bekommt, weiss du hoffentlicht. Diese winsys32.exe einmal zippen und mir mailen (lokadamus@gmx.de Betreff: 3dc- Spyware) oder direkt bei Antivir hochladen ...

Das Teil selber kann ein Virus der fiesen Sorte sein ...

Original geschrieben von Lokadamus
mmm...

Das du selber das Log kastriert hast, ist nicht schön.



Das ist das ganze Log (frische Windows Installation). Kastriert hab ich nix.

/edit: momentan, ist alles ruhig. Beide Datein sind gelöscht und tauchen auch nicht mehr auf. Aber das hab ich mir gestern auch schon gedacht, mal sehen. Wenn ichs nochmal bekomm mails ichs dir. Aber wenn du willst, kannst du die letzte Abwandlung vom Agobot haben. (da hiessen die Datein noch systemcheck.exe und wuamgrd.exe, da hab ich mal den Dateinamen für den Wurm mal (hoffentlich) unkenntlich gemacht und gezippt.

Da wars aber noch einfacher den shice runterzubekommen, da systemcheck.exe überprüft hat, ob die ganzen Handles, Pfade noch so sind, wie es wuamgrd eingetragen hat. Wie jetzt dieser Check durchgeführt wird, weiss ich nicht. Aber scheinbar hab ich ihn deaktivieren können...


...nur der Process Explorer (procexp.exe) von www.sysinternals.com will sich immernoch nicht starten lassen :|

Achja, unter dem Namen tkzfnjw.exe hat der Wurm auch gewütet, und fleissig zu irgendeinem Server in Südafrika gesendet.


Der Systemprozess (System:4) hätte eigentlich auch nicht connecten dürfen. Beides hab ich mittlerweile in den Griff gekriegt. Seltsam ist nur, dass ausgerechnet bei einer frischen Windowsinstallation passiert (hab bei der Installation ausgewählt, dass der alte Ordner gelöscht werden soll. Bei meiner alten Installation hab ich, zumindest scheinbar, das wurmproblem in den Griff bekommen)

mmm...

Das Log ist kastriert, brauchst dir nur mal die Logs von anderen Leuten anschauen, die ganzen normalen Aufrufe fehlen (und gerade da schauen wir doch nach, was wirklich normal ist). Wenn man den Ordner nur löschen lässt, lässt Windows einige Dateien in Ruhe, zumindest hab ich so das Gefühl. Wenn wirklich alles entfernt sein soll, muss man den Ordner entweder selber löschen oder die Partition formatieren ...

Nein, ich sammle eigentlich keine Viren, sondern will nur testen, ob Antivir das Teil schon kennt => wenn nein, bekommt Antivir es von mir zugeschickt ...

Vielleicht wurde der Standard .exe Aufruf geändert.

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
Sieht eigentlich so aus: "%1" %*

Sollte der Eintrag geändert worden sein, immer einen Notfall RegImport zur Hand haben (s.o.) wenn man die eingetragene Datei löscht. Sollte sie sich zurückschreiben und das System findet diese Datei nicht, wars das mit exe starten. :D

Original geschrieben von Lokadamus
mmm...

Das Log ist kastriert, brauchst dir nur mal die Logs von anderen Leuten anschauen, die ganzen normalen Aufrufe fehlen


:D Die fehlen deswegen, weil sie unnötig sind. dumprep 0 -k hab ich 'händisch' rausgeschmissen, den Rest mit xpantispy und mit svc2kxp.cmd deaktiviert...


Hijackthis findet jetzt garnix mehr, und dementsprechend kann man auch kein Log erstellen. Aber unter config... -> misctools kann man ein Startuplistlog erstellen. Das schaut bei mir so aus:

StartupList report, 22.06.2004, 17:20:13
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Manu\Desktop\Hijack\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Manu\Desktop\Hijack\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 2.355 bytes
Report generated in 0,050 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only



Achja, das svc2kxp.cmd skript, (muss erst suchen woher ich das hab):

halt 'txt' Endung löschen und entpacken

Original geschrieben von HeldImZelt
Vielleicht wurde der Standard .exe Aufruf geändert.

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
Sieht eigentlich so aus: "%1" %*

Sollte der Eintrag geändert worden sein, immer einen Notfall RegImport zur Hand haben (s.o.) wenn man die eingetragene Datei löscht. Sollte sie sich zurückschreiben und das System findet diese Datei nicht, wars das mit exe starten. :D


Da passt auch alles. Überhaupt, dürfte der Wurm jetzt nicht mehr aktiv sein, aber ganz trau ich der Sache immernoch nicht, da ich z.B. nirgendwo eine 'tkzfnjw.exe' finden hab können...