Worm/Robobot, DR/Bridge.A.2

Ace_NoOne · 23.08.2005

Hallo zusammen,

gestern fing mein Computer plötzlich an, sich seltsam zu verhalten; in aktiven Eingabefeldern bzw. Texteditoren erschien haufenweise der Buchstabe q. Ich vermute, dass einfach das Keyboard einen Hänger hatte (obwohl das vorher noch nie vorkam), aber trotzdem hab' ich mal->nen Virenscan durchgeführt.
AntiVir hat dann auch prompt was gefunden: In einem eher selten genutzten Verzeichnis (F:\disc images\ - dort liegen, sinnvolllerweise, verschiedene CD-Images) lagen drei Dateien:

[li]INSTALL.EXE[/li][li]TESTFILE (keine Endung, 0kb)[/li][li]AUTORUN.INF (Inhalt: [autorun] open=install.exe)[/li]

Die INSTALL.EXE wurde als WORM/Robobot identifiziert.
Ich erinnere mich, dass ich in genau diesem Verzeichnis schonmal ganz ähnliche Dateien gefunden hatte (siehe http://www.wintotal-forum.de/index.php/topic,78671.0.html).

Sobald ich heute nach Hause komme, lasse ich HijackThis (http://www.spywareinfo.com/~merijn/downloads.html), McAfee's Stinger ([red]keine Direktlinks[/red]) und Trend Micro's Syscleaner (http://www.trendmicro.com/download/dcs.asp) drüberlaufen. Gibt's sonst noch was, das ich tun könnte/sollte?

PS: In dem Zuge ist mir aufgefallen, dass im AntiVir-Quarantäneverzeichnis eine START.EXE (bzw. jetzt START.EXE.VIR) liegt, die als DR/Bridge.A.2 identifiziert wurde - könnte es sein, dass die noch irgendwo im System aktiv ist oder kann ich das jetzt abhaken?

Athene · 23.08.2005

http://www.wintotal.de/Spyware/index.php?Filter=I

Schau mal bitte da - und klick mal bei Install.exe auf Info - da geht es zu Symantec mit wichtigen Hinweisen zur beseitigung - wichtig ist nämlich das vorübergehende Abschalten der Systemwiederherstellung.......

viech · 23.08.2005

Lies Dir das mal durch
http://board.protecus.de/t18706.htm
Der User hat sich mit Robobot noch eine ganze Menge anderes Zeugs eingefangen.

Ace_NoOne schrieb:
PS: In dem Zuge ist mir aufgefallen, dass im AntiVir-Quarantäneverzeichnis eine START.EXE (bzw. jetzt START.EXE.VIR) liegt, die als DR/Bridge.A.2 identifiziert wurde - könnte es sein, dass die noch irgendwo im System aktiv ist oder kann ich das jetzt abhaken?

Dein Plan, Hijackthis, etc. drüberlaufen zu lassen, ist schon mal sehr gut. Lösche vorher Deine temp-Dateien. Hier kannst Du Dein Log auswerten lassen http://www.hijackthis.de/ bzw. poste das Log. Spätestens dann wissen wir mehr!

daikgd · 23.08.2005

Ace_NoOne schrieb:
PS: In dem Zuge ist mir aufgefallen, dass im AntiVir-Quarantäneverzeichnis eine START.EXE (bzw. jetzt START.EXE.VIR) liegt, die als DR/Bridge.A.2 identifiziert wurde - könnte es sein, dass die noch irgendwo im System aktiv ist oder kann ich das jetzt abhaken?

Kann abgehakt werden, ist durch Avpersonal in Quarantäne geschickt worden - kann gelöscht werden - gesammelt werden, was auch immer - ob sich derselbe Schädling unter anderem Namen evtl. noch in einer Wiederherstellungsdatei auf deinem System versteckt o.ä. kann nur ein Virenscan rausfinden - mit Stinger bist du da schon schon mal, was Würmer betrifft, gut beraten...

Athene · 23.08.2005

wichtig ist nämlich das vorübergehende Abschalten der Systemwiederherstellung.......

möchte ich doch nochmal wiederholen.......

Ace_NoOne · 24.08.2005

Habe gestern HijackThis und Stinger drüberlaufen lassen - hier die Logfiles:

Logfile of HijackThis v1.99.1
Scan saved at 17:11:30, on 23.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
D:\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\AllToTray\AllToTray.exe
D:\WinKey\WinKey.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Frederik\Desktop\virus removal\HijackThis.exe

[!]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.co.jp/ie
[!]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.co.jp
[!]R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.co.jp/ie
[!]R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.co.jp/keyword/%s
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Reader\ActiveX\AcroIEHelper.dll
[!]O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - D:\Desktop Sidebar\sbhelp.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\NETTRA~1\NTIEHelper.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
[!]O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [type32] C:\Programme\Microsoft IntelliType Pro\type32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - Startup: AllToTray.lnk = D:\AllToTray\AllToTray.exe
O4 - Startup: autostart query.lnk = C:\WINDOWS\system32\wscript.exe
O4 - Startup: todo.memo
O4 - Startup: WinKey.lnk = D:\WinKey\WinKey.exe
O8 - Extra context menu item: Download all by Net Transport - D:\NetTransport\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - D:\NetTransport\NTAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
[!]O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Desktop Sidebar\sbhelp.dll (file missing)
[!]O9 - Extra->Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Desktop Sidebar\sbhelp.dll (file missing)
[!]O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
[!]O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
[!]O9 - Extra->Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
[!]O17 - HKLM\System\CCS\Services\Tcpip\..\{5093180B-060B-4307-8DD5-6808F8AEE8D7}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Cisco VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe -d -f %ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Mit [!] gekennzeichnete Einträge habe ich entfernen lassen.

McAfee AVERT Stinger Version 2.5.6 built on Aug 16 2005

Copyright (C) 2005 Networks Associates Technology, Inc. All Rights Reserved.

Virus data file v1000 created on Aug 16 2005.

Ready to scan for 54 viruses, trojans and variants.

Scan initiated on Tue Aug 23 17:17:23 2005
Number of clean files: 41359

Scan initiated on Tue Aug 23 17:29:44 2005
Number of clean files: 8127

Scan initiated on Tue Aug 23 17:32:56 2005
Number of clean files: 300543

Die ersten beiden Versuche habe ich abgebrochen, weil ich vergessen hatte, zuerst alle temporären Dateien zu löschen.

Die Hinweise von Symantec habe ich mir durchgelesen, konnte aber keine der dort aufgeführten Symptome (Einträge in WIN.INI und SYSTEM.INI) ausmachen.

Kann ich jetzt davon ausgehen, dass mein System wieder clean ist? Ich werde das entsprechende Verzeichnis aber in jedem Fall weiter beobachten.

A propos: Wie kommt es, dass sich der Schädling gerade in diesem Verzeichnis (F:\disc images\) festgesetzt hatte? Kann man daraus Rückschlüsse auf mögliche Verursacher (z.B. Nero oder CloneCD , mit denen die Images dort erstellt wurden) ziehen?

UPDATE:
Mir ist gerade eingefallen, dass ich die Scans ja nur in meinem Benutzerkonto durchgeführt habe. Muss ich das mit den beiden anderen Benutzerkonten (beide mit Adminrechten) wiederholen?

viech · 24.08.2005

Nach einem Neustart machst Du jetzt noch einmal einen Scan mit HJT und läßt ihn noch einmal auswerten. Dann siehst Du, ob die Aktionen wirklich gefruchtet haben.

Ace_NoOne · 02.10.2005

Hmm ... hatte HJT und einige andere Scanner drüberlaufen lassen und alles Suspekte entfernt. Dann ließ ich das Ganze ein paar Wochen ruhen und habe eben nochmal in den Ordner geschaut - und schon wieder sitzt da eine INTEGITOR.EXE sowie eine Datei TESTFILE!
Vorhin war das Geändert am-Datum noch beim 27.09., und als ich gerade nachgeschaut habe war es von heute, 16:45 Uhr - das macht mir Angst!

Thomy · 17.12.2005

Ace_NoOne schrieb:
A propos: Wie kommt es, dass sich der Schädling gerade in diesem Verzeichnis (F:\disc images\) festgesetzt hatte? Kann man daraus Rückschlüsse auf mögliche Verursacher (z.B. Nero oder CloneCD , mit denen die Images dort erstellt wurden) ziehen?

Hallo! Ich bin zufällig hier reingestolpert, weil ich plötzlich auch install.exe's auf meinem Rechner gefunden habe. Komischerweise ist mein Rechner clean, ich hab die Infos aus dem Link weiter oben gelesen und keine dieser Dateien gefunden und auch keine dort beschriebene Manipulation der Registry oder Autostart-Informationen entdeckt.

Aber: Die install.exe's hab ich in allen Verzeichnissen gefunden, die ich für das LAN (nicht für das Internet!) zum Lesen und Schreiben freigegeben hatte. Einmal war das die ganze Partition F: (F:\install.exe) und dann ein Verzeichnis (G:\TRANSFER\install.exe). Ich bin mir also nicht sicher, ob diese Dateien auf meinem Rechner erzeugt wurden, oder beim letzten Netzwerkabend bei Freunden übers LAN auf meinen PC kamen...

Worm/Robobot, DR/Bridge.A.2

Ace_NoOne

Athene

viech

daikgd

Athene

Ace_NoOne

viech

Ace_NoOne

Thomy

Worm/Robobot, DR/Bridge.A.2

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums