Virus? Mauszeiger wird ständig von der Win Eieruhr begleitet

Ein Hallo ein alle,

habe den Welchia.Worm auf meinen PC (Win XP) entdeckt und entsprechend elimiert. (Abgesicherter Modus, Vierenprogramm, Odnerdurchsicht %/System32/Drivers; %/System32/Wins zwecks Löschung der svchost.exe)

Des weiteren habe ich mit Adware, Spybot usw. meinen PC durchforstet und keine Auffälligen Rückmeldungen erhalten.

Trotz allem bleibt die Win Eieruhr ständig, jedoch mit geringen zeitlichen Unterbrechungen = Zugriffsaktivitäten auf die Festplatte erkennbar, an meinen Mauspfeil haften.

Hier läuft etwas im Hintergrund ab was ich leider nicht finden kann.

Die Prüfung der aktiv gestarteten Prozesse/Programmme ergab leider auch keine Auffälligkeiten.

Hat einer eine Idee was ich tun bzw. suchen sollte?


Dank vorab

wer_pa

 

Hallo,

erstelle mit HiJackThis ein Log-File und poste es hier rein. Danach kann man sehen, ob weitere Malware aktiv ist bzw. ob du den Wurm restlos entfernt hast.

 

Freude, Freude, unglaubliche Freude, habe die Eieruhr in die Wüste schicken können.

Hallo Cidre, vielen Dank für Deine Rückmeldung.


Infizierte Datei = ?Avserve2.exe? ??
Geänderter Browser-Linkeintrag =
http://v4.windowsupdate.microsoft.com/


Verwendetes Virentool zur erfolgreichen Problemlösung
Company Name: Computer Associates International
File Name: ClnSasser.com v. 2.0.0
Date: 05/11/2004
Description: This utility is for cleaning a local machine from the
Win32/Sasser worm (.A - .F) variants.

Hinweis:
Es gibt einen neuen Microsoft Patch vom 12.07.04 = > ?XP-KB841873-x86-deu.exe?


Nachfolgende Fragen gehen mir trotzdem durch den Kopf und ich hoffe, dass die absoluten Cracks in diesem Forum eine Antwort finden können.
(Für diese weiter unten, die schon von mir selektierten Autostart und Logfile ? Delta-Angaben)


Fragen:
1)
Was für einen Virus/Worm hatte ich mir eingefangen?

2)
Wie kann der Virus/Worm übers Internet auf meine HD gelangen obwohl ich,
aus meiner bescheidenen XP Anwendersicht, alles zur Eindringungsvermeidung
getan habe?
- Win Patches
- XP SP1
- Windows XP-KB824146-x86-DEU.exe
- Windows XP-KB828028-x86-DEU.exe
- Windows XP-KB835732-x86-DEU.exe
- Win XP Internet Verbindungsfirewall aktiv
- ActiveX Steuerelemente und Windows Nachrichtendienst sind seit
November 2002 deaktiviert

3)
Warum war das o. g. Virentool ClnSasser.com v. 2.0.0 bei der Entfernung
erfolgreich, obwohl AntVir einen NachiB1.Worm gemeldet hatte, diesen dann gelöscht hat, aber das Problem mit (Mauszeiger mit angebundener Eieruhr = Task-Manager zeigt CPU Auslastung von 100% an) weiterhin vorhanden war?

4)
Warum konnte auch das Virentool ?FixWelch? (Stand 10.05.04) von Symantec den Virus/Worm nicht eliminieren?

5)
Wann erfolgt eigentlich eine Virenübertragung im Internet?
Habe mal daran gedacht größere Downloads über Satelliten, mit entsprechender Hard-/ und Software, reinzusaugen, da ein DSL ?Anschluß bei mir nicht möglich ist. Habe ich bei Satelliten-Downloads eine höhere Sicherheit bezüglich Virenüber-tragungen?

Historie:
Seit meiner ersten Bekanntschaft mit dem Blaster.Worm Ende 2003, habe
ich ständig alle Microsoft XP Patches, sowie SP1 auf meinen PC nachinstalliert.
ActiveX Steuerelemente und Windows Nachrichtendienst habe ich seit November 2002 deaktiviert.

Den Sasser.Worm im Mai 2004 habe ich mir natürlich auch eingefangen und
hiernach die XP Verbindungsfirewall nun zusätzlich aktiviert. Was ich leider
nicht mehr weis, ob ich vor der Sasser Viren ? Entfernung mit dem Symantec-
Virentool ?FxSasser.exe?, die XP Systemwiederherstellung deaktiviert hatte.

Auf jeden Fall hatte ich natürlich den aktuellen WIN Patch XP-KB835732-x86-DEU.exe zu Sasser installiert und hatte bis vorgestern Ruhe, bis mein Mauszeiger urplötzlich nach einer Internetsession von der Eieruhr ständig begleitet wurde. Virus on Board?

Kein Problem, ich hatte ja AntiVir.XP und das neuste Viren- Update durchgeführt.
AntiVir meldete auch ganz brav:

WKS Pacht(1).exe enthält NachiB1 Worm im Verzeichnis
Windows\System 32\dll_chache


Kein Problem für mich = > XP Systemwiederherstellung deaktiviert, mit AntiVir den Virus gelöscht, so dachte ich jedenfalls, denn der Mauszeiger mit der Eieruhr war leider immer noch da. Habe AntiVir zweimal über mein System rauschen lassen, es erfolgte jedoch keine weitere Virusmeldung mehr.

Hatte nun nachfolgende Tools eingesetzt, jedoch leider ohne Erfolg:
- Virentool ?FixWelch? (Stand 10.05.04) von Symantec, da NachiB1 eine Variante oder andere Bezeichnung für Welchia.Worm ist?)
- Ad-aware 6.0
- CWShredder.exe
- Trojancheck
- Spybot - Search & Destroy
- Virentool > FxDumaru von Symantec FixKorgo.exe
- Virentool > FixKorgo.exe von Symantec
- Virentool > FxMimail.exe von Symantec
- Virentool > FxMimail.exe von Symantec
- Virentool > stinger.exe (W32.Sober.C@mm Wurm)
- Virentool > f-sobig.exe (W32 Sobig F@-secure Wurm)
- Virentool > FxMydoom.exe von Symantec
- Virentool > FxNovarg.exe von Symantec
(Als normaler XP ? Anwender ganz ordentlich finde ich, wenn auch nicht ganz zielstrebig gebe ich ja zu, man ist halt dem Wahnsinn nahe)

Da ja NachB1.Worm = Welchia.Worm angesagt war, habe ich zusätzlich die geheimnisvolle ?sychost.exe? in den relevanten Ordnern
- \System32\drivers\
- \System 32\dllcache\
- \System 32\wins\
gesucht, jedoch nicht aufgefunden. Des Weiteren waren in den Windows Ordnern:
- \Downloaded Program Files\
- \Temp\
keine Dateien vorhanden.

Der Mauszeiger mit der angebundenen Eieruhr war leider immer noch da, und ich am Ende mit meinen bescheidenen Kenntnissen. Nun war ein Forums-Hilferuf angesagt.



Experteninfo:
Nach der erfolgreichen Viruslöschung mit dem, am Anfang der Mail benanntem Tool ?ClnSasser.com v. 2.0.0?, werden nachfolgende Verweise/Dateien im Autostart nicht mehr geladen:


RegCleaner 4.3 by Jouni Vuorio, translation by Andreas Thollarz

- Avserve2.exe, C:\WINDOWS\avserve2.exe, HKEY_LM\Run
- NvCplDaemon, RUNDLL32.EXE NvQTwk,NvCplDaemon Initialize, HKEY_LM\Run
- Nwiz, Nwiz.exe /install, HKEY_LM\Run
- PcwTempLeer, Cmd /c C:\WINDOWS\pcwTempLeer.bat, HKEY_LM\Run



Logfile of HijackThis v1.98.0
Scan saved at 18:41:11, on 16.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\avserve2.exe
C:\WINDOWS\avserve2.exe
C:\WINDOWS\avserve2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [URL]http://v4.windowsupdate.microsoft.com/[/URL]

O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe



Dank an alle vorab.

Gruss
wer_pa

 

du kannst hier keine kostenlose privat-nachhilfe in sachen sicherheit erwarten. gehe zur volkshochschule deines vertrauens.

In gebotener kürze zu deinen fragen:

1. du hattest reste vom sasser drauf.

2. Weil deine kenntnisse auch nach deiner selbsteinschätzung bescheiden sind. Deine frage beantwortest du dir weiter unten selbst: "Den Sasser.Worm im Mai 2004 habe ich mir natürlich auch eingefangen"

3. Weil du mehr mist auf der platte hattest als du glaubst

4. Mit einen brotmesser kann man keinen erschießen und mit einer pistole keinen erstechen.

5. Steht hier:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.htm

Ist dein HJT-Log frisch? Dann bist du trotz hurra und so die avserve2.exe immer noch nicht los. Dein rechner ist noch immer versifft. Poste ein vollständiges hjt-log und hoffe, dass sich einer der netten menschen findet, der sich diesen kram anderer leute anzutun bereit ist.