Worm KIDO

Hallo,
habe seit einigen Tagen immer wieder von AntiVir die Fehlermeldung des Worm KIDO. Nach Anleitung eines Mitgliedes hier im Forum habe ich den Antivir Scanner so eingestellt, dass er auch Rootkitscan macht.
Aber ich kenne mich nicht so gut aus, dass ich den Report wirklich verwenden kann.
Bitte um Hilfe, was der nächste Schritt sein sollte...

Premium Security Suite
Erstellungsdatum der Reportdatei: Dienstag, 27. Januar 2009 12:05

Es wird nach 1283977 Virenstämmen gesucht.

Lizenznehmer: Dorothea Schwierskott
Seriennummer: 1102249462-ISECE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: PC5000

Versionsinformationen:
BUILD.DAT : 8.2.0.252 27422 Bytes 21.11.2008 10:12:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 07:24:15
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 11:54:36
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 11:54:36
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 11:54:36
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:48:16
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 06:04:07
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23.01.2009 23:03:39
ANTIVIR3.VDF : 7.1.1.185 172032 Bytes 27.01.2009 11:02:33
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 14:34:12
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 24.01.2009 23:03:42
AESCN.DLL : 8.1.1.5 123251 Bytes 08.11.2008 17:01:21
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 09:12:31
AEPACK.DLL : 8.1.3.5 393588 Bytes 10.01.2009 17:32:53
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11.12.2008 15:40:08
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 24.01.2009 23:03:41
AEHELP.DLL : 8.1.2.0 119159 Bytes 18.11.2008 16:55:37
AEGEN.DLL : 8.1.1.10 323957 Bytes 17.01.2009 06:32:12
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 14:34:08
AECORE.DLL : 8.1.5.2 172405 Bytes 29.11.2008 08:50:08
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 14:34:07
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 11:54:36
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 11:54:36
AVREP.DLL : 8.0.0.2 98344 Bytes 03.08.2008 19:33:51
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 11:54:36
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 11:54:35
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 11:54:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2904321 Bytes 18.07.2008 11:54:31
RCTEXT.DLL : 8.0.46.0 90369 Bytes 18.07.2008 11:54:31

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\Avira Premium Security Suite\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: löschen
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 27. Januar 2009 12:05

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '50445' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Retrospect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'retrorun.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RetroExpress.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToADiMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4PNP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MGOD9WBM\llpysx[1].bmp
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Kido.EE
[HINWEIS] Die Datei wurde erfolgreich überschrieben!
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MGOD9WBM\oeulsyug[1].gif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Kido.BT
[HINWEIS] Die Datei wurde erfolgreich überschrieben!
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MGOD9WBM\qnwn[1].bmp
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Kido.EM
[HINWEIS] Die Datei wurde erfolgreich überschrieben!
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MGOD9WBM\qvjotj[1].gif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Kido.BT
[HINWEIS] Die Datei wurde erfolgreich überschrieben!
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4FE75238-551E-4A27-AEE5-42F4B65EC70A}\RP10\A0011022.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.J-Programmes
[HINWEIS] Die Datei wurde erfolgreich überschrieben!
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\'


Ende des Suchlaufs: Dienstag, 27. Januar 2009 12:29
Benötigte Zeit: 23:17 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4669 Verzeichnisse wurden überprüft
190507 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
5 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
190500 Dateien ohne Befall
666 Archive wurden durchsucht
6 Warnungen
5 Hinweise
50445 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Vielen Dank. Anjee

 

Dein Betriebssystem ist nicht aktuell. Das Sicherheitsupdate gab es von Microsoft schon im letzten Jahr, das die Lücke schließt, die von dem Con******-Wurm befallen wird.
http://www.netzwelt.de/news/79032-con******a-microsoft-warnt-vor-windows-wurm.html

Führe das Tool aus, das auf keinem Windows-PC fehlen sollte, ebenso wie die Sicherheitsupdates von MS. http://www.microsoft.com/downloads/...e0-e72d-4f54-9ab3-75b8eb148356&DisplayLang=de
Dann patche das Betriebssystem übers Windows-Update.
Dann poste beide Log-Datei von RSIT.
http://virus-protect.org/artikel/tools/random.html

 

Vielen Dank,
bin den Anweisungen befolgt.
Habe sowohl diese Sicherheitslücke geschlossen mit dem angegebenen Link als auch neues Sicherheitsupdate installiert.
dann habe ich RSIT laufen lassen.
Soll ich den Log hier posten oder einen Thread in dem Sicherheitsforum protectus?
Dort wurde auch angegeben erst die Malware laufen zu lassen, die hat nichts gefunden. Habe dann nochmals Antivir laufen lassen, das war dann auch ohne Erfolg.
Aber beim nächsten Online gehen, war wieder eine Meldung mit dem Worm KIDO
und folgende MeldungIn der Datei 'C:\Dokumente und Einstellungen\Renate\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JMG37L8H\cddu[1].bmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Das Mühsamste ist eigentlich, dass der PC alleine offline geht und dann aber die Meldung gibt, dass der Eintrag für den Server fehlt und neu gestartet werden muss.
Oder der PC schaltet alleine ganz ab und fährt wieder hoch. macht das Arbeiten im Grafikprogramm recht mühsam...
Noch Vorschläge...