Word Dokumente verseucht !VIRUS!

[duese81]

Eine Freundin hat mir ne Email geschickt das sie folgende Viren auf dem Rechner hat.

windows\system32\pskill.exe
windows\system32\psexec.exe
APPL/PsKill.E
APPL/Psexec.E

das zeigt der Virenscanner (AntiVir) ihr an. Obwohl sie die Dateien in Quarantäne verschoben hat, sind ihre Dokumente noch verseucht.

habe auch schon mal danach gegooglet aber konnte nix brauchbares finden was genau auf diese art virus zutreffen würde. hab ihr erstmal geraten das sie mal spybot drüberlaufen lässt und sich auch mal die sicherheitsupdates runterladen soll (Office sowie XP).

Habe letzte Woche mal von einem bekannte gehört das seit neustem ein Virus im Netz rumtummelt und eine Sicherheitslücke in WORD ausnutzt um den rechner komplett zu übernehmen. von MS´s Seite aus soll es auch da noch keine lösung für geben die das problem behebt.

Ist da was dran?
Was kann ich der Freundin noch per Ferndiagnose raten.
Sie in Koblenz und ich in Neuss!

Ist wirklich wichtig, da sie ihre Diplomarbeit gerade schreibt und schon 95 seiten zusammengeschustert hat.

Merci im voraus.

LG Düse

 

[Tankred]

Hm... entweder Du hast Dir einen Makro-Virus eingefangen oder Antivirs Heuristik hat einen an der Waffel. Am besten scannst Du Deinen PC mit einem zweiten Scanner:

http://www.kaspersky.com/virusscanner

Ruf den dortigen Onlinescanner mit dem IE auf (wg. ActiveX) und scanne Deinen PC. Poste danach das Ergebnis hier.

 

[k0m4]

Avira Antivir hat mir auch schon Files als verstrahlt ausgewiesen, die dann auf anderen Maschinen unter Kaspersky, NOD 32 und GData als völlig sauber durchgingen. Seitdem trau ich dem Ding nicht mehr wirklich über den Weg.

Hab das Ding immer für ganz gut gehalten (vor allem, was (Nicht-)Preis/Leistung betrifft). Aber seitdem ist der mir irgendwie nicht mehr ganz geheuer.

 

[norinred]

psexec ist ein microsoft tool um programme remote auf nen pc auszuführen bzw. zu installieren. damit das geht wird aber das admin kennwort des remote (ziel) pcs benötigt. um auf nummer sicher zu gehen ändere alle admin kennwörter. auch die der nutzer die admin rechte haben.

danach einfach noch mal mit nem online scanner scannen.

 

[hal9000]

ein scann mit hijackthis (download hier: http://download.hijackthis.eu/hijackthis_199.zip )schadet auch nix. poste dann mal dein logfile hier.

 

[duese81]

Klasse vielen Dank für die informationsreichen Antworten.

@Tankred: Alles klar werd ich ihr sagen das sie das mal machen soll.

@k0m4: Habe das gleiche damals auch mal gehabt und benutzte seit dem auch kaspersky.

@norinred: Danke für den Tips mit dem PW

@hal9000: Schick ich ihr per mail. wenn ich antwort habe poste ich es direkt mal.

So, denn....

einen angenehmen Start schon mal in Wochenende an alle....

 

[duese81]

So hier ist jetzt mal das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:13:25, on 23.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Teledat\IWatch.exe C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Teledat\TelWeb32.exe
C:\Programme\WinRAR\WinRAR.exe
D:\Temp\Rar$EX01.688\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O4 - Global Startup: Web.lnk = C:\Programme\Teledat\TelWeb32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263}
- C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1100291020953
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations
Assistent) - htp:/bitte keine Trojaner oder Dialer-Links hier setzen! [Fiona][/url
O17 -
HKLM\System\CCS\Services\Tcpip\..\{EDCE83DD-317A-4A97-8128-0532B48F0DAB}:
NameServer = 192.168.0.100
O17 -
HKLM\System\CCS\Services\Tcpip\..\{F33E99EE-53D7-4876-ACF5-77C422126961}:
NameServer = 195.50.140.252 195.50.140.114
O17 -
HKLM\System\CCS\Services\Tcpip\..\{FA9E262A-E7E5-433C-B4F2-B44FFC78DF55}:
NameServer = 192.168.121.252,192.168.121.253
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\TELEDAT\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Einer ne Idee??

 

[da tei]

Auf jedem Fall sollte sie ihre 95-Seitige Diplomarbeit umgehend sichern, auf ne cd brennen, Diskette, per Email an wen schicken oder so...wenn 95 Seiten weg sind ist das nicht mehr so witzig.
Doppelposts sind hier unerwünscht, man soll editieren ^^
Ich pers. würde die Daten reinigen, vllt mit OpenOffice öffnen und in nem anderen Format speichern oder so, Windows neuinstallieren und dann nen guten Vierenscanner usw. das Übliche, aber ich befürchte, dass man das von ihr nicht verlangen kann (Wenn sie überhaupt Viren hat, mir wäre aber das Risiko zu groß)
Wichtig ist jedenfalls, egal was genau sie macht, um das Virus loszuwerden, ihre Arbeit am Besten auf mehreren Medien zu sichern...

 

[Tankred]

O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations
Assistent) - h**p://install.premiumzone.de/InstallationsAssistent.ocx[/url]

Das sieht mir nicht ganz i.O. aus und sollte gefixed werden.

O17 -
HKLM\System\CCS\Services\Tcpip\..\{EDCE83DD-317A-4A97-8128-0532B48F0DAB}:
NameServer = 192.168.0.100
O17 -
HKLM\System\CCS\Services\Tcpip\..\{F33E99EE-53D7-4876-ACF5-77C422126961}:
NameServer = 195.50.140.252 195.50.140.114
O17 -
HKLM\System\CCS\Services\Tcpip\..\{FA9E262A-E7E5-433C-B4F2-B44FFC78DF55}:
NameServer = 192.168.121.252,192.168.121.253

Ist sie bei Arcor Kunde und Teil eines Netzwerks? Wenn ja, dann ist das i.O.

Ansonsten sieht das nicht so schlecht aus. Allerdings sieht man auch nicht alles im Hijack-Log. Vor allem dann nicht, wenn man sich den abgesicherten Modus spart.

 

[pachti]

als ich auf den link: htp:/bitte keine Trojaner oder Dialer-Links hier setzen! [Fiona][/url geklickt habe kam ein trojan downloader auf meine firewall zu was ist das für ein link?

 

[Tankred]

Ich denke ein Dialer.

 

[pachti]

vl. ist das der virus?

 

[Tankred]

Das kann schon sein. Der Mainpean-Dialer wird ja remote auf dem "Kundenrechner" installiert. Der Aufruf erfolgt dabei über die ActiveX-Controls.

 

[pachti]

jup..... kann sein

 

[duese81]

Sorry für den Doppelpost. *SCHÄM* war mal wieder ein bisschen schnell unterwegs.

Danke für die analysen. habe ihr auch schon direkt geraten die dateien die sie dringend benötigt zu brennen und per email zu verschicken.

Ob sie bei arcor ist weiß ich nicht. Werde sie mal danach fragen. Was haben die einträge den zu bedeuten? Sind das einfach nur DNS server die per key registriert sind?

@yul: mit dem system neuinstallieren hab ich mir fast gedacht. meinst du ich kann die dateien vllt einfach auf meinem notebook ziehen und mit word öffen? benutzte persönlich Kaspersky, da ich damals selber mit AntiVir auf die nase gefallen bin.

Many THX @all

 

[da tei]

Kaspersky ist genial, ich würden die Daten damit mal überprüfen auf deinem Notebook und wenn sie dann clean sind, dürfte alles in Butter sein.

 

[duese81]

Alles klar yul. Werd ich probieren... Nochmals vielen Dank an alle...

Greeting Düse