Virus / Wurm - Kommt nach löschen wieder!

[flix]

Ich hab mir da wohl einen ernsten Wurm oder ähnliches eingefangen. Aber fang ich doch erstmal von vorne an:

Der wurm erstellt einen Registry Eintrag im Run Order mit dem wert C:\WINDOWS\avserve.exe. Der schlüssel heißt avserve.exe

Die datei existiert auch. dazu wird immer noch eine <zahl>_up.exe in system32 erstellt. <zahl> ist immer unterschiedlich, 3 oder 4 stellig.

Die *_up.exe wird auch im taskmgr angezeigt. avserve.exe wird nicht angezeigt. ich denke mir, das der aufruf von avserve.exe nur die *_up.exe erstellt und diese startet.

Das was mir die größten sorgen macht ist aber, wenn die *_up.exe geöffnet ist, zeigt mir "netstat" tonnenweise verbindungen auf meinen rechner an:

Aktive Verbindungen

 Proto Lokale Adresse     Remoteadresse     Status
 TCP  flix:3018       server133.multiplay.co.uk:6667 HERGESTELLT
 TCP  flix:3019       IRCnet.irc.fu-berlin.de:6667 HERGESTELLT
 TCP  flix:3524       xdsl-81-173-171-197.netcologne.de:microsoft-ds
WARTEND
 TCP  flix:3691       host81-154-11-27.range81-154.btcentralplus.com:m
icrosoft-ds WARTEND
 TCP  flix:3751       host81-152-136-107.range81-152.btcentralplus.com
:microsoft-ds WARTEND
 TCP  flix:3827       AAubervilliers-106-1-2-101.w81-48.abo.wanadoo.fr
:microsoft-ds WARTEND
 TCP  flix:3845       host81-152-136-107.range81-152.btcentralplus.com
:microsoft-ds WARTEND
 TCP  flix:3915       xdsl-81-173-159-125.netcologne.de:microsoft-ds
WARTEND
 TCP  flix:3934       xdsl-81-173-144-103.netcologne.de:microsoft-ds
WARTEND
 TCP  flix:3964       161.74.250.92:microsoft-ds FIN_WARTEN_1
 TCP  flix:3989       xdsl-81-173-159-125.netcologne.de:microsoft-ds
WARTEND
 TCP  flix:4017       161.74.250.92:microsoft-ds HERGESTELLT
 TCP  flix:4101       81.185.50.79:microsoft-ds WARTEND
 TCP  flix:4161       cable-81-173-135-181.netcologne.de:microsoft-ds
 WARTEND
 TCP  flix:4310       81.173.240.228:microsoft-ds SYN_GESENDET
 TCP  flix:4311       clandas.com:microsoft-ds SYN_GESENDET
 TCP  flix:4312       77.Red-81-35-168.pooles.rima-tde.net:microsoft-d
s SYN_GESENDET
 TCP  flix:4313       199-106.242.81.adsl.skynet.be:microsoft-ds SYN_
GESENDET
 TCP  flix:4314       60.205.35.205:microsoft-ds SYN_GESENDET
 TCP  flix:4315       h116n1fls310o1052.telia.com:microsoft-ds SYN_GE
SENDET
 TCP  flix:4316       222.139.51.241:microsoft-ds SYN_GESENDET
 TCP  flix:4317       206.73.116.111:microsoft-ds SYN_GESENDET
 TCP  flix:4318       user26.209.42.34.dsli.com:microsoft-ds SYN_GESE
NDET
 TCP  flix:4319       81.173.248.90:microsoft-ds SYN_GESENDET
 TCP  flix:4320       xdsl-81-173-225-246.netcologne.de:microsoft-ds
SYN_GESENDET
 TCP  flix:4321       147.245.0.222:microsoft-ds SYN_GESENDET
 TCP  flix:4322       132.49.237.166:microsoft-ds SYN_GESENDET
 TCP  flix:4323       6.233.252.135.in-addr.arpa:microsoft-ds SYN_GES
ENDET
 TCP  flix:4324       81.173.9.246:microsoft-ds SYN_GESENDET
 TCP  flix:4325       5.230.158.61:microsoft-ds SYN_GESENDET
 TCP  flix:4326       116.235.214.73:microsoft-ds SYN_GESENDET
 TCP  flix:4327       h75n4fls26o1067.bredband.comhem.se:microsoft-ds
 SYN_GESENDET
 TCP  flix:4328       81.27.105.68:microsoft-ds SYN_GESENDET
 TCP  flix:4329       ppp-65-71-172-84.dialup.tpkaks.swbell.net:micros
oft-ds SYN_GESENDET
 TCP  flix:4330       101.90.223.217:microsoft-ds SYN_GESENDET
 TCP  flix:4331       175.53.93.132:microsoft-ds SYN_GESENDET
 TCP  flix:4332       160.192.96.114:microsoft-ds SYN_GESENDET
 TCP  flix:4335       ip-152.net-81-220-48.lyon.rev.numericable.fr:mic
rosoft-ds SYN_GESENDET
 TCP  flix:4336       202.163.51.82:microsoft-ds SYN_GESENDET
 TCP  flix:4337       81.122.93.189:microsoft-ds SYN_GESENDET
 TCP  flix:4338       107.15.49.86:microsoft-ds SYN_GESENDET
 TCP  flix:4339       40.171.105.143:microsoft-ds SYN_GESENDET
 TCP  flix:4340       169.27.130.224:microsoft-ds SYN_GESENDET
 TCP  flix:4341       xdsl-81-173-225-90.netcologne.de:microsoft-ds S
YN_GESENDET
 TCP  flix:4342       70.31.56.194:microsoft-ds SYN_GESENDET
 TCP  flix:4343       89.27.37.155:microsoft-ds SYN_GESENDET
 TCP  flix:4344       195.137.137.97:microsoft-ds SYN_GESENDET
 TCP  flix:4346       119.22.139.16:microsoft-ds SYN_GESENDET
 TCP  flix:4347       34.22.214.37:microsoft-ds SYN_GESENDET
 TCP  flix:4348       33.163.196.28:microsoft-ds SYN_GESENDET
 TCP  flix:4349       136.135.17.116:microsoft-ds SYN_GESENDET
 TCP  flix:4351       81.173.47.173:microsoft-ds SYN_GESENDET
 TCP  flix:4352       81.55.45.72:microsoft-ds SYN_GESENDET
 TCP  flix:4353       198.187.140.21:microsoft-ds SYN_GESENDET
 TCP  flix:4354       174.210.242.245:microsoft-ds SYN_GESENDET
 TCP  flix:4355       pD9EF04C8.dip.t-dialin.net:microsoft-ds SYN_GES
ENDET
 TCP  flix:4356       84.178.16.8:microsoft-ds SYN_GESENDET
 TCP  flix:4357       208.167.114.105:microsoft-ds SYN_GESENDET
 TCP  flix:4359       xdsl-81-173-144-164.netcologne.de:microsoft-ds
WARTEND
 TCP  flix:4361       cable-81-173-134-148.netcologne.de:microsoft-ds
 SYN_GESENDET
 TCP  flix:4362       c-24-13-120-8.client.comcast.net:microsoft-ds S
YN_GESENDET
 TCP  flix:4364       81.173.247.163:microsoft-ds SYN_GESENDET
 TCP  flix:4365       81.173.109.135:microsoft-ds SYN_GESENDET
 TCP  flix:4366       81.173.21.89:microsoft-ds SYN_GESENDET
 TCP  flix:4367       81.3.50.157:microsoft-ds SYN_GESENDET
 TCP  flix:4368       81.173.74.212:microsoft-ds SYN_GESENDET
 TCP  flix:4369       140.90.163.79:microsoft-ds SYN_GESENDET
 TCP  flix:4370       81.173.252.144:microsoft-ds SYN_GESENDET
 TCP  flix:4371       209.2.62.120:microsoft-ds SYN_GESENDET
 TCP  flix:4372       h71n2fls312o285.telia.com:microsoft-ds SYN_GESE
NDET
 TCP  flix:4373       81.24.67.103:microsoft-ds SYN_GESENDET
 TCP  flix:4374       99.136.66.144:microsoft-ds SYN_GESENDET
 TCP  flix:4375       129.228.86.179:microsoft-ds SYN_GESENDET
 TCP  flix:4376       51.77.187.167:microsoft-ds SYN_GESENDET
 TCP  flix:4377       88.36.9.194:microsoft-ds SYN_GESENDET
 TCP  flix:4378       cable-81-173-164-249.netcologne.de:microsoft-ds
 SYN_GESENDET
 TCP  flix:4379       host81-130-117-47.in-addr.btopenworld.com:micros
oft-ds SYN_GESENDET
 TCP  flix:4380       81.173.223.214:microsoft-ds SYN_GESENDET
 TCP  flix:4381       81.173.29.104:microsoft-ds SYN_GESENDET
 TCP  flix:4382       ASte-Genev-Bois-113-1-9-39.w81-53.abo.wanadoo.fr
:microsoft-ds SYN_GESENDET
 TCP  flix:4385       cable-81-173-164-28.netcologne.de:microsoft-ds
SYN_GESENDET
 TCP  flix:4387       29.126.232.64.transedge.com:microsoft-ds SYN_GE
SENDET
 TCP  flix:4388       98.148.215.187:microsoft-ds SYN_GESENDET
 TCP  flix:4390       222.28.139.118:microsoft-ds SYN_GESENDET
 TCP  flix:4391       93.128.65.53:microsoft-ds SYN_GESENDET
 TCP  flix:4392       200.254.38.55:microsoft-ds SYN_GESENDET
 TCP  flix:4393       81.31.59.127:microsoft-ds SYN_GESENDET
 TCP  flix:4394       19.58.166.233:microsoft-ds SYN_GESENDET
 TCP  flix:4395       187.83.211.9:microsoft-ds SYN_GESENDET
 TCP  flix:4396       197.73.53.243:microsoft-ds SYN_GESENDET
 TCP  flix:4397       xdsl-81-173-175-219.netcologne.de:microsoft-ds
SYN_GESENDET
 TCP  flix:4398       dial81-135-4-185.in-addr.btopenworld.com:microso
ft-ds SYN_GESENDET
 TCP  flix:4399       xdsl-81-173-226-182.netcologne.de:microsoft-ds
SYN_GESENDET
 TCP  flix:4401       157.221.3.3:microsoft-ds SYN_GESENDET
 TCP  flix:4402       mail.rccr.cremona.it:microsoft-ds SYN_GESENDET
 TCP  flix:4403       81.92.10.214:microsoft-ds SYN_GESENDET
 TCP  flix:4404       xdsl-81-173-175-149.netcologne.de:microsoft-ds
WARTEND
 TCP  flix:4405       81.81.52.44:microsoft-ds SYN_GESENDET
 TCP  flix:4406       81.173.64.155:microsoft-ds SYN_GESENDET
 TCP  flix:4407       cpc2-seve3-6-0-cust77.popl.cable.ntl.com:microso
ft-ds SYN_GESENDET
 TCP  flix:4408       103.66.135.239:microsoft-ds SYN_GESENDET
 TCP  flix:4409       98.197.157.6:microsoft-ds SYN_GESENDET
 TCP  flix:4410       cable-81-173-134-5.netcologne.de:microsoft-ds S
YN_GESENDET
 TCP  flix:4411       host81-152-25-107.range81-152.btcentralplus.com:
microsoft-ds SYN_GESENDET
 TCP  flix:4412       host81-107-164-20.not-set-yet.ntli.net:microsoft
-ds SYN_GESENDET
 TCP  flix:4413       81-202-51-196.user.ono.com:microsoft-ds FIN_WAR
TEN_1
 TCP  flix:4414       81.173.23.222:microsoft-ds SYN_GESENDET
 TCP  flix:4415       33.192.217.52:microsoft-ds SYN_GESENDET
 TCP  flix:4416       84.82.172.65:microsoft-ds SYN_GESENDET
 TCP  flix:4417       178.81.33.173:microsoft-ds SYN_GESENDET
 TCP  flix:4418       81.142.143.178:microsoft-ds SYN_GESENDET
 TCP  flix:4420       81.173.45.45:microsoft-ds SYN_GESENDET
 TCP  flix:4421       xdsl-81-173-175-149.netcologne.de:microsoft-ds
WARTEND
 TCP  flix:4422       81.55.236.67:microsoft-ds SYN_GESENDET
 TCP  flix:4423       37.175.202.212:microsoft-ds SYN_GESENDET
 TCP  flix:4425       81.173.18.233:microsoft-ds SYN_GESENDET
 TCP  flix:4426       81.173.67.1:microsoft-ds SYN_GESENDET
 TCP  flix:4427       216.49.117.35:microsoft-ds SYN_GESENDET
 TCP  flix:4428       81.148.37.52:microsoft-ds SYN_GESENDET
 TCP  flix:4429       156.11.8.216:microsoft-ds SYN_GESENDET
 TCP  flix:4430       58.146.9.19:microsoft-ds SYN_GESENDET
 TCP  flix:4431       81.173.242.59:microsoft-ds SYN_GESENDET
 TCP  flix:4432       81.173.8.93:microsoft-ds SYN_GESENDET
 TCP  flix:4433       51.160.195.90:microsoft-ds SYN_GESENDET
 TCP  flix:4434       137-80.244.81.adsl.skynet.be:microsoft-ds SYN_G
ESENDET
 TCP  flix:4435       dc5147a75b.adsl.wanadoo.nl:microsoft-ds SYN_GES
ENDET
 TCP  flix:4436       81.173.68.238:microsoft-ds SYN_GESENDET
 TCP  flix:4437       64.76.107.129:microsoft-ds SYN_GESENDET
 TCP  flix:4438       133.60.59.92:microsoft-ds SYN_GESENDET
 TCP  flix:4439       81.150.237.196:microsoft-ds SYN_GESENDET
 TCP  flix:4440       xdsl-81-173-144-164.netcologne.de:microsoft-ds
WARTEND
 TCP  flix:4441       xdsl-81-173-175-149.netcologne.de:microsoft-ds
HERGESTELLT
 TCP  flix:4442       xdsl-81-173-158-213.netcologne.de:microsoft-ds
SYN_GESENDET
 TCP  flix:4443       host81-129-32-195.in-addr.btopenworld.com:micros
oft-ds SYN_GESENDET
 TCP  flix:4444       29.165.163.30:microsoft-ds SYN_GESENDET
 TCP  flix:4445       22.180.80.142:microsoft-ds SYN_GESENDET
 TCP  flix:4446       81.173.81.136:microsoft-ds SYN_GESENDET
 TCP  flix:4447       189.98.73.229:microsoft-ds SYN_GESENDET
 TCP  flix:4448       xdsl-81-173-140-25.netcologne.de:microsoft-ds S
YN_GESENDET
 TCP  flix:4449       81.173.57.62:microsoft-ds SYN_GESENDET
 TCP  flix:4451       81.10.113.210:microsoft-ds SYN_GESENDET
 TCP  flix:4452       130.6.34.24:microsoft-ds SYN_GESENDET
 TCP  flix:4454       host81-154-248-93.range81-154.btcentralplus.com:
microsoft-ds SYN_GESENDET
 TCP  flix:4455       81.173.75.127:microsoft-ds SYN_GESENDET
 TCP  flix:4456       81-202-51-196.user.ono.com:microsoft-ds SYN_GES
ENDET
 TCP  flix:9996       127.26.161.177:3271  SCHLIESSEN_WARTEN
 TCP  flix:3740       127.73.247.193:microsoft-ds WARTEND

Das finde ich irgendwie beängstigend. ich hab nämlich keine firewall drauf.

eine andere frage ist ja, was die *_up.exe macht. auf jeden fall muss sie ja irgendwas nach draußen senden, sonst würden ja nicht schon 5 min nach system start so viele verbindungen auf meinen rechner sein...

Super ist auch, das wenn ich adserve.exe, den Regeintrag und die *_up.exe lösche, das sie nach kurzer zeit oder nach einem neustart wieder da sind.

So wie jetzt zB, kurz bevor ich mit dem post angefangen hab, hatte ich alle dateien gelöscht und jetzt sind sie schon wieder da... ich vermute es gehört noch eine andere datei dazu, die immer wieder alles erstellt, aber ich komm nicht dahinter welche das sein könnte.

Ich hab schon Panda, Spybot und Adaware probiert, hat aber alles nichts genützt, bzw haben nix gefunden.

Ich hoffe ihr könnt mir helfen.

Ich probier nochmal ein paar sachen aus...

Thx

Flix

 

[Megawurst]

also, versuch das mal:

start>ausführen>msconfig eingeben>startup

und da dann halt alle häckchen wegmachen, die du nich brauchst. dann neustarten und mal gucken

 

[Guest]

Danke erstmal, den eintrag für die *_up.exe kann ich ja löschen, aber erst ist nach ein paar minuten mit samt der anderen virus dateien wieder da...

Flix

 

[Serge]

Hast Du schon mit einem aktuellen Virenscanner Dein System durchsucht?

 

[frifri]

Hallo,
hab das auch auf dem PC gehabt.
Ist ein Trojaner, das neuste Antivir erkennt ihn.
Du must im Internetexplorer sicherheitshalber unter Extras-Internetoptionen-Allgemein, Dateien löschen (auch offline Inhalte).
Dann IE schließen.
Task-Prozess von avserve.exe und x_up.exe beenden.
In der Registry alle Einträge mit diesen Dateinamen löschen.

Gruß
frifri

 

[flix]

Danke für eure Antworten. IE benutze ich schon lange nicht mehr, bin längst auf Opera umgestiegen. Spybot und Panda AntiVirus hatten nichts gefunden, dann hatte ich auch nicht weiter gesucht. Ein Kumpel hatte das gleiche Problem und er hat es behoben in dem er mit dem neuesten AntiVir sein System durchleuchtet hat (wie frifri auch gesagt hat). Und siehe da, wir finden einen Wurm, ich hab den Namen schon wieder vergessen Auf jeden fall irgendwie Bot[1].exe oder so. Den hab ich dann gelöscht und mich nochmal vergewissert, dass nicht schon neue Dateien erstellt wurden. Dies war nicht der Fall und ich bin wieder Virenfrei. Danke für eure Hilfe!

Flix

 

[hugo.p]

schalt auf jedenfall mal die wiederherstellung von xp ab, sonst speichert die den zustand mit dem virus. hier noch eine detaillierte angabe zu deinem wurm, leider in englisch, mit stinger kannst du das ding beseitingen

http://msn.mcafee.com/virusInfo/default.as...&virus_k=125007

greetz

hugo

 

[flix]

Ja. Wiederherstellung is aus, war aber schon vorher aus. Stinger hat bei mir aber nix gefunden. hmmmmmm. auf jeden fall ist er weg.

eine andere frage ist ja: wo kommt der her. ich hab kein kazaa und email mit anhang öffne ich eh nicht. außerdem hatten den wurm 3 freunde gleichzeitig. ist das wieder so n fieser rpc-dienst saboteur?

Die McAffe seite hätte ich ja mal früher aufsuchen können, aber ich hatte ja garkeine ahnung was es für ein wurm ist und was er genau macht, da ich die fehlerberichterstattung aus habe.

Danke euch allen. Ich werd dann mal meinen freunden helfen die haben das gleiche problem.

bye

Flix

 

[funky]

Hi,

diesen Thread hätte ich schon früher lesen sollen Heute saß ich mehrere Stunden an der XP-Maschine eines Freundes mit diesem verdammten Virus. Bis ich entnervt aufgegeben habe. Nun, jetzt weiß ich mehr - prima

Leute, die diesen Mist im Netz verbreiten, sollte man eine ganze Weile Tag und Nacht in einen dunklen Raum sperren und ihnen übelst verseuchte Rechner zum manuellen Cleaning vor die Füße werfen, echt. Da hört der Spaß doch auf.

Ciao, funky

 

[2004]

Für die Zukunft - klang ganz nach einer Abart des W32.Magic.Call - empfehle ich die Tools CWShredder und HijackThis........beziehbar hier: http://www.zerosrealm.com/downloads.php

 

[Mech]

Hallo!

Den Wurm den Ihr hattet bzw. habt heisst "Sasser" und verbreitet sich gerade über Europa!

Hier eine Erklärung zum Wurm bzw. zum Entfernen:
Link

Mfg
Mech

 

[Mech]

Hallo!

Den Wurm den Ihr hattet bzw. habt heisst "Sasser" und verbreitet sich gerade über Europa!

Hier eine Erklärung zum Wurm bzw. zum Entfernen:
Link

Mfg
Mech

SORRY DOPPELPOST! Zuerst Fehlermeldung und nun ist Post zweimal da! Bitte einen löschen!