W32/Gael.worm.a

[mordan]

habe seit heute nachmittage massie problemene mit W32/Gael.worm.a

habe pc komplett formatiert und hab ihn schon wieder drauf..

das logfile

Logfile of HijackThis v1.99.1
Scan saved at 00:20:43, on 28.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Mordan\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...66/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7031C46B-B88D-47A3-B58A-411C48F41CE8}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

[Speedy]

hi

Logfile bitte zwischen [code] und [/code)->klammer soll eckig sein posten, oder
alternativ das eingefügte logfile markieren und drücken

C:\-------\temp\Hijackthis.exe

HijackThis niemals aus einem temp. ordner ausführen, das programm so anlegen C:\Programme\HijackThis\HijackThis.exe dann klappt es auch mit dem backup

welches programm sagt dir, das du oben geposteten worm am rechner hast, den ein antivirenprogi ist nicht aktiv, also kann es nur das
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/i...566/mcfscan.cab
gewesen sein, ein onlinescan mit mcafee, oder ?

hast du auch wirklich alles richtig gemacht, es sieht so einfach aus, der fehler kann aber im detail liegen, wie ->

Platform: Windows XP XXX (WinNT X.XX.XXXX)
MSIE: Internet Explorer v6.00 XXX (X.XX.XXXX.XXXX)
windows-update durchführen, entweder direkt von hier, oder cd bestellen bei Microsoft oder einer heft-cd

so, sollte man nicht ins netz.

Windows XP richtig neuaufsetzen (bebilderte Anleitung) • INCOSEC

[Mordan]

ok kurz zur erklärung.. ja das ich den wurm hab sagt mir sowohl mcafee als auch www3.ca.com..

ie hatte ich in dem fall nur an weil der mcafee scanner nur mit ie funktioniert..

benutze sonst firefox.

auf den virus bin ich aufmerksam geworden aufgrund der tatsachen das:

1. mein internet extrem langsam war

2. ich diverse .exe dateien nicht mehr ausführen konnte..(worunter auch antivir gehört)

[Speedy]

hi, da du ja gerade formatiert hast, würde ich dir eine wiederholung vorschlagen, noch sind nicht allzuviele daten am rechner.

wenn du bei winxp ntfs formatiert hast, dann zuerst auf fat32 formatieren, danach wieder ntfs und erst dann das system komplett neu installieren.
hattest du fat32, dann eben nur auf ntfs formatieren.

neben nicos anleitung, stell ich dir hier meine anleitung herein, sollte zwar einmal überarbeitet werden, aber denke das es reicht.

------------------------------------
kompromittierung J.Malte und wikipedia

überprüfe deine persönlichen daten auf malwarebefall und sichere sie auf einem wechselmedium.
besorge dir alle für dein system benötigte treiber in der aktuellen version.
für windows xp sollte das sp2 bereitliegen.
eine antivirensoftware mit aktueller virenerkennungsdatei und eine firewall sollten jedenfalls auch auf einem wechselmedium vorbereitet sein.
ein alternativer browser (mozilla firefox) und mailprogramm (mozilla thunderbird) oder das Komplett-Paket (Mozilla Suite) kann vorbereitet werden,
vorteil: man kann die sicherheitseinstellungen vor der ersten internetverbindung überprüfen und korrigieren.
windows-dienste sicher konfigurieren und spybot s&d sollten hier auch nicht fehlen.
(links zu den genannten programmen findest du hier auf meiner HP Security-Tools)

der rechner soll vom internet getrennt sein !!
überlege dir, welche passwörter du verwenden möchtest.
anleitung zur (neu)Installation von windows-xp
setze nach erfolgreicher installation von winxp sofort windows sp2 auf.
ein benutzerkonto ohne administratoren-rechte anlegen ( mit diesem wird gesurft)
internetexplorer --> einstellungen unter extras -> internetoptionen -> sicherheit-> stufe anpassen auf hoch stellen gegebenenfalls kontrollieren, auf automatisch sollte nichts stehen.
outlook (express) unter extras -> optionen -> sicherheit -> nur text aktivieren
installiere nun dein antivirenprogramm
installiere nun deine personalfirewall (vorher muss allerdings die firewall von winxpsp2 deaktiviert werden)
installiere nun deinen browser und dein emailprogramm
antivrienprogramm, firewall, browser und mailprogramm konfigurieren
so, nun kannst du die verbindung zum internet herstellen, zuerst ein update deiner antiviren-software durchführen, dann windows-update.
überprüfe nun deine einstellungen des browsers und des mailprogramms über heise.de
bevor du nun deine persönlichen daten vom wechselmedium wieder auf die festplatte zurückspielst, die dateien mit deinem antivirenprogramm überprüfen, ob wirklich keine malware vorhanden ist.
nun kannst du deine benötigte software installieren. und in zukunft, programme nur vom hersteller oder aus sicherer quelle (z.b. von pc-magazinen)
verwenden, kein filesharing betreiben, keine dubiosen internetseiten besuchen und keine mailanhänge ohne vorherige ankündigung öffnen. windows-betriebssystem,-programme und die restliche sicherheitssoftware immer am aktuellen stand halten, wöchentlich auf mögliche update überprüfen.

------------------------
Sicherheitskonzept überdenken

grundsätzlich solltest du dein sicherheitskonzept überdenken.
um deine einstellungen des browsers zu überprüfen, kannst du hier bei Heise
oder beim land Niedersachsen einen browser-onlinecheck durchführen.
weiters wird empfohlen, die microsoft java virtualmachine gegen Java von Sun auszutauschen.
dann sollte noch der schutz im laufenden betrieb durch das tool Browser Hijack Blaster und
unseriöse seiten in die zone der eingeschränkten seiten mit dem script IE SPYADS
aufgenommen werden. ( Info unter trojaner-info.de)
wichtig: regelmäßig windows-update durchführen (jeden 2. mittwoch im monat)

ebenso solltest du die sicherheitseinstellungen von outlook(express) überprüfen, gegenbenfalls die voreinstellungen ändern.
diesen check kannst du auch bei Heise durchführen.
verwende eventuell andere browser und mailprogramme z.b. mozilla/firefox/thunderbird