Can't ged rid of Koobface.k

[chrissibaby]

Hi virus fighters,
yesterday my Win XP machine was infected. AVG alerts, that it is koobface.k, which generates .exe files in different directories. A scan does not find anything, so does not Spybot, MBAM only finds the generated exes.
I used avz and hijackthis to analize the system and added the log files. Is anyone able to help?
Many many thanks!!!
Kind regards,
hris

[Aleksandra]

1. Please, disable System Restore and antivirus (if you have).
2. Execute the script in AVZ:

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
 DelBHO('{B3ADDB7B-3DF5-4672-82DD-775FFF180134}');
 DelBHO('{3E5EEB2C-A8BC-4E99-B84A-A25439A9C5B9}');
 QuarantineFile('C:\WINDOWS\system32\vturo.dll','');
 DeleteFile('C:\WINDOWS\system32\vturo.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

After restart upload file C:\quarantine.zip, by link http://virusinfo.info/upload_virus.php?tid=59110

3. Fix in HijackThis:

O20 - Winlogon Notify: rqrsqnm - C:\WINDOWS\

4. Attach a new virusinfo_syscheck.zip.

[chrissibaby]

Aleksandra, what a great work! Seems there is no virus terror anymore.

Thank you so much! Will you marry me?

Kind regards,
Chris

[Aleksandra]

1. Start/Run..., type or copy & paste

Код:

edit %systemroot%\system32\drivers\etc\hosts

Clean hosts - file: remove all the strings after 127.0.0.1 localhost

2. Execute the script in AVZ:

Код:

begin
SetServiceStart('Schedule', 4);
DeleteFileMask('C:\WINDOWS\Tasks', 'At*.job', false);
end.

3. Attach a new virusinfo_syscheck.zip.

[Rene-gad]

@chrissibaby

Код:

edit %systemroot%\system32\drivers\etc\hosts

Clean hosts - file: remove all the strings after 127.0.0.1 localhost

Da Du zu viele unnötigen Einträge zu entfernen hast, einfacher wäre's:
Start/Ausführen...

notepad %systemroot%\system32\drivers\etc\hosts

Strg+A um alles zu markieren, Entf- um alles zu entfernen.
Den Code:

Код:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost
127.0.0.1       localhost

kopieren und in die Datei einfügen, Datei speichern. Beachte bitte, dass die Datei keine Erweiterung bekommt, ggf. umbenennen in hosts
Fertig ist die Sache

[chrissibaby]

@ Aleksandra:

Followed your advice and everything appears very clean now. Thank you very much!

Kind regrads,
Chris

@ Rene-gad:

Danke fьr den Hinweis! Es war sogar noch eine Kopie der ursprьnglichen hosts-Datei vorhanden, die ich nur umbenennen musste. Netter Wurm, der sogar noch Backups anlegt.

Ihr macht wirklich einen tollen Job, Respekt! Was ich vorher alles fьr Tools ausprobiert habe, und wieviel Zeit ich verplempert habe, ohne etwas zu erreichen.

Noch eine kurze Frage:
Ich habe den betroffenen Rechner an einem Windows Homeserver dranhдngen. Kцnnen eigentlich Schдdlinge auch eigenstдndig auf den Server rьberspringen? Also mьssste ich den Server nochmal speziell absichern?

Nochmal vielen Dank, und viele GrьЯe,
Chris

[Rene-gad]

Netter Wurm, der sogar noch Backups anlegt.

Wenn Du hosts-Datei durch die s.g. Immunisierung im Spybot S&D oder einem anderen Tool dieser Art vorgenommen hast, wurde möglicherweise auch ein Backup angelegt; die Verunstaltung der hosts-Datei in Deinem Fall geschah keinesfalls malwareseitig

Kцnnen eigentlich Schдdlinge auch eigenstдndig auf den Server rьberspringen?

So wie die Hasen - kaum . Beim Verdacht: bitte Logs vom Server (oder einem anderen PC) unbedingt in einem neuen Thread anhängen.

Also mьssste ich den Server nochmal speziell absichern?

Was heißt speziell? Service Pack + All Updates + vernünftige Firewall (HW-Firewall wäre die beste Lösung gewesen) + hier lesen: http://faq.underflow.de/#SECTION000110000000000000000

BTW: Aleksandra spricht auch Deutsch

[chrissibaby]

Nach der gestrigen Reinigungsaktion erschien alles wunderbar, aber ...

Wenn ich die permante Ьberwachung durch AVG abschalte, werden direkt wieder neue .exe-Files angelegt. AVG meint, dass dies koobface-Dinger wдren - aber stimmt das wohl?

Kasp. Virus Removal Tool bezeichnet diese exen als "Trojan Downloader".

MBAM hat heute "Trojan Vundo" gefunden und auch entfernt, genьtzt hat es aber nichts. Die exen werden weiter produziert.

AVZ4 kann ich nicht mehr aufrufen, weil AVG die avz.exe als "SHeur2.BPQO" ablehnt. Bei abgeschalteter permaneter Ьberwachung durch AVG kann ich das Verzeichnis mit der avz.exe zwar ohne Virusalarm цffnen, aber beim Doppelklick wird mir gesagt, dass ich nicht die nцtigen Rechte zum Ausfьhren habe.

Wenn ich also AVG laufen habe, passiert nichts - aber es ist ja trotzdem eine Infektion im System - kein gutes Gefьhl!

Hat noch jemand eine Idee? Oder ist da jegliche Mьhe vergebens, und ich sollte lieber das System neu aufsetzen?

Viele GrьЯe,
Chris

[Rene-gad]

Hat noch jemand eine Idee?

Du kannst noch versuchen, den PC von einem Live CD-Antivirus scannen. Solche gibt es zum Downoaden z.B. bei Avira oder Dr. Web.
Lade mal noch kiss_me.pif herunter, es ist eine polymorphe AVZ-Version, vllt. klappt es mit den Logs.
Diese Version bedarf kein DB-Updates!!!