win32.spybot.worm |
|
---|---|
16.02.2005, 18:56
...neu hier
Beiträge: 2 |
|
|
|
16.02.2005, 21:51
Member
Beiträge: 239 |
#2
Bei dem Befall solltest du über eine Neuinstallation nachdenken und
das Sicherheitsupdate SP2 laden. http://www.hijackthis.de/ hier kannst du deine Logfile noch selber einsehen. Rolfs |
|
|
16.02.2005, 22:02
Member
Beiträge: 1132 |
#3
Zitat war so "clever" mich mit dem IE im Internet zu bewegendas ist nicht Dein Problem! Sondern viel mehr Zitat Platform: Windows XP (WinNT 5.01.2600)Dein System ist völlig ungepatcht! Sozusagen jungfräulich von der CD! Solange Du nicht den SP2 aufspielst, die aktuellen Sicherheitsupdates machst und den IE updatest macht es wenig Sinn, Dein System zu reinigen, weil Du bei jedem Internet-Gang den Rechner wieder neu infizierst. Setze das System neu auf und befolge die Sicherheitsratschläge, die dazu hier im Forum gegeben werden. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
17.02.2005, 00:28
...neu hier
Themenstarter Beiträge: 2 |
#4
Hi Heron,
win ist mit sp1 und allen anderen patches ausgestattet das SP2 mag zwar einige Lücken schließen, reißt aber andere auf. Bin ohne das SP2 bisher besser gefahren. Hab jetzt eigentlich fast alles bereinigt bekommen... ...nur ein einziges Prob hab ich noch: irgendwie setzt er nach dem Neustart wieder Cookies, die ich vor dem Neustart gelöscht hatte?!? eine Ahnung woher die stammen können? ansonsten ist das System wieder clean PS.: normalerweise bin ich auch mit firefox unterwegs |
|
|
17.02.2005, 07:59
Member
Beiträge: 1132 |
#5
Hallo skyvalentine,
Zitat win ist mit sp1 und allen anderen patches ausgestattetDavon ist aber im HJT Log nichts zu sehen! Das Problem mit den Cookies kannst Du vielleicht dadurch lösen, dass Du die Systemwiederherstellung deaktivierst, die Cookies löschst und den Rechner bootest. Dann Systemwiederherstellung wieder aktivieren. Frage: wie hast Du Deinen Rechner bei der Verseuchung wieder "clean" bekommen und woher weißt Du dass er "clean" ist? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 17.02.2005 um 08:04 Uhr von Heron editiert.
|
|
|
17.02.2005, 10:51
Member
Beiträge: 239 |
#6
Zitat Bin ohne das SP2 bisher besser gefahrenMit dem SP2 wäre dein System nicht so stark kompromitiert wie jetzt. Rolfs |
|
|
18.02.2005, 10:03
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@skyvalentine
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. #Gehe auf diese Seite: http://www.lavasofthelp.com/submit/ registriere dich und kopiere in das Fenster "Submission File": nacheinander alle diese Dateien: C:\WINDOWS\System32\ffservice.exe C:\WINDOWS\System32\msconfg.exe C:\WINDOWS\System32\Winregs326.exe C:\WINDOWS\System32\systime.exe C:\Programme\SurfSideKick 2\Ssk.exe #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\System32\ffservice.exe O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe -->Win32.Rbot.H O4 - HKLM\..\Run: [Registry Checkup System326 Monitor] Winregs326.exe O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe O4 - HKLM\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe O4 - HKLM\..\RunServices: [Registry Checkup System326 Monitor] Winregs326.exe O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\System32\ffservice.exe O4 - HKCU\..\Run: [Registry Checkup System326 Monitor] Winregs326.exe O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe O15 - Trusted Zone: http://*.windowsupdate.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.windupdates.com (HKLM) PC neustarten 1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. 2. Schließe den InternetExplorer. 3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'. --------------------------------------------------------------------------------------------------------- [version] signature="$CHICAGO$" [DefaultInstall] DelReg=DelTemps AddReg=AddTemps [DelTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ; Recreate the keys to avoid a restart [AddTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ----------------------------------------------------------------------------------------- KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" -->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process". C:\WINDOWS\System32\ffservice.exe C:\WINDOWS\System32\msconfg.exe C:\WINDOWS\System32\Winregs326.exe C:\WINDOWS\System32\systime.exe C:\Programme\SurfSideKick 2\Ssk.exe PC neustarten Loesche den Ordner: C:\Programme\SurfSideKick 2 #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp #BitDefender Scan www.bitdefender.com/scan/Msie/index.php #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml #Online-Scann http://housecall.trendmicro.com/ eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> loesche dann alle "infected"-Dateien mit der Killbox oder manuell #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen- #RegCleaner (Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung) http://www.chip.de/downloads/c_downloads_8830516.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein Microsoft Windows ntdll.dll buffer overflow vulnerability (WebDav vulnerability) (TCP port 80) http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=7287 http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP ports 135, 445, 1025) http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=25454 http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx (supersedes original bulletin MS03-026) Microsoft Windows RPCSS malformed DCOM message buffer overflow vulnerabilities (TCP port 135) http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=25975 http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP port 1433) http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=5705 http://support.microsoft.com/default.aspx?scid=kb;en-us;Q321081 Note: The worm tries the same password list as that used for spreading through shares, including a blank password. The SQL server accounts it attempts to log in to are "sa", "root" and "admin". Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen http://www.firewallleaktester.com/wwdc.htm Erstmalige Nutzer sollten damit Anfangen Ihre Windows File Sharing- und häufig genutzten Schnittstellen auf Schwachstellen zu prüfen. Nutzen Sie dazu die folgenden Buttons: http://www.grc.com/x/ne.dll?rh1dkyd2 + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.02.2005 um 10:16 Uhr von Sabina editiert.
|
|
|
war so "clever" mich mit dem IE im Internet zu bewegen. Dummerweise wurde dabei ein Popup zur Seite http://213.159.117.134/index.php geöffnet. Dort hab ich mir den oben genannten Wurm und ein paar andere Trojaner und Viren eingehandelt. Also total verseucht. Nun mit Hilfe von Norton konnte ich alle bis auf den Spybot löschen. Die infizierte Datei (win32ttb.exe) konnte ich mit Hilfe von Hijack löschen. Ich kann die durch den Spybot in der Regedit eingestellten Einträge nicht löschen, da sie immer wieder neu erscheinen. Ebenso ist die Startseite des IE in der Regedit nicht zu löschen - setzt sich immer wieder auf die oben genannte Adresse - und will mir immer wieder das Virenpaket andrehen...
Bitte helft mir weiter, was ich noch tun kann um mein System wieder flott zu bekommen.
Logfile of HijackThis v1.99.1
Scan saved at 18:40:23, on 16.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Dell AIO Printer A920\dlbkbmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\Winregs326.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\??oolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\cisvc.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\soul\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\System32\ffservice.exe
O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Registry Checkup System326 Monitor] Winregs326.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Registry Checkup System326 Monitor] Winregs326.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\System32\ffservice.exe
O4 - HKCU\..\Run: [Registry Checkup System326 Monitor] Winregs326.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe
O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O15 - Trusted Zone: http://*.windowsupdate.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.windupdates.com (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103551965781
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{36089805-9AE7-414A-8E35-0CEEC928036D}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC3BD905-D68A-4892-8E2C-E2FABFBF41EC}: NameServer = 192.169.212.213
O17 - HKLM\System\CS1\Services\Tcpip\..\{36089805-9AE7-414A-8E35-0CEEC928036D}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: Bluetooth Service (by the way) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe