Hilfe! Problem Mit W32 Randex.gen

#0
21.08.2004, 14:21
...neu hier

Beiträge: 7
#1 Hi
ich hab ein prob. mit w32. ICh hab schon einige virescanns gemacht aber er ist immer noch drauf??? Es handelt sich um den W32 Randex.gen.
Der virenscanner sag er sei in der msconfig___????

Brauch dringend HILFE!!!

THX
Bassi
Seitenanfang Seitenende
21.08.2004, 14:25
Member

Beiträge: 441
#2 Hallo,

erstelle ein Log-File mit HiJackThis und poste es hier rein.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
21.08.2004, 14:31
...neu hier

Themenstarter

Beiträge: 7
#3 Logfile of HijackThis v1.98.2
Scan saved at 14:31:06, on 21.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\msconfg.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\Messenger\msmsgs.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\Programme\Norton Personal Firewall\ccPxySvc.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Norton AntiVirus\SAVScan.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\PROGRA~1\ICQLite\ICQLite.exe
D:\WINDOWS\explorer.exe
D:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
D:\hijackthis1982\HijackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035177123
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FF745D9-998B-4BD4-B846-087D0A849F05}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{7FF745D9-998B-4BD4-B846-087D0A849F05}: NameServer = 217.237.150.33 194.25.2.129
Seitenanfang Seitenende
21.08.2004, 14:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 @BaSsI

Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

fixe mit dem HijackThis...hake an, was ich poste und <fix<;)dann sofort neustarten)
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe

fixe auch das, damit es aus dem Autostart kommt
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize

neustarten

#Lade den Stinger
http://vil.nai.com/vil/stinger/

##Lade eScan (entpacke in C:\ base )
http://www.mwti.net/antivirus/free_utilities.asp

Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
....................................................................................................................
#Gehe in den abgesicherten Modus..WICHTIG (!)
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
#dann scanne mit deinem AntivirenTool-Symantec auch im abgesicherten Modus.

normal neustarten

#Poste das Log noch mal.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.08.2004 um 14:58 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.08.2004, 16:53
...neu hier

Themenstarter

Beiträge: 7
#5 bis jezt hat alles geklappt aber ich finde keine "kavupd.exe" ??
Seitenanfang Seitenende
21.08.2004, 17:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Auch nicht mit der Suchfunktion von Windows ?
Sabina ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2004, 17:06
...neu hier

Themenstarter

Beiträge: 7
#7 Nein ich gehe auch start>>>Suchen>>>dan auf dateien und ordner>>> dan gebe ich kavupd.exe ein und es kommt nichts !!!!
Seitenanfang Seitenende
21.08.2004, 17:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 findest du eine mwav.exe ?

Du hast doch hoffentlich vorher den Scanner geladen ?????????(eScan)
http://www.mwti.net/antivirus/free_utilities.asp

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.08.2004 um 17:16 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.08.2004, 17:17
...neu hier

Themenstarter

Beiträge: 7
#9 Also ich finde die zwei hier

MWAVE.EXE-02A9AAFD.pf
MWAVE.EXE-053A58E5.pf

und wenn ich upd.exe eingebe kommt
eine hsupd.exe
Dieser Beitrag wurde am 21.08.2004 um 17:21 Uhr von BaSsI editiert.
Seitenanfang Seitenende
21.08.2004, 17:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 MWAVE.EXE-02A9AAFD.pf
MWAVE.EXE-053A58E5.pf
wenn du das anklickst...was passiert ?


Wenn du das Tool laedst, muesste es auf dem Desktop oder in den Download-Dateien zu finden sein., je nachdem, wohin deine Downloads abgespeichert werden.
...............................................................................................................
http://www.mwti.net/antivirus/free_utilities.asp
Mit Hilfe von Winzip, Winrar !!!!!!oder vergleichbar muss der Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpackt und dort dann die Datei kavupd.exe ausgeführt werden. In einer DOS-Box laufend werden die neusten Virensignaturen heruntergeladen. Dann kann mit msavscan.com gescannt werden. So braucht man eScan nicht bei jedem Update komplett herunterladen.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.08.2004 um 17:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.08.2004, 17:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 manuelle Entfernung:Win32.Rbot is an IRC controlled backdoor

Registry
Start<Ausfuehren<regedit
Loesche auf der rechten Seite:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update = "msconfg.exe".
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update = "msconfg.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update = "msconfg.exe"

neustarten

loesche:
#mutex, 'rx01' l
#msconfg.exe

Firewall laden (falls du keinen hast)
http://smb.sygate.com/products/spf_standard.htm
.........................................................................................................
WindowsUpdates machen um folgende Loecher zu "stopfen"(Patches)

Microsoft Windows ntdll.dll buffer overflow vulnerability (WebDav vulnerability) (TCP port 80)
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=7287
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx

Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP ports 135, 445, 1025)
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=25454
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx (supersedes original bulletin MS03-026)

Microsoft Windows RPCSS malformed DCOM message buffer overflow vulnerabilities (TCP port 135)
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=25975
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP port 1433)
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=5705
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q321081
Note: The worm tries the same password list as that used for spreading through shares, including a blank password. The SQL server accounts it attempts to log in to are "sa", "root" and "admin".
.............................................................................................................................
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.08.2004 um 17:57 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.08.2004, 17:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Deaktiviere deinen Virenscanner (ist wichtig) und lade Antivirus
http://www.free-av.de/
Nach dem Installationsscann, den du in Ruhe abwarten musst, konfiguriere
unter <Options<

--all file (alle Dateien)
--Heuristic: Enable macro virus heuristic (Aktivieren Macro-Virus -Heuristic)
--Win 32 File Heuristic Detection :level :high(hoch)

Dann gehe in den abgesicherten Modus
WICHTIG (!)
http://www.bsi.de/av/texte/winsave.htm

und mache dort einen Vollscann mit dem Antivirus.

dann poste das Log noch mal.
mfg
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.08.2004, 12:23
...neu hier

Themenstarter

Beiträge: 7
#13 Logfile of HijackThis v1.98.2
Scan saved at 12:23:09, on 22.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
D:\Programme\Norton Personal Firewall\ccPxySvc.exe
D:\Programme\Norton AntiVirus\SAVScan.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\Dit.exe
D:\WINDOWS\mHotkey.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\DitExp.exe
D:\WINDOWS\system32\wpabaln.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
D:\Programme\Messenger\msmsgs.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe
D:\hijackthis1982\HijackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035177123
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FF745D9-998B-4BD4-B846-087D0A849F05}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{7FF745D9-998B-4BD4-B846-087D0A849F05}: NameServer = 217.237.150.33 194.25.2.129
Seitenanfang Seitenende
22.08.2004, 14:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 @BaSsI
es ist alles sauber ;)
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 22.08.2004 um 14:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.08.2004, 14:37
...neu hier

Themenstarter

Beiträge: 7
#15 Ja zum glück!!!

THX für Hilfe!!!!!!!!!!!!!!!!!

@bassi
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: