W32.Spybot.Worm

#0
19.09.2004, 20:40
...neu hier

Beiträge: 1
#1 Im vornherein eine dicke Entschuldigung falls ich die Lösung für mein Problem durch die "Suchfunktion" doch hätte finden müssen.
Immerhin habe ich mich soweit durchgearbeitet, dass ich glaube zu wissen was man für die Lösung benötigt. Von HiJackThis hatte ich z.B. noch nie etwas gehört.

Problem ist der W32.Spybot.Worm den ich anscheinend auf meinem Rechner habe. NortonAV zeigt ihn mir an und löscht auch fleißig allerdings ohne Ergebnis (und auch ohne Ende, ich weiß gar nicht wo die ganzen .tmp Dateine alle herkommen) bei drücken auf OK.
Irgendein Prozess namens bdss.exe zieht auf dem Rechner die Gesamte Kapazität. Hängt das zusammen mit dem Wurm.

Auf der Seite von Symantec habe ich deren Anweisungen zur Beseitigung des Wurms befolgt, allerdings ohne Ergebnis.

Anscheinend aber hilft Euch dieser HiJackThis Log File weiter, demnach hier meiner:


Logfile of HijackThis v1.98.2
Scan saved at 20:25:36, on 19.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BullGuard\BullGuard Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BullGuard\BullGuard Scan Server\bdss.exe
C:\Programme\BullGuard\vsserv.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\P2P Networking\P2P Networking.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\Programme\BullGuard\bdmcon.exe
C:\Programme\BullGuard\bgnewsag.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\WINNT\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Stephan Schwerdt\Eigene Dateien\downloads\Hijackthis (gegen spybot worm etc.)\HijackThis.exe
C:\WINNT\System32\sol.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.t-online.de/BTO/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [BDMCon] C:\Programme\BullGuard\\bdmcon.exe
O4 - HKLM\..\Run: [BGNewsAgent] C:\Programme\BullGuard\bgnewsag.exe
O4 - HKLM\..\Run: [WindowsRegKey update] WINUPDATE.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [WindowsRegKey update] WINUPDATE.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [WindowsRegKey update] WINUPDATE.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/16fc615c413812954203/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{05BA37EB-92DC-44AB-913E-5B3B92E79E68}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{05BA37EB-92DC-44AB-913E-5B3B92E79E68}: NameServer = 217.237.149.161 217.237.151.225


Ich hoffe, dass diese Hieroglyphen (und für mich sind sie mehr als das !! ;-)) jemanden von Euch weiterhelfen.
Wenn Ihr noch weiter Infos braucht, bitte sagen, damit ich endlich endlich diese Tierchen von meiner Festplatte gefegt weiß.

Merci beaucoup
Seitenanfang Seitenende
20.09.2004, 11:04
Member

Beiträge: 48
#2 Zunächst mal hast du gleichzeitig 2 Virenscanner mit Hintergrundwächter im Einsatz, das ist nicht nur unsinnig, sondern bringt nicht selten Probleme mit sich, nicht zuletzt die Reduzierung der Performance deines Rechners, weil sich die beiden ständig in die Quere kommen und dieselben Dateien scannen.

Dann solltest du deine Surfgewohnheiten überdenken, denn du hast dir eine ganze Menge unschöner Sacher installiert, Lektüre dazu:

http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://faq.underflow.de/#SECTION000120000000000000000

Der Spybot ermöglicht Angreifern von Außen Zugriff auf dein System und Manipulation desselben, wenn dies eintritt, ist es kompromittiert:

http://oschad.de/wiki/index.php/Kompromittierung

Da nicht nachzuvollziehen ist, was genau geschehen ist und evtl. verändert wurde, wäre eine Neuinstallation die einzige Möglichkeit, einen definitiv sicheren Zustand wiederherzustellen.
Wenn du das nicht willst/kannst:


E-Scan herunterladen und updaten:

http://www.trojaner-info.de/hijacker/escan.shtml


Überprüfe diese Datei:

C:\WINNT\System32\sol.exe

hier: http://virusscan.jotti.dhs.org/

Dürfte Teil eines Wurms sein, falls nicht, den entsprechenden Eintrag unten weglassen.



Mit dem Taskmanager diese Prozesse beenden:

C:\WINNT\system32\P2P Networking\P2P Networking.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINNT\System32\sol.exe


Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken), davor, dabei und danach nicht ins Netz und keinen IE öffnen!:

C:\WINNT\system32\P2P Networking\P2P Networking.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINNT\System32\sol.exe
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [WindowsRegKey update] WINUPDATE.EXE
O4 - HKLM\..\RunServices: [WindowsRegKey update] WINUPDATE.EXE
O4 - HKCU\..\Run: [WindowsRegKey update] WINUPDATE.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Boote in den abgesicherten Modus:

http://www.bsi.bund.de/av/texte/winsave.htm

lösche die in den Einträgen genannten Dateien (exe + dll) lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: