wie entfernt man w32.spybot.worm?

Thema ist geschlossen!
Thema ist geschlossen!
#0
22.03.2005, 10:52
...neu hier

Beiträge: 2
#151 hallo sabina,

hatte am wochenende meinen rechner formatiert,da meine festplatte mit der windows partition am abend seinen dienst eingestellt hatte,somit ein neuaufsetzen von windows notwendig geworden ist....trotzdem danke fuer deine mühe und mach weiter so....;)
Dieser Beitrag wurde am 22.03.2005 um 10:52 Uhr von exhorder editiert.
Seitenanfang Seitenende
22.03.2005, 20:10
...neu hier

Beiträge: 4
#152 hallo,
habe dasselbe problem.

hier das highjackthis-ergebnis.
vielleicht kann ja einer von euch mal schauen, was ist.
danke!

Logfile of HijackThis v1.99.1
Scan saved at 19:57:31, on 22.03.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINNT\System32\LXSUPMON.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINNT\System32\sygate.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\ntsf.exe
C:\WINNT\System32\sys.exe

C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\ArcorOnline\Arcor.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hijackthis.exe
C:\WINNT\system32\tftp.exe
C:\WINNT\system32\tftp.exe
C:\WINNT\System32\VSStatmn326.exe
C:\WINNT\system32\SystemReg166b.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] sys.exe
O4 - HKLM\..\Run: [Windows_Protect] sygate.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sys.exe
O4 - HKLM\..\RunServices: [Windows_Protect] sygate.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] sys.exe
O4 - HKCU\..\Run: [Windows_Protect] sygate.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylom.lycos.de/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3343B6E-3A13-4DD9-B2BD-37B8808A9D78}: NameServer = 195.50.140.252 145.253.2.81
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
Seitenanfang Seitenende
22.03.2005, 20:53
...neu hier

Beiträge: 6
#153 hi sabina,

habe (fast) alles nach deinen anweisungen erledigt. komme erst heute wieder an meinen privaten pc...
leider isses mir unmöglich alle zeile aus dem logfile in denen "infected" vorkommt hier reinzukopieren, das sind schlicht zuviele (3295). das tool hat auch alle viren aufgelistet, die in der "Quarantine" des norton sind. kann ich die suche etwas einschränken? äh, und was bitte ist die "Killbox" ?

mal wieder danke im voraus!!!!

grüsse
blutsvente
Seitenanfang Seitenende
23.03.2005, 00:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#154 Hallo@blutsvente

Die Quarantaene kannst du dir sparen, aber die anderen kopiere ab ;)
Die Zusammenfassung hast du leider auch nicht gepostet.(was du gepostet hast, ist nicht das Endlog)

Die Killbox poste ich dir, wenn alle "infected" hier stehen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.03.2005, 00:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#155 Hallo@katha

Nimm bitte diese Viren/Backdoorschleuder aus dem Netz und formatiere

http://virus-protect.org/
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.03.2005, 00:56
...neu hier

Beiträge: 4
#156 hallo@sabina

formatieren??
laesst sich da nix mehr retten?

gruss katha
Seitenanfang Seitenende
23.03.2005, 00:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#157 schau mal, was ich alles rot gekennzeichnet hab...sind alles Backdoors.
Der PC wird schon nicht mehr von dir gesteuert.....
Du hast keine WindowsUpdates...keinen Schutz....Windows 2000 SP2 --> es gibt schon SP4.
Selbst wenn wir den PC reinigen, ist er nicht mehr vertrauenswuerdig.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.03.2005, 01:02
...neu hier

Beiträge: 4
#158 alles klar,
dann muss ich wohl in den sauren apfel beissen :-(

danke!
Seitenanfang Seitenende
23.03.2005, 01:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#159 http://virus-protect.org/
Kleine Hilfestellung (auch wenn es mehr fuer XP ist....)aber vieles gilt auch fuer Win2000...und mach dann die Updates !!!!
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.03.2005, 15:02
...neu hier

Beiträge: 6
#160 Hallo Sabina,

wollte mich schon mal bedanken für deine Hilfe. Mit den Programmen von deinen Links konnte ich schon sehr viel machen und kann wieder richtig online gehen ohne das irgendwas blockt. Ein oder 2 Scans muss ich ja noch machen damit ich mit dem Programm (glaube mwavpd.exe o.ä. war es) das Ergebnis dann noch mal posten kann. Nur ein Programm konnte ich noch nicht richig löschen (Webrebates) hatte es im abgesicherten Modus gescannt und über die Killbox auch gelöscht, aber nach einem Neustart sind diese Dateien wieder da. Mal sehen werde heute abend dann das Ergebnis des anderen Scans posten. Heute abend bin ich dann wieder an meinem Rechner.

Gruß coolzapp
Seitenanfang Seitenende
23.03.2005, 20:26
...neu hier

Beiträge: 9
#161 hallo sabina,

wollte nur dankeschön sagen für die nette hilfe.

Gruss

kannix
Seitenanfang Seitenende
23.03.2005, 21:21
...neu hier

Beiträge: 6
#162 hi@sabina,
hier der hoffentlich vollständige scan:

Tue Mar 22 18:48:10 2005 => File C:\WINNT\system32\trmupdate.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Mar 22 18:48:12 2005 => File C:\WINNT\system32\msmq2inst.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Mar 22 18:48:26 2005 => File C:\WINNT\re11.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.^
Tue Mar 22 18:50:29 2005 => File C:\WINNT\System32\winupdates.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
Tue Mar 22 18:50:54 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\012RCL6N\p3nis2[1].exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.^
Tue Mar 22 18:50:54 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\HYNU44A0\cancelled[1].exe infected by "Tro
Tue Mar 22 18:50:54 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\HYNU44A0\cancelled[1].exe infected by "Tro
Tue Mar 22 18:50:55 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\HYNU44A0\hempy[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 18:50:55 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\HYNU44A0\hempy[2].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 18:50:56 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\I1U32LCV\hempy[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 18:50:56 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\UVERYT07\fxpd[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 18:50:56 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\UVERYT07\fxpd[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 18:50:57 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\UVERYT07\fxpd[2].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 18:53:50 2005 => File C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M11MBI90\cancelled[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 18:53:52 2005 => File C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M11MBI90\hempy[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:49:45 2005 => File C:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dc104.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:49:45 2005 => File C:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dc105.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:50:32 2005 => File C:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dc16\Quarantine\13B65F6C.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:51:22 2005 => File C:\supdate282.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:51:22 2005 => File C:\supdate582.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:51:22 2005 => File C:\supdatesp591.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.Tue Mar 22 19:51:23 2005 => File C:\supdatesp991.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 20:20:09 2005 => File C:\WINNT\Temp\tmp5F.tmp infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Mar 22 20:20:03 2005 => File C:\WINNT\system32\winupdates.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
Tue Mar 22 20:20:03 2005 => File C:\WINNT\system32\winupdates.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
Tue Mar 22 20:11:33 2005 => File C:\WINNT\re11.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 20:06:45 2005 => File D:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dd23.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
Tue Mar 22 20:04:05 2005 => File C:\WINNT\Temp\tmp5F.tmp infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Mar 22 20:03:58 2005 => File C:\WINNT\system32\winupdates.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:55:16 2005 => File C:\WINNT\re11.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:52:04 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0003676.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:52:04 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0003673.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:52:04 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0003672.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:52:02 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002644.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:52:02 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002643.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:52:02 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002640.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Tue Mar 22 19:52:02 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002640.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.


zwei dinge noch mit bitte um aufklärung:
-> habe noch nen noetbook (win2k), das macht die gleichen mucken, wenn ich über das modem "online" gehe. schliesse ich es an die dsl-leitung an der arbeit an, passiert nix. das ist doch komisch oder? hier handelt es sich doch um nen wurm der 32 bit betriebssysteme befälllt, oder nicht? unabhängig von der art des zuganges zum internet???

wie auch immer, thanxxx a loTTT
Seitenanfang Seitenende
23.03.2005, 22:37
...neu hier

Beiträge: 1
#163 Hallo Sabine! Ich bin nun neu hier und habe auch ein kleines Problem.
Habe schon ein Highjackthis Log.
Hier das Log

Logfile of HijackThis v1.99.1
Scan saved at 17:43:07, on 23.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
A:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50213
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll (file missing)
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll

O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)
O3 - Toolbar: (no name) - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - (no file)
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll

O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
O4 - HKLM\..\Run: [System CPL manager] gkqzxgy.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe
O4 - HKLM\..\Run: [wtwpoj] C:\WINDOWS\wtwpoj.exe
O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [vmss] C:\WINDOWS\System32\vmss\vmss.exe
O4 - HKLM\..\Run: [Start Uppings] mssupdate.exe
O4 - HKLM\..\Run: [NAV Auto Updates] navupdaterx.exe
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [zxgenvtw] c:\windows\system32\zxgenvtw.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Start Uppings] mssupdate.exe
O4 - HKLM\..\RunServices: [Auto CD-ROM Startup] cdaccess.exe
O4 - HKLM\..\RunServices: [System CPL manager] gkqzxgy.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] navupdaterx.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Firebird Guardian (FirebirdGuardian) - FirebirdSQL Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server (FirebirdServer) - FirebirdSQL Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


DANKE im Vorraus Micha
Dieser Beitrag wurde am 23.03.2005 um 22:39 Uhr von Michas-Ecke editiert.
Seitenanfang Seitenende
24.03.2005, 11:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#164 Hallo@blutsvente

dein Thread liegt schon lang zurueck, aber du hattest:

Logfile of HijackThis v1.99.1
Scan saved at 15:28:52, on 10.3.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

O4 - HKLM\..\Run: [Popup Blocker System32c Monitoring] PopUpBlockercd.exe
O4 - HKLM\..\Run: [winupdates] winupdates.exe
O4 - HKLM\..\Run: [Go And Start] svdll32.exe
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunServices: [Popup Blocker System32c Monitoring] PopUpBlockercd.exe
O4 - HKLM\..\RunServices: [winupdates] winupdates.exe
O4 - HKLM\..\RunServices: [Go And Start] svdll32.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Popup Blocker System32c Monitoring] PopUpBlockercd.exe
O4 - HKCU\..\Run: [Go And Start] svdll32.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe

C:\WINNT\System32\winupdates.exe
C:\WINNT\System32\Svch0st.exe
C:\WINNT\System32\svdll32.exe
C:\WINNT\System32\wuamgrd.exe
C:\WINNT\System32\PopUpBlockercd.exe
--------------------------------------------------------------------------

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\system32\trmupdate.exe
C:\WINNT\system32\msmq2inst.exe
C:\WINNT\re11.REG
C:\WINNT\System32\winupdates.exe
C:\supdate282.exe
C:\supdate582.exe
C:\supdatesp591.exe
C:\supdatesp991.exe
C:\WINNT\Temp\tmp5F.tmp
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M11MBI90\cancelled[1].exe
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M11MBI90\hempy[1].exe
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\012RCL6N\p3nis2[1].exe
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HYNU44A0\cancelled[1].exe
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HYNU44A0\hempy[1].exe
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I1U32LCV\hempy[1].exe
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVERYT07\fxpd[2].exe
C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0003676.REG
C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0003673.exe
C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0003672.exe
C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002644.exe
C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002643.REG
C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002640.exe
C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002640.exe


PC neustarten

-------------------------------------------------------------------------------------------------------------------------------------

#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"


Loeschen:

C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M11MBI90\cancelled[1].exe
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M11MBI90\hempy[1].exe
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\012RCL6N\p3nis2[1].exe
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HYNU44A0\cancelled[1].exe
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HYNU44A0\hempy[1].exe
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I1U32LCV\hempy[1].exe
C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVERYT07\fxpd[2].exe

C:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dc104.exe
C:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dc105.exe
C:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dc16\Quarantine\13B65F6C.EXE
D:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dd23.exe

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)


#Winsweep (Browser-Reinigung)--> du musst dich dann im Forum (und in anderen neu anmelden)--> merke dir also dein(e) Passwort(e)
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu
"System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen (mit dem
HijackThis oder;)
Start<Ausfuehren<msconfig<Systemstart das Heackchen vor Winsweep rausnehmen.

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

dann scanne noch mal mit escan (bis alles sauber ist)


Onlinescanns
http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://www3.ca.com/virusinfo/
http://www.bitdefender.com/scan/licence.php
http://www.commandondemand.com/eval/index.cfm
http://www.freedom.net/viruscenter/...viruscheck.html
http://info.ahnlab.com/english/
http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp

--------------------------------------------------------------

W32/RBot-A ist ein Wurm mit einer Backdoor-Komponente, der sich auf wenig geschützte Netzwerkfreigaben auf der Windows-Plattform verbreitet. Der Wurm verbreitet sich, indem er zufällige IP-Adressen nach offenen SMB-Ports (445) durchsucht und versucht, sich in den Windows-Systemordner auf den remoten Admin$- und C$-Freigaben als Datei namens wuamgrd.exe zu kopieren.
W32/RBot-A verwendet ein internes Wörterbuch häufiger Kennwörter, um Zugriff zu erlangen. Der Wurm versucht, einen Zeitplan für den Start der kopierten Datei auf dem remoten Computer zu erstellen.

W32/RBot-A verfügt außerdem über eine Backdoor-Komponente, die einem bösartig gesinnten Anwender Fernzugriff auf einen infizierten Computer ermöglicht. Wenn er ausgeführt wird, versucht der Wurm, einen remoten IRC-Server zu kontaktieren und sich mit einem bestimmten Kanal zu verbinden und dort auf Befehle zu warten.

Neben der Verbreitungs-Funktion ermöglicht W32/RBot-A dem remoten Anwender auch, einen Proxyserver einzurichten, einen HTTP-Server an einem benutzerspezifischen Port zu starten, Systemdaten zu sammeln, Freigaben und Benutzer hinzuzufügen oder zu löschen, Prozesse zu beenden, Dateien herunterzuladen und auszuführen, E-Mails zu versenden, eine Webcam remote zu steuern, in Netzwerkverkehr zu schnüffeln oder eine Denial-of-Service-Attacke gegen ein benutzerspezifisches Ziel zu starten.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.03.2005, 12:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#165 Hallo@Michas-Ecke

Dein Problem ist nicht klein, sondern ziemlich gross....nimm diese Virenschleuder bitte aus dem Netz und formatiere neu.

http://virus-protect.org/
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: