wie entfernt man w32.spybot.worm?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
30.03.2005, 11:46
...neu hier
Beiträge: 5 |
#181
ich verspreche mir davon das sie mir weiter hilft zumal das noch nicht mal mein pc ist dessen Log ich gepostet habe ich versuche auch nur zu helfen da ich aber nicht weiter weiss frage ich die jenigen die hier sehr gut mithelfen und das ist sabina das es eine frau ist ist mir egal hab nur in den posts gelesen das sie vielen geholfen hat, das reicht mir um sie um hilfe zu bitten.
|
|
|
||
30.03.2005, 16:10
...neu hier
Beiträge: 2 |
#182
Zitat Sabina postete Habe jetzt den Scan durchgeführt, folgendes Resultat: Wed Mar 30 10:56:14 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken. Wed Mar 30 10:56:14 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. Wed Mar 30 10:56:14 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken. Wed Mar 30 10:56:14 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. Wed Mar 30 11:24:18 2005 => File C:\Programme\Norton AntiVirus\Quarantine\02CA442B infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Wed Mar 30 11:24:18 2005 => File C:\Programme\Norton AntiVirus\Quarantine\20774F82 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Wed Mar 30 11:24:18 2005 => File C:\Programme\Norton AntiVirus\Quarantine\23C93500 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Wed Mar 30 11:24:19 2005 => File C:\Programme\Norton AntiVirus\Quarantine\24457078 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Wed Mar 30 11:24:19 2005 => File C:\Programme\Norton AntiVirus\Quarantine\28E8523A infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Wed Mar 30 11:24:19 2005 => File C:\Programme\Norton AntiVirus\Quarantine\305A23DB infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Wed Mar 30 11:24:20 2005 => File C:\Programme\Norton AntiVirus\Quarantine\37F51884 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Wed Mar 30 11:24:20 2005 => File C:\Programme\Norton AntiVirus\Quarantine\3E59437C infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Wed Mar 30 11:24:20 2005 => File C:\Programme\Norton AntiVirus\Quarantine\43EF1956 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Wed Mar 30 11:24:21 2005 => File C:\Programme\Norton AntiVirus\Quarantine\5C35349F infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Wed Mar 30 14:54:49 2005 => Total Objects Scanned: 189426 Wed Mar 30 14:54:49 2005 => Total Virus(es) Found: 22 Wed Mar 30 14:54:49 2005 => Total Disinfected Files: 0 Wed Mar 30 14:54:49 2005 => Total Files Renamed: 0 Wed Mar 30 14:54:49 2005 => Total Deleted Objects: 0 Wed Mar 30 14:54:49 2005 => Total Errors: 12 Wed Mar 30 14:54:49 2005 => Time Elapsed: 03:57:26 Wed Mar 30 14:54:49 2005 => Virus Database Date: 2005/03/28 Wed Mar 30 14:54:49 2005 => Virus Database Count: 123733 Wed Mar 30 14:54:49 2005 => Scan Completed. ... was hat es eigentlich mit der svchost.exe auf sich? Die hat auf dem infizierten Rechner nach einiger Zeit eine CPU-Auslastung von 100% P.S.: Sabina... ich bin sozusagen der Admin :-) Ist nur ein kleines Netzwerk bzw. Firma. Dieser Beitrag wurde am 30.03.2005 um 16:12 Uhr von BassKillaz editiert.
|
|
|
||
31.03.2005, 11:24
Ehrenmitglied
Beiträge: 29434 |
#183
Hallo@BassKillaz
Wie es aussieht, hat der Norton AntiVirus den Backdoor in Quarantaene genommen. Wobei ich aber nicht weiss, ob die Verbindung, die der Backdoor hergestellt hat, noch aktiv ist. Im Log ist nichts zu sehen und der escan hat auch nichts gefunden. Nun bleibt nur noch, Onlinescanns durchzufuehren. (wenn du auf meiner Site nach unten scrollst, findest du Onlinescanns) http://virus-protect.org/ Ich poste dir noch zwei DOS -Scanner (scanne im Normalmodus + im abgesicherten Modus) •Aktuelle Version der Shareware von F-PROT (DOS) Lade von dieser Seite: http://www.f-prot.com/products/corporate_users/dos/ Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt. <Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS http://www.kaspersky.com/de/removaltools?vtopen=146410248#open [color=blue]RKDetectorv0.62.zip[/color] http://bilder.informationsarchiv.net/Nikitas_Tools/RKDetectorv0.62.zip Du musst bei dem Fenster den QuickEditmode eingeschaltet haben. Oben links auf das Symbol des Fensters klicken > Eigenschaften > QuickEdit Mode und InsertMode aktivieren (habe es nur auf einglisch). Nun solltest Du mit der Maus alles markieren können. Einmal auf die Eingabetaste drücken und schon hast Du alles im Zwischenspeicher und kannst es mit Strg+v im Forum posten. Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen Link : WWDC.exe Size : 50 KB http://www.firewallleaktester.com/wwdc.htm •TCPview (Systemprozesse, laufende) finden http://www.sysinternals.com/ntw2k/source/tcpview.shtml #Prozess-Explorer http://www.sysinternals.com/ntw2k/freeware/procexp.shtml (hier kannst du sehen, was die hohe Auslastung hervorruft) DiamondCS Port Explorer v2.000 http://www.diamondcs.com.au/portexplorer/ •PsService v1.1 - local and remote services viewer/controller Copyright (C) 2001-2003 Mark Russinovich Sysinternals - www.sysinternals.com ---------------------------------------------------------------------------------- dann berichte, ob das Problem geloest ist. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.03.2005, 11:43
Ehrenmitglied
Beiträge: 29434 |
#184
Hallo@kmaro
Cidre hat mit Recht darauf verwiesen, dass dieser PC neu formatiert werden muss. Er ist voellig durchseucht, mit viren , Wuermern und Backdoors. Sie haben praktisch die Kontrolle ueber den PC uebernommen. Was tun bei Kompromittierung des Systems? http://oschad.de/wiki/index.php/Kompromittierung http://virus-protect.org/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O4 - HKLM\..\Run: [USB Hardware326 Monitoring] USBhardware326.exe O4 - HKLM\..\Run: [IExplorer32c Java Scripting] IExplore32cb.exe O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] explorex32.exe O4 - HKLM\..\Run: [Windows Compliant] hgebgr.exe O4 - HKLM\..\Run: [IExplorer6 Java Scripting] IExplore326.exe O4 - HKLM\..\Run: [Mcafee Antivirus Monitoring System32mn] VSStatmn32.exe O4 - HKLM\..\Run: [Bin Personal Firewall] binetc.exe O4 - HKLM\..\Run: [6ufFD] C:\WINDOWS\royoak.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\RunServices: [USB Hardware326 Monitoring] USBhardware326.exe O4 - HKLM\..\RunServices: [IExplorer32c Java Scripting] IExplore32cb.exe O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] explorex32.exe O4 - HKLM\..\RunServices: [Windows Compliant] hgebgr.exe O4 - HKLM\..\RunServices: [IExplorer6 Java Scripting] IExplore326.exe O4 - HKLM\..\RunServices: [Mcafee Antivirus Monitoring System32mn] VSStatmn32.exe O4 - HKLM\..\RunServices: [Bin Personal Firewall] binetc.exe O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] explorex32.exe O4 - HKCU\..\Run: [IExplorer32c Java Scripting] IExplore32cb.exe O4 - HKCU\..\Run: [Mcafee Antivirus Monitoring System32mn] VSStatmn32.exe O4 - HKCU\..\Run: [USB Hardware326 Monitoring] USBhardware326.exe O4 - HKCU\..\Run: [Bin Personal Firewall] binetc.exe O4 - HKCU\..\Run: [Windows Compliant] hgebgr.exe O4 - HKCU\..\Run: [IExplorer6 Java Scripting] IExplore326.exe O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab C:\WINDOWS\System32\explorex32.exe C:\WINDOWS\royoak.exe C:\WINDOWS\System32\USBhardware326.exe C:\WINDOWS\System32\IExplore326.exe C:\WINDOWS\System32\hgebgr.exe C:\WINDOWS\System32\binetc.exe C:\WINDOWS\System32\VSStatmn32.exe C:\Programme\ISTsvc\istsvc.exe alle diese sichtbaren Datein haben noch datein, die im Log nicht sichtbar sind und selbst, wenn man alles finden und loeschen sollte, bleibt der PC kompromitiert, weil die Backdoors+ deren "Besitzer" ja Zugang zum PC haben und Veraenderungen vornehmen koennen, wie ports oeffnen usw. Du wirst also um eine Neuformation nicht drumrumkommen . __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.03.2005, 23:15
...neu hier
Beiträge: 5 |
#185
danke hab das ganze mal neu versuch und jetzt hat das formatieren irgendwie doch geklappt danke sabina und auch an dich cidre!
|
|
|
||