wie entfernt man w32.spybot.worm?

#181 ich verspreche mir davon das sie mir weiter hilft zumal das noch nicht mal mein pc ist dessen Log ich gepostet habe ich versuche auch nur zu helfen da ich aber nicht weiter weiss frage ich die jenigen die hier sehr gut mithelfen und das ist sabina das es eine frau ist ist mir egal hab nur in den posts gelesen das sie vielen geholfen hat, das reicht mir um sie um hilfe zu bitten.

#182

Zitat

Sabina postete
Hallo@BassKillaz

Wenn es ein Firmenrechner ist, so sollte es auch einen Netz-Administrator geben, dem du das Missgeschick berichten solltest, also nichts allein rumstellen......

Onlinescanns
http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://www3.ca.com/virusinfo/
http://www.bitdefender.com/scan/licence.php
http://www.commandondemand.com/eval/index.cfm
http://www.freedom.net/viruscenter/...viruscheck.html
http://info.ahnlab.com/english/
http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp

2. Schritt: Erkennungstoolloescht nicht, zeigt nur an)

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten

Habe jetzt den Scan durchgeführt, folgendes Resultat:

Wed Mar 30 10:56:14 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Wed Mar 30 10:56:14 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed Mar 30 10:56:14 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Wed Mar 30 10:56:14 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed Mar 30 11:24:18 2005 => File C:\Programme\Norton AntiVirus\Quarantine\02CA442B infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Mar 30 11:24:18 2005 => File C:\Programme\Norton AntiVirus\Quarantine\20774F82 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Mar 30 11:24:18 2005 => File C:\Programme\Norton AntiVirus\Quarantine\23C93500 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Mar 30 11:24:19 2005 => File C:\Programme\Norton AntiVirus\Quarantine\24457078 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Mar 30 11:24:19 2005 => File C:\Programme\Norton AntiVirus\Quarantine\28E8523A infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Mar 30 11:24:19 2005 => File C:\Programme\Norton AntiVirus\Quarantine\305A23DB infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Mar 30 11:24:20 2005 => File C:\Programme\Norton AntiVirus\Quarantine\37F51884 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Mar 30 11:24:20 2005 => File C:\Programme\Norton AntiVirus\Quarantine\3E59437C infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Mar 30 11:24:20 2005 => File C:\Programme\Norton AntiVirus\Quarantine\43EF1956 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Mar 30 11:24:21 2005 => File C:\Programme\Norton AntiVirus\Quarantine\5C35349F infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Wed Mar 30 14:54:49 2005 => Total Objects Scanned: 189426
Wed Mar 30 14:54:49 2005 => Total Virus(es) Found: 22
Wed Mar 30 14:54:49 2005 => Total Disinfected Files: 0
Wed Mar 30 14:54:49 2005 => Total Files Renamed: 0
Wed Mar 30 14:54:49 2005 => Total Deleted Objects: 0
Wed Mar 30 14:54:49 2005 => Total Errors: 12
Wed Mar 30 14:54:49 2005 => Time Elapsed: 03:57:26
Wed Mar 30 14:54:49 2005 => Virus Database Date: 2005/03/28
Wed Mar 30 14:54:49 2005 => Virus Database Count: 123733

Wed Mar 30 14:54:49 2005 => Scan Completed.

... was hat es eigentlich mit der svchost.exe auf sich? Die hat auf dem infizierten Rechner nach einiger Zeit eine CPU-Auslastung von 100%

P.S.: Sabina... ich bin sozusagen der Admin :-) Ist nur ein kleines Netzwerk bzw. Firma.

#183 Hallo@BassKillaz

Wie es aussieht, hat der Norton AntiVirus den Backdoor in Quarantaene genommen.
Wobei ich aber nicht weiss, ob die Verbindung, die der Backdoor hergestellt hat, noch aktiv ist.

Im Log ist nichts zu sehen und der escan hat auch nichts gefunden.
Nun bleibt nur noch, Onlinescanns durchzufuehren.
(wenn du auf meiner Site nach unten scrollst, findest du Onlinescanns)
http://virus-protect.org/

Ich poste dir noch zwei DOS -Scanner (scanne im Normalmodus + im abgesicherten Modus)

•Aktuelle Version der Shareware von F-PROT (DOS)
Lade von dieser Seite:
http://www.f-prot.com/products/corporate_users/dos/
Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt.

<Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open

[color=blue]RKDetectorv0.62.zip[/color]
http://bilder.informationsarchiv.net/Nikitas_Tools/RKDetectorv0.62.zip



Du musst bei dem Fenster den QuickEditmode eingeschaltet haben.
Oben links auf das Symbol des Fensters klicken > Eigenschaften > QuickEdit Mode und InsertMode aktivieren (habe es nur auf einglisch).
Nun solltest Du mit der Maus alles markieren können. Einmal auf die Eingabetaste drücken und schon hast Du alles im Zwischenspeicher und kannst es mit Strg+v im Forum posten.

Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
Link : WWDC.exe
Size : 50 KB
http://www.firewallleaktester.com/wwdc.htm

•TCPview (Systemprozesse, laufende) finden
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
#Prozess-Explorer
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
(hier kannst du sehen, was die hohe Auslastung hervorruft)

DiamondCS Port Explorer v2.000
http://www.diamondcs.com.au/portexplorer/

•PsService v1.1 - local and remote services viewer/controller
Copyright (C) 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com

----------------------------------------------------------------------------------
dann berichte, ob das Problem geloest ist.
__________
MfG Sabina

rund um die PC-Sicherheit

#184 Hallo@kmaro

Cidre hat mit Recht darauf verwiesen, dass dieser PC neu formatiert werden muss. Er ist voellig durchseucht, mit viren , Wuermern und Backdoors. Sie haben praktisch die Kontrolle ueber den PC uebernommen.

Was tun bei Kompromittierung des Systems?
http://oschad.de/wiki/index.php/Kompromittierung
http://virus-protect.org/

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [USB Hardware326 Monitoring] USBhardware326.exe
O4 - HKLM\..\Run: [IExplorer32c Java Scripting] IExplore32cb.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] explorex32.exe
O4 - HKLM\..\Run: [Windows Compliant] hgebgr.exe
O4 - HKLM\..\Run: [IExplorer6 Java Scripting] IExplore326.exe
O4 - HKLM\..\Run: [Mcafee Antivirus Monitoring System32mn] VSStatmn32.exe
O4 - HKLM\..\Run: [Bin Personal Firewall] binetc.exe
O4 - HKLM\..\Run: [6ufFD] C:\WINDOWS\royoak.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [USB Hardware326 Monitoring] USBhardware326.exe
O4 - HKLM\..\RunServices: [IExplorer32c Java Scripting] IExplore32cb.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] explorex32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] hgebgr.exe
O4 - HKLM\..\RunServices: [IExplorer6 Java Scripting] IExplore326.exe
O4 - HKLM\..\RunServices: [Mcafee Antivirus Monitoring System32mn] VSStatmn32.exe
O4 - HKLM\..\RunServices: [Bin Personal Firewall] binetc.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] explorex32.exe
O4 - HKCU\..\Run: [IExplorer32c Java Scripting] IExplore32cb.exe
O4 - HKCU\..\Run: [Mcafee Antivirus Monitoring System32mn] VSStatmn32.exe
O4 - HKCU\..\Run: [USB Hardware326 Monitoring] USBhardware326.exe
O4 - HKCU\..\Run: [Bin Personal Firewall] binetc.exe
O4 - HKCU\..\Run: [Windows Compliant] hgebgr.exe
O4 - HKCU\..\Run: [IExplorer6 Java Scripting] IExplore326.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab


C:\WINDOWS\System32\explorex32.exe
C:\WINDOWS\royoak.exe
C:\WINDOWS\System32\USBhardware326.exe
C:\WINDOWS\System32\IExplore326.exe
C:\WINDOWS\System32\hgebgr.exe
C:\WINDOWS\System32\binetc.exe
C:\WINDOWS\System32\VSStatmn32.exe
C:\Programme\ISTsvc\istsvc.exe

alle diese sichtbaren Datein haben noch datein, die im Log nicht sichtbar sind und selbst, wenn man alles finden und loeschen sollte, bleibt der PC kompromitiert, weil die Backdoors+ deren "Besitzer" ja Zugang zum PC haben und Veraenderungen vornehmen koennen, wie ports oeffnen usw.

Du wirst also um eine Neuformation nicht drumrumkommen .
__________
MfG Sabina

rund um die PC-Sicherheit

#185 danke hab das ganze mal neu versuch und jetzt hat das formatieren irgendwie doch geklappt danke sabina und auch an dich cidre!