W32.Spybot.Worm /svss32.exe |
||
|---|---|---|
| #0
| ||
|
28.03.2005, 14:50
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
28.03.2005, 16:34
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@Franca
Da du die WindowsUpdates nicht geladen hast: (SP2)::: W32/Rbot-XQ ist ein Windows-Wurm, der sich über Schwachstellen verbreitet, die von LSASS(MS04-011), RPC-DCOM(MS04-012) und MSSQL ausgenutzt werden. Der Wurm verfügt außerdem über eine Backdoor-Komponente, die einem bösartigen Anwender Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Prozess oder Dienst im Hintergrund läuft. Wenn er gestartet wird, verschiebt sich W32/Rbot-XQ als svss32.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, damit er gestartet wird, wenn sich ein Benutzer anmeldet: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Windows Service Support Call SVSS32.EXE HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Windows Service Support Call SVSS32.EXE Wenn er von einem remoten Angreifer entsprechend angewiesen wird, versucht W32/Rbot-XQ folgende Funktionen zu starten: Starten einer Remoteshell Starten oder Beenden von Prozessen oder Diensten Löschen von Dateien Auflisten von Prozessen Herunterfahren des Computers Speichern von Tastenfolgen Stehlen von Windows-Anmeldekennwörtern Herunterladen und Starten von Dateien aus dem Internet Hinzufügen oder Löschen von Netzwerkfreigaben Stehlen von CD-Schlüsseln Speichern von Bildschirmdaten und Webcam-Fenstern Stehlen von Systemdaten Starten eines SOCKS4-Servers/-Clients Starten eines FTP-Servers Starten eines TFTP-Servers Starten eines HTTP-Servers Starten eines Rlogin-Servers Umleiten von Netzwerkverkehr Starten von Distributed-Denial-of-Service (DDoS)-Attacken. ------------------------------------------------------------------------- Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.03.2005, 16:45
...neu hier
Themenstarter Beiträge: 3 |
#3
Hallo Sabina,
vielen Dank für Deine Antwort! Also die Einträge der letzten Tage: 28.03.2005 16:22 32 c.bat 28.03.2005 03:31 255 ad_away.lic 27.03.2005 06:20 311.604 perfh009.dat 27.03.2005 06:20 316.594 perfh007.dat 23.03.2005 23:26 16.832 amcompat.tlb 23.03.2005 22:29 25.065 wmpscheme.xml 23.03.2005 22:26 261 $winnt$.inf 23.03.2005 22:24 2.951 CONFIG.NT 23.03.2005 22:22 749 cdplayer.exe.manifest 23.03.2005 22:18 0 h323log.txt ... c.bat ist doch auch irgendwie ein virus oder? 15.10.1996 12:15 79.360 INLOADER.DLL (das ist ja ein altes datum!?) in der Registry finde ich nix, da ich da alles schon gelöscht hatte. Hat sich auch nix wieder eingetragen. Ich werd noch wahnsinnig hier. LG Franca |
|
|
|
|
|
|
28.03.2005, 17:31
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Franca
Onlinescanns --> dann alles "infected" loeschen/im abgesicherten Modus http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ http://www.ravantivirus.com/scan/ http://www3.ca.com/virusinfo/ http://www.bitdefender.com/scan/licence.php http://www.commandondemand.com/eval/index.cfm http://www.freedom.net/viruscenter/...viruscheck.html http://info.ahnlab.com/english/ http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
29.03.2005, 10:19
...neu hier
Themenstarter Beiträge: 3 |
#5
Hi Sabina,
vielen Dank für Deine Nachricht. Da ich schon einige online Virenscanns gemacht habe und da nix gefunden wurde, habe ich mich gestern entschlossen, meinen Rechner nun nochmals neu aufzusetzen. SP2 hab ich jetzt auch gleich installiert. Nun sollte alles wieder funzen. Vielen Dank nochmals. Liebe Grüße von Franca |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich bin neu hier und hoffe, daß mir jemand bei meinem Problem helfen kann.
bei mir sieht es so aus, daß Norton den Virus findet und auch löscht. (Im Gegensatz zu den Anderen, die hier gepostet haben, da konnte er ja nicht gelöscht werden
(Ständiges aufpoppen einer Viruswarnmeldung: Norton Antivirus hat einen Virus auf Ihrem Computer gefunden und ihn entfernt.
C:\WINDOWS\system32\svss32.exe
W32.Spybot.Worm
Die Datei wurde automatisch gelöscht
Das gleiche passiert von Zeit zu Zeit mit Download.Trojan
(Ständiges aufpoppen einer Viruswarnmeldung: Norton Antivirus hat einen Virus auf Ihrem Computer gefunden und ihn entfernt.
C:\WINDOWS\system32\.pif
Download.Trojan
Die Datei wurde automatisch gelöscht
Laut Norton Bericht (Quarantäne) sind das immer Backup-Kopien einer infizierten Datei. Habe aller erdenklichen Progs durchlaufen lassen, die bisher vorgeschlagen wurden. Leider wird nie was gefunden. Ich habe meinen Rechner schon 2x platt gemacht und trotzdem habe ich immer wieder das gleiche Problem. Leider bekomme ich meinen Netgear Router erst in ein paar Tagen und muß daher die Software Firewall noch nutzen. Ich bin schon ganz verzweifelt.
Anbei gleich mein HijackThis Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 14:48:29, on 28.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Hase\Eigene Dateien\Downloads\tool gegen viren\hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Startup: BackProtection.lnk = C:\Programme\BackProtection 2004\backprotection.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Vielen Dank im Voraus für Hilfe!!!
Liebe Grüße Franca
Nachtrag:
Kurz bevor die Virenmeldung SVSS32.exe von Norton gezeigt wird, zeigt mir Norton Firewall: C:\WINDOWS\system32\ftp.exe ist im Begriff, auf das Internet zuzugreifen.