wie entferne ich w32.spybot.worm, backdoor.ranky und trojan.dropper

#0
18.04.2005, 10:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Hallo@roedel.de

C:\WINNT\System32\szroudzo.exe<---so schnell als moeglich loeschen (ist ein Backdoor)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.04.2005, 13:43
Member

Themenstarter

Beiträge: 15
#17 Hallo Sabina

Datei ist gelöscht. Ich habe mich auf euren weiteren Seiten schon mal nach dieser Alexa Spyware umgesehen. Ist es besser, einfach den Schlüssel in der Registry zu löschen oder sollte ich mir lieber die Mühe machen, Adaware herunterzuladen und das Problem damit zu lösen ? Und wie siehts mit den restlichen Dateien aus dem Log aus ?

Freue mich schon auf deine fachkundige Hilfe

Claudia
Seitenanfang Seitenende
18.04.2005, 15:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Hallo@roedel.de

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

•Search&Destroy
http://www.safer-networking.org/de/download/index.html
Spybot - Search && Destroy report,-->bitte abkopieren und posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2005, 14:27
Member

Themenstarter

Beiträge: 15
#19 Hallo Sabina

Zitat

Sabina postete
Hallo@roedel.de

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann


Das habe ich genau so gemacht, nur ist das Log ziemlich lang (15 DinA4 Seiten !). Soll ich es trotzdem ganz posten oder reichen auch Auszüge ? Sicherheitshalber poste ich mal die Kurzzusammenfassung:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Alexa(TAC index:5):9 total references
EGroup Dialer(TAC index:5):2 total references
MRU List(TAC index:0):19 total references
Tracking Cookie(TAC index:3):3 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 33
13:43:15 Scan Complete
Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:11:12.778
Objects scanned:46762
Objects identified:14
Objects ignored:0
New critical objects:14

Die Pfade zu Alexa finden sich alle in der Registry, ebenso dieser EGroupDialer und die Einträge zur MRU List. Zusätzlich im Log wurden noch laufende Prozesse aufgelistet (25 Stück). Meine beider restlichen Platten D:\ und E:\ enthalten keine kritischen Einträge, ebensowenig die Hosts-Datei.

Reicht dir die Info oder brauchst du mehr ??

Hier dann das Log von Spybot Search&Destroy:

--- Report generated: 2005-04-19 13:54 ---
Fehler während der Überprüfung!: Zwax (Ungültiger Datentyp für '') ()
Gratulation!: Es wurden keine Spione gefunden. ()
--- Spybot - Search && Destroy version: 1.3 ---
2005-03-03 Includes\Cookies.sbi
2005-04-07 Includes\Dialer.sbi
2005-04-07 Includes\Hijackers.sbi
2005-03-22 Includes\Keyloggers.sbi
2004-11-29 Includes\LSP.sbi
2005-04-07 Includes\Malware.sbi
2005-03-17 Includes\PUPS.sbi
2005-03-17 Includes\Revision.sbi
2005-02-09 Includes\Security.sbi
2005-04-07 Includes\Spybots.sbi
2005-02-17 Includes\Tracks.uti
2005-04-07 Includes\Trojans.sbi

Wie gehts weiter ? Soll ich irgendwelche Einträge in der Ad-Aware fixen ? Und was hat es mit der Immunisierung bei Spybot Search&Destroy auf sich ? Ist das sinnvoll ?

Bis später

Claudia
Dieser Beitrag wurde am 19.04.2005 um 14:28 Uhr von roedel.de editiert.
Seitenanfang Seitenende
19.04.2005, 15:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Hallo@roedel.de

lass alles so, wie es ist ;) und poste das neue Log vom HijackThis


#Alternativbrowser zum IE

Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2005, 17:52
Member

Themenstarter

Beiträge: 15
#21 Hallo Sabina,

hier ein ganz frisches HijackThis-Logfile.

Logfile of HijackThis v1.99.1
Scan saved at 17:46:55, on 19.04.05
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\PROGRA~1\Navnt\navapsvc.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINNT\system32\RpcSs.exe
C:\WINNT\system32\tapisrv.exe
C:\WINNT\system32\rasman.exe
C:\WINNT\System32\esserver.exe
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\SENS.EXE
C:\PROGRA~1\Navnt\alertsvc.exe
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\SysTray.Exe
C:\hardware\mouse\system\em_exec.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Navnt\navapw32.exe
D:\Programme\Microsoft Internet\IEXPLORE.EXE
E:\cr\Viren Hilfsprogramme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Volkswagen Bank direct
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] c:\hardware\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Norton AntiVirus AutoProtect.LNK = C:\Programme\Navnt\navapw32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spx: C:\maerklin plugin\Open SPX Plugin\npspx32.dll
O23 - Service: NAV Warnmeldung (NAV Alert) - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe

Bei der Auto-Auswertung konnte ich nix entdecken. Sollte ich jetzt wirklich durch sein mit den Würmen, den Trojanern und den Backdoorss ? Oder gibts noch weitere Tipps (außer den IE dahinzuschießen wo der Pfeffer wächst... ;) )

Bis später

Claudia
Seitenanfang Seitenende
19.04.2005, 23:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Hallo@roedel.de

Versuch einmal, ob du das geladen bekommst (dann berichte)

Download the beta* of our new anti-spyware software today
http://www.microsoft.com/athome/security/spyware/software/default.mspx
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.04.2005, 11:16
Member

Themenstarter

Beiträge: 15
#23 Hallo Sabina

leider lässt sich die Beta-Version nur unter Windows 2000/XP oder 2003 Server installieren. Hätte ja klappen können... Hast du vielleicht noch eine andere Software für mein NT im petto ?

Auf jeden Fall schon mal ein dickes fettes DANKESCHÖN, dass du dich so aufopfernd um verseuchte Rechner kümmerst und nicht gleich zur „... jetzt machen wir den Rechner mal platt“-Methode greifst. So lernen alle Leser viel mehr und können davon für die Zukunft nur profitieren.

Bis später

Claudia
Seitenanfang Seitenende
20.04.2005, 11:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 •Spywareblaster
http://www.javacoolsoftware.com/sbdownload.html

•Spywareguard->überwachungstool-->updaten
und aktivieren
http://www.javacoolsoftware.com/sgdownload.html


#Alternativbrowser zum IE
Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

Gruss
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.04.2005, 13:51
Member

Themenstarter

Beiträge: 15
#25 Hallo Sabina

wenn das so weitergeht, dann muss ich wohl doch ernsthaft überlegen, mir ein neues Betriebssystem zuzulegen... Spywareguard ist auch nicht mit NT 4.0 kompatibel. Die Installation von Spywareblaster hat aber funktioniert- reicht das ? Und gibt es da irgendwelche besonderen Einstellungen oder kann ich einfach alle Einträge mit einem Schutz belegen ? Ansonsten schnurrt mein Rechner wieder wie früher ;).

Gruss

Claudia
Seitenanfang Seitenende
21.04.2005, 12:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 Du kannst alle Eintreage aktivieren und ab und zu musst du das Tool aktualisieren ;)

Gruss und alles Gute fuer deinen PC
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.04.2005, 17:01
Member

Themenstarter

Beiträge: 15
#27 Hallo Sabina

noch mal vielen Dank für deine Hilfe - war echt super und ich wusste dank deiner ausführlichen Beschreibungen immer, was zu tun ist. Falls ich wieder mal ein Problem habe, dann werde ich mich wieder an Euch wenden.

Sonniges Wochenende

Gruß

Claudia
Seitenanfang Seitenende