| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: da war der Wurm drinnen :-(Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.02.2005, 17:20
| #1 |
| |  da war der Wurm drinnen :-( Hallo! Ich bin neu hier und würde gerne die Meinung von euch hören. Vor ein paar Tagen hab ich mir – muß zugeben aus eigener Blödheit – den Wurm Gaobot eingefangen. Also hab ich mich in den verschiedenen Foren umgehört und die angegebenen Tips befolgt, also ad-aware, Virensoftware (im abgesicherten Modus), Hijack-This,… Den Wurm dürfte ich letztendlich mit regedit erwischt haben (serviceconnect.exe?), zumindest laut hijack-this. Mittlerweile kann weder Ad-Aware noch Norton etwas finden, allerdings bekomme ich bei der Hijack-this Auswertung - die auf den ersten Blick gar nicht schlecht aussieht - manchmal seltsame Einträge die mich etwas beunruhigen wie etwa dieser: Kennen Sie die IP oder die Domäne '195.70.224.45 213.90.38.3' nicht, fixen. Kommt nicht immer, aber doch von Zeit zu Zeit trotz fixens. Solche Sachen gefallen mir auch nicht, zumal ich sie bei Symantec finde: UsrPrmpt.exe SSC_UserPrompt Unbekannt SSC_UserPrompt UsrPrmpt.exe Unbekannt (O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe, Resultate) oder, ebenfalls Symantec: -- Resultate auf den Namen: "ccApp" -- Name Datei Status ccApp ccApp.exe Gut ccApp Böse ccApp Böse ccApp WMADZ.EXE Böse ccApps services.exe Böse ccApps winlogon.exe Böse ccApp ccApp.exe Gut ccApp (random filename) Böse ccApps services.exe Böse ccApp WMADZ.EXE Böse -- Resultate auf die Datei: "ccApp.exe" -- Datei Name Status ccApp.exe ccApp Gut ccApp.exe ccApp Gut (O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe") Details -- Resultate auf den Namen: "Synchronization Manager" -- Name Datei Status Synchronization Manager mobsync.exe Gut Microsoft Synchronization Manager fuckme.exe Böse Microsoft Synchronization Manager bot.exe Böse Microsoft Synchronization Manager asgard.exe Böse Microsoft Synchronization Manager xXx.exe Böse Microsoft Synchronization Manager WinLoginnn.exe Böse Microsoft Synchronization Manager netscape.exe Böse Microsoft Synchronization Manager winupdate.exe Böse Microsoft Synchronization Manager svhost.exe Böse Microsoft Synchronization Manager slhost.exe Böse Synchronization Manager mobsync.exe Gut Microsoft Synchronization Manager bot.exe Böse Microsoft Synchronization Manager asgard.exe Böse Microsoft Synchronization Manager xXx.exe Böse Microsoft Synchronization Manager WinLoginnn.exe Böse Microsoft Synchronization Manager netscape.exe Böse Microsoft Synchronization Manager winupdate.exe Böse Microsoft Synchronization Manager svhost.exe Böse Microsoft Synchronization Manager slhost.exe Böse Resultate auf die Datei: "mobsync.exe" – (O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon) kommt hartnäckig immer wieder! Ist das nicht sowieso ein Trojaner? Ctfmon.exe ctfmon32.exe Böse (O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe) Zudem bin ich jetzt zufällig draufgekommen dass der Internet Explorer keine gewöhnlichen Aufzählungszeichnung mehr anzeigt (verwende seit einiger Zeit Firefox normalerweise), sieht in etwa so aus wie umgedrehte engl. Pfundzeichen bzw. die der Unter-Aufzählungen wie das griechische Gammazeichen. Leider kann ich die nicht herzeigen, sobald ich die Aufzählung kopiere und wo einfüge verwandeln sie sich wieder in normale! Da ich den Computer von meiner besseren Hälfte „vererbt“ bekommen habe und eigentlich gerade fertig geworden bin meine Sachen zu überspielen bin ich nicht so begeistert davon, aber ich fürchte mir bleibt nichts anderes übrig als neu aufzusetzen, wer weiß was der Wurm wirklich umgeschrieben hat? Falls jemand eine Idee hat ob das eh normal ist oder nicht so schlimm, oder wie ich das wegbekomme bitte dringend melden! Jetzt füg ich noch das Hijack-Protokoll ein, dann hab ich wirklich massig Platz gebraucht, bitte dringend Eure Meinungen zu dem Trauerfall, wie würdet ihr es machen? Vielen Dank im Voraus und sorry wegen meines Monster-Postings! Logfile of HijackThis v1.99.1 Scan saved at 15:43:34, on 19.02.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\Norton Internet Security\NISUM.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINNT\system32\ctfmon.exe C:\Programme\Nikon\NkView5\NkvMon.exe C:\Programme\RegCleaner\RegCleanr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{959AA306-447B-48C0-8292-8D7121738E4F}: NameServer = 195.70.224.45 213.90.38.3 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
19.02.2005, 18:00
| #2 |
   | da war der Wurm drinnen :-( Hi,
__________________scanne Dein System mal mit escan folge der Beschreibung unten. Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: => Total Files Scanned: => Total Virus(es) Found: => Total Disinfected Files: => Total Files Renamed: => Total Deleted Files: => Total Errors: => Time Elapsed: => Virus Database Date: => Virus Database Count: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) 
__________________ |
|
19.02.2005, 21:06
| #3 |
 | da war der Wurm drinnen :-( Du solltest unbedingt noch Dein System und den IE updaten.
__________________Außerdem empfehle ich Dir XPAntispy -> http://www.xp-antispy.org/ Dort kann man einige Dienste von MS abstellen, welche "nach Hause telefonieren". Die IP 195.70.224.45 213.90.38.3 gehört vermutlich zu Deinem Betreiber....UTA?? Die von Dir genannten Sachen: ccApp ctfmon mobsync sind "normale" Prozesse, aber (zumindest die letzten beiden) könnte man deaktivieren. "mobsync" evtl. mit XP-Antispy und zu "ctfmon" gibt es auch eine Anleitung im Netz (finde sie jetzt nicht)....frag mal Google. ccApp ist Dein AV-Programm, wenn Du es deaktivierst läuft es halt nicht mehr... Ansonsten wie gigamail beschrieben eScan....und Ergebnis posten. Gruß Andy |
|
19.02.2005, 23:18
| #4 |
| | da war der Wurm drinnen :-( Vielen Dank für die schnelle Antwort, der Tip mit escan war klasse! .....und deprimierend  hier die Ergebnisse: Sat Feb 19 20:28:30 2005 => Total Files Scanned: 51621 Sat Feb 19 20:28:30 2005 => Total Virus(es) Found: 8 Sat Feb 19 20:28:30 2005 => Total Disinfected Files: 0 Sat Feb 19 20:28:30 2005 => Total Files Renamed: 0 Sat Feb 19 20:28:30 2005 => Total Deleted Files: 0 Sat Feb 19 20:28:30 2005 => Total Errors: 3 Sat Feb 19 20:28:30 2005 => Time Elapsed: 01:53:04 Sat Feb 19 20:28:30 2005 => Virus Database Date: 2005/02/14 Sat Feb 19 20:28:30 2005 => Virus Database Count: 118236 Sat Feb 19 20:28:30 2005 => Scan Completed. File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Win32.Agobot.ya" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\drivers\etc\3.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\drivers\etc\2.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\drivers\etc\1.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\3337271F.exe infected by "Backdoor.Win32.Agobot.ya" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Win32.Agobot.ya" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\lj\Eigene Dateien\Eigene Bilder\privat\Anwendungen\XMAS.EXE tagged as not-a-virus:Simulator.Win16.MessageMates. No Action Taken. bring ich die sicher weg?  übrigens, ja Uta ist Provider. Bin zumindest in dem Fall beruhigt! |
|
19.02.2005, 23:36
| #5 | |
| | da war der Wurm drinnen :-( Keine so guten Nachrichten. Wäre dieser: Zitat:
Befolge bitte diese Anleitung: Neuaufsetzen des Systems (Zitat Cidre) |
|
20.02.2005, 03:00
| #6 |
| | da war der Wurm drinnen :-( hmmm, hab eigentlich eh tief drin damit gerechnet  war halt irgendwo noch ein kleiner Hoffnungsschimmer! Ich hab mir auch vorgenommen gleich nach dem Aufsetzen die MS Programme durch Mozilla Programme zu ersetzen, hab sie mir grad angesehen und damit kann ich leben  vielen Dank nochmal für eure schnelle Hilfe, funktioniert prima bei euch |
|
20.02.2005, 03:25
| #7 |
| | da war der Wurm drinnen :-( Du solltest noch sämtliche Passwörter ändern, da es möglich ist, dass diese durch des Backdoor-Programm ausspioniert wurden. Und wenn es Probleme z.B. mit Firefox gibt, bist Du hier: http://firefox.stw.uni-duisburg.de/f...2b3369d5484a53 genau richtig. Gruß Andy
__________________ Gruß Andy __________________ |
|
| Themen zu da war der Wurm drinnen :-( |
| .exe, abgesicherten modus, ad-aware, adobe, alcatel, antivirus, bho, blödheit, c.exe, computer, ctfmon.exe, diagnostics, dringend, drivers, excel, explorer, firefox, gebraucht, griechische, hijack-this, hijackthis, immer wieder, internet, internet explorer, internet security, monitor, mozilla, mozilla firefox, proxy, regcleaner, security, security center, software, symantec, system, trojaner, träge, usb, virensoftware, windows, wurm, überspielen |
Linear-Darstellung
