| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32/PnPBot.6578!WormWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.06.2005, 15:56
| #1 |
 |  Win32/PnPBot.6578!Worm Hallo, oben genanntes Ding erkennt mein Virenprogramm eTrust Antivirus, welches ich heute auch aktualisiert habe. Google.de hat mir nichts geliefert. Das Ding hängt in einem Systemordner namens C:\System Volume Information Auf diesen Ordner kann ich nicht zugreifen. Laß ich die Virenkontrolle - auch im abgesicherten Modus rennen-, erhalte ich nichts. Hier ein HijackThis logfile Logfile of HijackThis v1.99.1 Scan saved at 16:55:12, on 02.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\RoamMgr.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\1XConfig.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\EzButton System V3.0\EzButton.exe C:\WINDOWS\System32\wuamkop.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\Programme\OpenOffice.org1.1.4\program\soffice.exe C:\Programme\Mozilla1.7.7\mozilla.exe C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe C:\WINDOWS\System32\wisptis.exe C:\Programme\CA\eTrust Antivirus\InocIT.exe C:\virenkram\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EzButton System] C:\Programme\EzButton System V3.0\EzButton.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe O4 - HKLM\..\Run: [Microsoft Update] wuamkop.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {3364B906-6EF0-4C06-9FD7-21A7375DD870} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/10469377076b7c4...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115926094953 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2EC0686D-28E6-4AB4-80CB-B6B39B9E1FCC}: NameServer = 195.71.204.61 193.189.244.205 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe Was kann ich tun? Über jede Hilfe freue ich mich sehr. Vielen Dank schon im voraus. Viele Grüße Christoph |
|
02.06.2005, 16:00
| #2 |
  | Win32/PnPBot.6578!Worm Hallo,
__________________beende den Prozess wuamkop.exe im Taskmanager. Scanne die Datei C:\WINDOWS\System32\wuamkop.exe dann online bei http://virusscan.jotti.org/de und poste das Errgebnis. |
|
02.06.2005, 17:42
| #3 |
| | Win32/PnPBot.6578!Worm hallo,
__________________da war in der tat was: Datei: wuamkop.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: UPACK AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus IRC/BackDoor.SdBot.188.BL gefunden BitDefender Backdoor.RBot.41754AF1 gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet W32/RBot.7D92-net gefunden Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen gefunden mks_vir Trojan.Rbot.Gen gefunden NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante) Norman Virus Control W32/Spybot.KXF gefunden VBA32 Backdoor.Win32.Rbot.gen gefunden was nun? was ist mit dem anderen kollegen? oder ist das der selbe? christoph |
|
02.06.2005, 17:45
| #4 |
| Moderator, a.D.  | Win32/PnPBot.6578!Worm |
|
| Themen zu Win32/PnPBot.6578!Worm |
| .com, abgesicherten modus, adobe, antivirus, bho, computer, dateien, explorer, file missing, hijack, hijackthis, home, hängt, internet, internet explorer, messenger, microsoft, monitor, mozilla, msn, programm, programme, software, vielen dank, windows, windows xp, worm |
Linear-Darstellung
