Wie krieg ich die Würmer weg?

fuchsmaster · 16.07.2005, 16:06

Hallo zusammen, ich habe die dankbare Aufgabe von meinem Kumpel bekommen, seinen Laptop vom Wurm- und Virenbefall zu befreien. Ich weiss schon, dass es in der spools.exe drei Würmer hängen. Ich hab mal nen HijackThis logfile gemacht:
Ich hab grad a-squared durchlaufen lassen, jetzt ist gerade e-scan am Werk.

Logfile of HijackThis v1.99.1
Scan saved at 16:44:52, on 16.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\VERITAS Software\StorageGuard\sgtray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\mmsvc32.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Programme\AOL 9.0\aoltray.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\Programme\eScan\escanwin.exe
C:\Programme\eScan\kavss.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\WINDOWS\system32\spools.exe
C:\DOKUME~1\LARSWE~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = htttp://de.rd.yahoo.com/slv/ycheck/as/*htttp://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htttp://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htttp://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htttp://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = htttp://de.rd.yahoo.com/slv/ycheck/as/*http://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O1 - Hosts: 205.209.153.86 lloydstsb.co.uk
O1 - Hosts: 205.209.153.86 online.lloydstsb.co.uk
O1 - Hosts: 205.209.153.86 wwww.lloydstsb.co.uk
O1 - Hosts: 205.209.153.86 wwww.lloydstsb.com
O1 - Hosts: 205.209.153.86 personal.barclays.co.uk
O1 - Hosts: 205.209.153.86 barclays.co.uk
O1 - Hosts: 205.209.153.86 ibank.barclays.co.uk
O1 - Hosts: 205.209.153.86 wwww.barclays.co.uk
O1 - Hosts: 205.209.153.86 wwww.nwolb.com
O1 - Hosts: 205.209.153.86 nwolb.com
O1 - Hosts: 205.209.153.86 hsbc.co.uk
O1 - Hosts: 205.209.153.86 wwww.hsbc.co.uk
O1 - Hosts: 205.209.153.86 abbey.com
O1 - Hosts: 205.209.153.86 wwww.abbey.com
O1 - Hosts: 205.209.153.86 wwww.abbey.co.uk
O1 - Hosts: 205.209.153.86 abbey.co.uk
O1 - Hosts: 205.209.153.86 cahoot.com
O1 - Hosts: 205.209.153.86 wwww.cahoot.com
O1 - Hosts: 205.209.153.86 wwww.cahoot.co.uk
O1 - Hosts: 205.209.153.86 cahoot.co.uk
O1 - Hosts: 205.209.153.86 wwww.co-operativebank.co.uk
O1 - Hosts: 205.209.153.86 co-operativebank.co.uk
O1 - Hosts: 205.209.153.86 wwww.co-operativebank.com
O1 - Hosts: 205.209.153.86 co-operativebank.com
O1 - Hosts: 205.209.153.86 welcome2.co-operativebankonline.co.uk
O1 - Hosts: 205.209.153.86 welcome6.co-operativebankonline.co.uk
O1 - Hosts: 205.209.153.86 welcome8.co-operativebankonline.co.uk
O1 - Hosts: 205.209.153.86 welcome10.co-operativebankonline.co.uk
O1 - Hosts: 205.209.153.86 wwww.smile.co.uk
O1 - Hosts: 205.209.153.86 smile.co.uk
O1 - Hosts: 205.209.153.86 wwww.cajamar.es
O1 - Hosts: 205.209.153.86 cajamar.es
O1 - Hosts: 205.209.153.86 wwww.cajamar.com
O1 - Hosts: 205.209.153.86 wwww.unicaja.es
O1 - Hosts: 205.209.153.86 unicaja.es
O1 - Hosts: 205.209.153.86 wwww.unicaja.com
O1 - Hosts: 205.209.153.86 unicaja.com
O1 - Hosts: 205.209.153.86 wwww.caixagalicia.es
O1 - Hosts: 205.209.153.86 caixagalicia.es
O1 - Hosts: 205.209.153.86 wwww.caixagalicia.com
O1 - Hosts: 205.209.153.86 caixagalicia.com
O1 - Hosts: 205.209.153.86 activa.caixagalicia.es
O1 - Hosts: 205.209.153.86 wwww.caixapenedes.es
O1 - Hosts: 205.209.153.86 caixapenedes.es
O1 - Hosts: 205.209.153.86 wwww.caixapenedes.com
O1 - Hosts: 205.209.153.86 caixapenedes.com
O1 - Hosts: 205.209.153.86 bancae.caixapenedes.com
O1 - Hosts: 205.209.153.86 wwww.caixasabadell.es
O1 - Hosts: 205.209.153.86 caixasabadell.es
O1 - Hosts: 205.209.153.86 wwww.caixasabadell.net
O1 - Hosts: 205.209.153.86 caixasabadell.net
O1 - Hosts: 205.209.153.86 wwww.cajamadrid.es
O1 - Hosts: 205.209.153.86 cajamadrid.es
O1 - Hosts: 205.209.153.86 wwww.cajamadrid.com
O1 - Hosts: 205.209.153.86 cajamadrid.com
O1 - Hosts: 205.209.153.86 oi.cajamadrid.es
O1 - Hosts: 205.209.153.86 wwww.ccm.es
O1 - Hosts: 205.209.153.86 ccm.es
O1 - Hosts: 205.209.153.86 wwww.haspa.de
O1 - Hosts: 205.209.153.86 haspa.de
O1 - Hosts: 205.209.153.86 ssl2.haspa.de
O1 - Hosts: 205.209.153.86 wwww.dresdner-bank.de
O1 - Hosts: 205.209.153.86 dresdner-bank.de
O1 - Hosts: 205.209.153.86 wwww.dresdner-privat.de
O1 - Hosts: 205.209.153.86 postbank.de
O1 - Hosts: 205.209.153.86 wwww.postbank.de
O1 - Hosts: 205.209.153.86 banking.postbank.de
O1 - Hosts: 205.209.153.86 wwww.sparda-b.de
O1 - Hosts: 205.209.153.86 sparda-b.de
O1 - Hosts: 205.209.153.86 wwww.bankingonline.de
O1 - Hosts: 205.209.153.86 wwww.raiffeisenbank-erding.de
O1 - Hosts: 205.209.153.86 raiffeisenbank-erding.de
O1 - Hosts: 205.209.153.86 wwww.vr-networld-ebanking.de
O1 - Hosts: 205.209.153.86 vr-networld-ebanking.de
O1 - Hosts: 205.209.153.86 wwww.bnhof.de
O1 - Hosts: 205.209.153.86 bnhof.de
O1 - Hosts: 205.209.153.86 wwww.deutsche-bank.de
O1 - Hosts: 205.209.153.86 deutsche-bank.de
O1 - Hosts: 205.209.153.86 meine.deutsche-bank.de
O1 - Hosts: 205.209.153.86 wwww.citibank.de
O1 - Hosts: 205.209.153.86 citibank.de
O1 - Hosts: 205.209.153.86 cipehb13.cdg.citibank.de
O1 - Hosts: 205.209.153.86 wwww.dkb.de
O1 - Hosts: 205.209.153.86 dkb.de
O1 - Hosts: 205.209.153.86 wwww.sparkasse-regensburg.de
O1 - Hosts: 205.209.153.86 sparkasse-regensburg.de
O1 - Hosts: 205.209.153.86 wwww.berliner-bank.de
O1 - Hosts: 205.209.153.86 berliner-bank.de
O1 - Hosts: 205.209.153.86 wwww.berliner-sparkasse.de
O1 - Hosts: 205.209.153.86 berliner-sparkasse.de
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QCTRAY] C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\StorageGuard\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\system32\mmsvc32.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\system32\spools.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=htttp://www.freenet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{429B82A1-8E2A-4285-9D9B-B1E8CF3001CF}: NameServer = 213.168.112.60 81.173.194.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{429B82A1-8E2A-4285-9D9B-B1E8CF3001CF}: NameServer = 213.168.112.60 81.173.194.68
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielen Dank für jede Hilfe!

cronos · 16.07.2005, 16:24

Du kannst dir hier jede weitere Bereinigung sparen, da auf dem PC mindestens eine Backdoorkomponente vorhanden ist, nämlich diese .
Das System ist als kompromittiert zu betrachten und sollte schnelstens gemäß diesser Anleitung neu aufgesetzt werden, um ähnlichen Befall in Zukunft zu vermeiden.
Warum eine Bereinigung in diesem Fall nicht hilft, liest du hier nach.

Wie krieg ich die Würmer weg?

Log-Analyse und Auswertung: Wie krieg ich die Würmer weg?

Wie krieg ich die Würmer weg?

Wie krieg ich die Würmer weg?

Ähnliche Themen: Wie krieg ich die Würmer weg?