Hallo,
ich habe mir heute die Kerio Firewall auf den Rechner gemacht und habe da gleich eine dicke Meldung bekommen!!
Das Prog sagt,mir daß ein Endringversuch blockiert wurde...
Da steht unter Details immer :
Injektoranwendung: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\draw wave acid less\Store Nurb.exe

So,nun habe ich Antivir PE durchlaufen lassen und der hat den Wurm gefunden,ist aber nicht in der Lage ihn zu löschen...
C:\WINDOWS\System32\msupdate.exe
[FUND] Enthält Signatur des Wurmes WORM/Rbot.175104.4

Hab dann Hijack This gesaugt und hier ist das Log-File:
Logfile of HijackThis v1.99.1
Scan saved at 21:37:35, on 16.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\keyhook.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Programme\Wirelwss LAN Utility\TIWLANCu.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\sistray.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Wirelwss LAN Utility\tiwlnsvc.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\miriam\Desktop\Neuer Ordner\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: (no name) - {7CEDA131-0322-1125-7CCE-41E485E78E92} - C:\DOKUME~1\miriam\ANWEND~1\FileMix\Thunk Stop.exe
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [load] msupdate.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TI WLAN] C:\Programme\Wirelwss LAN Utility\TIWLANCu.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [load] msupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [flag peak] C:\DOKUME~1\miriam\ANWEND~1\LITEOW~1\type funk clock.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,911,0
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADF988E2-CAC1-4A9F-A264-821D6D9F0AB3}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TI Wlan Service (tiwlnsvc) - Unknown owner - C:\Programme\Wirelwss LAN Utility\tiwlnsvc.exe

Da ich damit leider nicht so viel anfangen kann,wäre ich um Hilfe sehr dankbar!!!Wie bekomme ich diese lästige Plage los???


Gruß
Pinworld

hallo,

lass mal diesen eintrag online bei jotti scannen:

O4 - HKLM\..\Run: [load] msupdate.exe

link zu jotti findest du in meiner signatur..

teile das ergebniss mit..

Könnte sich darum handeln:
http://www.sophos.de/virusinfo/analy...2argdoora.html

Lasse die Datei:
C:\WINDOWS\System32\msupdate.exe

hier prüfen:
http://virusscan.jotti.org/de/
und teile das Ergebnis mit.
Sollte sich meine Vermutung bestätigen, bereinige so:
http://www.trojaner-board.de/showthread.php?t=12154

@felix

war auch meine vermutung..
aber ein scannen bei jotti schadet ja nie..

Hallo,
also ich habe die Datei : O4 - HKLM\..\RunServices: [load] msupdate.exe
nicht finden können...

Deshalb habe ich jetzt die Datei :
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\draw wave acid less\Store Nurb.exe
bei Jottis prüfen lassen und es ist folgendes dabei herausgekommen:

Datei: Store_Nurb.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PE_PATCH.UPC

AntiVir Adware-Spyware/Lop.ad.24 adware gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Adware.Lop-130 gefunden
Dr.Web Trojan.Swizzor gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Lop.ag gefunden
NOD32 a variant of Win32/TrojanDownloader.Swizzor gefunden
Norman Virus Control Swizzor.gen gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Wie lösche ich das Ding jetzt???

Gruß
Pinworld

Wie man Dateien richtig findet, entnimmst Du meiner Signatur . Das ist die Anleitung von Rene-Gad.

Zitat:

Zitat von felix1

Wie man Dateien richtig findet, entnimmst Du meiner Signatur . Das ist die Anleitung von Rene-Gad.

Hallo,
ich habe das jetzt 100% genauso gemacht,wie in deiner Sig. beschrieben...
Jedoch wird die Datei msupdate.exe immer noch nicht gefunden???

Was ist denn mit der anderen Datei:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\draw wave acid less\Store Nurb.exe

Die Firewall meckert ja immer rum,daß die Store Nurb.exe raus will.... Und nicht die msupdate.exe... Verstehe das jetzt irgendwie nicht!?

Gruß
Pinworld

Zitat:

Zitat von Pinworld

Hallo,
So,nun habe ich Antivir PE durchlaufen lassen und der hat den Wurm gefunden,ist aber nicht in der Lage ihn zu löschen...
C:\WINDOWS\System32\msupdate.exe
[FUND] Enthält Signatur des Wurmes WORM/Rbot.175104.4

[..]
Da ich damit leider nicht so viel anfangen kann,wäre ich um Hilfe sehr dankbar!!!Wie bekomme ich diese lästige Plage los???

Durch Formatieren und neu Aufsetzen. Warum und wie: siehe Anleitung in der Signatur.

Gruß
Yopie

Zitat:

Zitat von Yopie

Durch Formatieren und neu Aufsetzen. Warum und wie: siehe Anleitung in der Signatur.

Gruß
Yopie

Och mennoh... Heißt das jetzt wirklich,ich muß meinen ganzen Rechner platt machen???Geht das nicht auch irgendwie anders???


Gruß
Pinworld

Zitat:

Zitat von Pinworld

Geht das nicht auch irgendwie anders???

Klar. Du kannst auch einfach das letzte saubere Komplettbackup wiederherstellen. Wenn du das nicht hast: Pech.

Gruß
Yopie

Zitat:

Zitat von Yopie

Klar. Du kannst auch einfach das letzte saubere Komplettbackup wiederherstellen. Wenn du das nicht hast: Pech.

Gruß
Yopie

Sorry,so etwas habe ich leider nicht... Gibt es denn da Programme,die ein Backup herstellen können von der kompletten Festplatte ( für später meine ich )...

Also habe ich das jetzt wirklich richtig verstanden,daß die einzige Lösung um dieses Ding loszuwerden,eine komplette Formatierung meiner Festplatte ist???

Gruß
Pinworld

Zitat:

Zitat von Pinworld

Sorry,so etwas habe ich leider nicht... Gibt es denn da Programme,die ein Backup herstellen können von der kompletten Festplatte ( für später meine ich )...

Klar. Acronis True Image zum Beispiel, oder, wenns was kostenloses sein darf, partimage (ist auf der Knoppix-CD).

Zitat:

Also habe ich das jetzt wirklich richtig verstanden,daß die einzige Lösung um dieses Ding loszuwerden,eine komplette Formatierung meiner Festplatte ist???

Es reicht, die Systempartition zu formatieren. Wenn du deine Daten auf einer anderen Partition hast, kannst du sie dort erstmal behalten. In dem Fall würde ich aber nach dem neu aufsetzen mit einem guten AV-Programm diese Daten scannen, z.B. mit eScan.

Warum du die Systempartition formatieren musst ist im Link beschrieben.

Gruß
Yopie

Zitat:

Zitat von Yopie

Klar. Acronis True Image zum Beispiel, oder, wenns was kostenloses sein darf, partimage (ist auf der Knoppix-CD).


Es reicht, die Systempartition zu formatieren. Wenn du deine Daten auf einer anderen Partition hast, kannst du sie dort erstmal behalten. In dem Fall würde ich aber nach dem neu aufsetzen mit einem guten AV-Programm diese Daten scannen, z.B. mit eScan.

Warum du die Systempartition formatieren musst ist im Link beschrieben.

Gruß
Yopie

Mist,ich habe gar keine Partitionen auf meinem Rechner... Es ist also alles auf einer Festplatte ohne Partitionen...
Trotzdem vielen Dank für deine Hilfe!!!
Werde mich auch gleich mal schlau machen wg. dem Backup Programm... Vielen Dank nochmal...

Gruß
Pinworld

Mach dich aber bitte mit einem sauberen Rechner schlau, denn der betroffene Rechner ist nicht mehr internet-geeignet!

Gruß
Yopie