Worm /SdBot.8655

Tavarez · 04.10.2006, 19:52

Hallo,

kann mir jemand sagen wie ich den Wurm entfernen kann, ohne mein System neu aufsetzen zu müssen ???

mfg Tava

**Sunny** · 04.10.2006, 19:58

Zitat:

Zitat von Tavarez

Hallo,

kann mir jemand sagen wie ich den Wurm entfernen kann, ohne mein System neu aufsetzen zu müssen ???

mfg Tava

Hallo,

wo wurde denn der Wurm genau gefunden, bitte genau Verzeichnis- / Pfadangabe posten..
Zusätzlich kannst du auch ein Hijacklog posten, Anleitung dazu findest du in meiner Signatur verlinkt..

Gruß
Sunny

Tavarez · 05.10.2006, 20:53

Hi,
hier mein HJT Logfile, ich weiss net ob ichs richtig gepostet habe.
Und nochwas; immer wenn ich in Mozilla Firefox reingehe zeigt mir AntiVir ein Trojaner an

Ich hoffe ihr könnt mir helfen
Danke schonmal für eure Mühe

Logfile of HijackThis v1.99.1
Scan saved at 21:48:32, on 05.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\System32\winnnit.exe
F:\Programme\MSN Messenger\MsnMsgr.Exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NIC Monitor] VNICMon.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Security Monitor Process] mssmp.exe
O4 - HKLM\..\Run: [Win32] winnnit.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] mssmp.exe
O4 - HKLM\..\RunServices: [Win32] winnnit.exe
O4 - HKCU\..\Run: [MsnMsgr] "F:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Win32] winnnit.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{68F2B3E4-BA9D-4F88-A63D-AA2E632CE9A0}: NameServer = 62.220.18.8 62.72.64.237
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "F:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - F:\WINDOWS\System32\mousecrm.exe (file missing)
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - F:\WINDOWS\winlogon.exe (file missing)

Yopie · 05.10.2006, 21:03

Zitat:

Zitat von [Gc]Sunny

wo wurde denn der Wurm genau gefunden, bitte genau Verzeichnis- / Pfadangabe posten..

Isses denn so schwer....?

In Anbetracht dessen, dass du kein aktuelles ServicePack installiert hast, erspare ich mir aber eine Analyse des Logfiles und weitergehende Ratschläge. Du weisst ja schon, was zu tun ist.

Gruß

Yopie

Tavarez · 05.10.2006, 21:19

F:\WINDOWS\system32\Isass.exe oder auch F:\WINDOWS\system32\.exe der wurde mir schon bei beiden angezeigt

Kannst du mir bitte einen Link geben wo ich mir SP2 runterladen kann ?? weil ich hab schon gesucht, aber nix gefunden, und auf der Microsoft seite gehts irgendwie nicht

Edit: Und manchmal startet mein PC neu wegen diesem Wurm, da kommt dann so ein Femster, und da steht dann das mein PC in einer Minute neustartet.

Yopie · 05.10.2006, 21:36

Zitat:

Zitat von Tavarez

Kannst du mir bitte einen Link geben wo ich mir SP2 runterladen kann ?? weil ich hab schon gesucht, aber nix gefunden, und auf der Microsoft seite gehts irgendwie nicht

Ein ganz schlechter Bluff.

Gruß

Yopie

Tavarez · 05.10.2006, 21:46

Das war kein Bluff, aber ich such jetzt SP2

cosinus · 05.10.2006, 21:48

Zitat:

Zitat von Tavarez

Das war kein Bluff, aber ich such jetzt SP2

Hier isses. Bevor Du es installierst, ist der Rechner aber neu aufzusetzen. Patches auf einem kompromittierten System zu installieren, bringt genau garnichts.

Tavarez · 05.10.2006, 22:02

Danke, ja ich werde das System neuaufsetzen, wenn ich meinen Laptop wieder aus der Reperatur habe. Damit ich mit dem laptop wenigstens hier Fragen stellen kann wenn ich was nicht peile.

Wenigstens weiss ich jetzt wo ich das SP2 finde.
Also am Samstag oder Sonntag werde ich das machen.

Tavarez · 05.10.2006, 23:03

So hab jetzt SP2 drauf

Logfile of HijackThis v1.99.1
Scan saved at 00:01:50, on 06.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\System32\msiexec.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Programme\MSN Messenger\MsnMsgr.Exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\WINDOWS\system32\wuauclt.exe
F:\PROGRA~1\Versatel\Versatel.exe
F:\DOKUME~1\Simon\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NIC Monitor] VNICMon.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Security Monitor Process] mssmp.exe
O4 - HKLM\..\Run: [Win32] winnnit.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] mssmp.exe
O4 - HKLM\..\RunServices: [Win32] winnnit.exe
O4 - HKCU\..\Run: [MsnMsgr] "F:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Win32] winnnit.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{68F2B3E4-BA9D-4F88-A63D-AA2E632CE9A0}: NameServer = 62.220.18.8 62.72.64.237
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "F:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - F:\WINDOWS\System32\mousecrm.exe (file missing)
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - F:\WINDOWS\winlogon.exe (file missing)

cosinus · 05.10.2006, 23:10

Du hast nie und nimmer das System neu aufgesetzt oder bist völlig unabgesichert ins Netz gegangen. Das SP2 sollte man am besten offline einspielen.

Tavarez · 05.10.2006, 23:38

Hab ich auch nicht, ich hab nur das Service Pack 2 drauf gemacht.

OK. Dann melde ich mich am Sonntag wieder, wenn ich das System neu aufgesetzt habe

BataAlexander · 05.10.2006, 23:54

Hallo Tavarez,

personalisierte Werbelinks in Postings oder der Signatur sind imho nicht gestattet.

Gruß

Schrulli

ApexX · 06.10.2006, 15:42

Wenn du dein System neu aufgesetzt hast, alle Patches installiert hast, solltest du eigentlich davon ausgehen können das keine Viren mehr vorhanden sind

Rate mal warum man sein System neu aufsetzt? Um alle Viren GARANTIERT los zu werden.

Tavarez · 07.10.2006, 22:21

Hallo,
erstaml sorry wegen der Signatur, wusste ich nicht.

Jetzt zum neuaufsetzen; meine Tastatur funktioniert im Windows Setup Modus nicht, sondern erst wenn Windows hochgefahren ist, ich hab eine USB Tastatur.

Ich hab gehört man soll im BIOS was einstellen, aber ich weiss nicht wo der BIOS ist, kann mir bitte jemand helfen

Mfg Tava

05.10.2006, 23:10	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Worm /SdBot.8655 Du hast nie und nimmer das System neu aufgesetzt oder bist völlig unabgesichert ins Netz gegangen. Das SP2 sollte man am besten offline einspielen. __________________ Logfiles bitte immer in CODE-Tags posten

05.10.2006, 23:54	#13
BataAlexander > MalwareDB	Worm /SdBot.8655 Hallo Tavarez, personalisierte Werbelinks in Postings oder der Signatur sind imho nicht gestattet. Gruß Schrulli __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

Worm /SdBot.8655

Plagegeister aller Art und deren Bekämpfung: Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Worm /SdBot.8655

Ähnliche Themen: Worm /SdBot.8655

04.10.2006, 19:52	#1
Tavarez	Worm /SdBot.8655 Hallo, kann mir jemand sagen wie ich den Wurm entfernen kann, ohne mein System neu aufsetzen zu müssen ??? mfg Tava

05.10.2006, 21:46	#7
Tavarez	Worm /SdBot.8655 Das war kein Bluff, aber ich such jetzt SP2

05.10.2006, 22:02	#9
Tavarez	Worm /SdBot.8655 Danke, ja ich werde das System neuaufsetzen, wenn ich meinen Laptop wieder aus der Reperatur habe. Damit ich mit dem laptop wenigstens hier Fragen stellen kann wenn ich was nicht peile. Wenigstens weiss ich jetzt wo ich das SP2 finde. Also am Samstag oder Sonntag werde ich das machen.

05.10.2006, 23:38	#12
Tavarez	Worm /SdBot.8655 Hab ich auch nicht, ich hab nur das Service Pack 2 drauf gemacht. OK. Dann melde ich mich am Sonntag wieder, wenn ich das System neu aufgesetzt habe

06.10.2006, 15:42	#14
ApexX	Worm /SdBot.8655 Wenn du dein System neu aufgesetzt hast, alle Patches installiert hast, solltest du eigentlich davon ausgehen können das keine Viren mehr vorhanden sind Rate mal warum man sein System neu aufsetzt? Um alle Viren GARANTIERT los zu werden.

07.10.2006, 22:21	#15
Tavarez	Worm /SdBot.8655 Hallo, erstaml sorry wegen der Signatur, wusste ich nicht. Jetzt zum neuaufsetzen; meine Tastatur funktioniert im Windows Setup Modus nicht, sondern erst wenn Windows hochgefahren ist, ich hab eine USB Tastatur. Ich hab gehört man soll im BIOS was einstellen, aber ich weiss nicht wo der BIOS ist, kann mir bitte jemand helfen Mfg Tava