|
Plagegeister aller Art und deren Bekämpfung: TR/WWBars.1 soul-gateWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.09.2004, 17:00 | #1 |
| TR/WWBars.1 soul-gate hi all hab folgendes Problem, wenn ich mich ins internet einwähle öffnet sich wenige sekunden automatisch der Internet Explorer mit der soul-gate Seite. Kurz darauf meldet mein AntiVIR, dass sich der Trojaner TR/WWBars.1 auf meinem System befindet. hab die aktuellen versionen von Ad-aware und Spybot, sowie einige andere Registry-tools über mein System laufen lassen und trotzdem kommt dieser Trojaner immer wieder. kann mir jemand sagen wie ich diesen trojaner dauerhaft von meinem System fern halten kann ? gruß beuti *edit* meine Logfile mit Hijackthis Logfile of HijackThis v1.98.2 Scan saved at 18:08:30, on 05.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\WINDOWS\system32\spoolsv.exe D:\AOL 9.0\aoltray.exe E:\Eumex 704PC LAN\Capictrl.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\PROGRA~1\GEMEIN~1\AOL\ACS\AOLacsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\AVPersonal\AVWIN.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe D:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [XML Service] msxml.exe O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe O4 - HKLM\..\RunServices: [Windows Update] host32.exe O4 - HKLM\..\RunServices: [msn] msnmsg.exe O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe O4 - HKLM\..\RunServices: [XML Service] msxml.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunServices: [msn] msnmsg.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe O4 - Global Startup: CAPI Control.lnk = E:\Eumex 704PC LAN\Capictrl.exe O4 - Global Startup: HomeNet Control.lnk = E:\Eumex 704PC LAN\HNetCtrl.exe O8 - Extra context menu item: Download with GetRight - E:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - E:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: FreedomAudio - http://www.freedomaudio.com/install/...minstaller.cab O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt1_x.cab O16 - DPF: Yahoo! Klondike Solitaire - http://yog55.games.scd.yahoo.com/yog/y/ks12_x.cab O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt2_x.cab O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst3_x.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...eed591071fa5ae O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094300341609 O17 - HKLM\System\CCS\Services\Tcpip\..\{F731D87E-0623-4CA4-8468-C98BFAB25088}: NameServer = 205.188.146.146 |
05.09.2004, 17:56 | #2 |
| TR/WWBars.1 soul-gate Du hast leider offenbar ein fröhliches Familienpicknick der Rbot-Family auf deinem Rechner:
__________________http://www.sophos.de/virusinfo/analyses/w32rbothd.html http://de.trendmicro-europe.com/ente...e=WORM_RBOT.HP http://www.sophos.de/virusinfo/analyses/w32rbotct.html Da es sich hier um vergleichsweise gefährliche Trojanische Pferde handelt, die einem Angreifer weitreichende Möglichkeiten zur manipulation deines Systems geben, kann man ehrlicherweise nur ein Neuaufsetzen empfehlen, das ist die einzige Methode, nach der du 100%ig wieder einen verstrauenswürdigen Rechner hast. Daher: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html) 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org (dies wöchentlich wiederholen) 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.) 11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen Falls du eine Reparatur versuchen willst (definitiv die schlechtere Lösung), besorge dir E-Scan und update es wie hier beschrieben: http://www.trojaner-board.de/42731-escan-anleitung.html Deaktiviere die Systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html Fixe mit Hijackthis: O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe O4 - HKLM\..\Run: [XML Service] msxml.exe O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe O4 - HKLM\..\RunServices: [Windows Update] host32.exe O4 - HKLM\..\RunServices: [msn] msnmsg.exe O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe O4 - HKLM\..\RunServices: [XML Service] msxml.exe O4 - HKCU\..\RunServices: [msn] msnmsg.exe O16 - DPF: FreedomAudio - http://www.freedomaudio.com/install...ominstaller.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...feed591071fa5ae Starte den PC in den abgesicherten Modus, lösche die in den Einträgen erwähnten *.exe und *.dll-Dateien, dann lass E-Scan wie oben beschrieben durchlaufen. Reboot in den normalen Modus und erstelle eine neues Logfile. Besser: striktes Abarbeiten ALLER 11 Punkte. Lektüre: http://www.mathematik.uni-marburg.de...ompromise.html http://faq.underflow.de/ |
05.09.2004, 18:11 | #3 |
| TR/WWBars.1 soul-gate vielen dank für die tips
__________________ |
Themen zu TR/WWBars.1 soul-gate |
ad-aware, adobe, antivir, avg, bho, browser, download, excel, explorer, hijack, home, internet, internet explorer, lan, logfile, meinem, problem, programme, sekunden, software, system, tcpip, trojaner, windows, windows xp, yahoo, öffnet |