|
Plagegeister aller Art und deren Bekämpfung: Was ist "Worm/RBot.PY"?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.10.2004, 16:59 | #1 |
| Was ist "Worm/RBot.PY"? Hallo... *neuhier* ich hab mir vorgestern die neuste Version von AntiVir runtergeladen und mal durchlaufen lassen. Dabei wurde ein Wurm namens "Worm/RBot-PY" gefunden. Ich hab bereits gesehen, dass es unzählige dieser Würmer zu geben scheint, alle mit anderen endungen. Zu "meiner" Endung (PY) hab ich allerdings keine Infos oder Erläuterungen gefunden. Nun wüsste ich gerne, was dieser Wurm (hab ihn bereits beseitigt) angerichtet haben könnte oder hätte tun können? Bin einfach "neugierig"... Danke und bis dann Daria |
17.10.2004, 17:35 | #2 |
| Was ist "Worm/RBot.PY"? Poste doch mal bitte ein Logfile von Hijackthis
__________________ |
17.10.2004, 17:50 | #3 |
| Was ist "Worm/RBot.PY"? Das entsprechende Programm findest du hier :http://www.trojaner-board.de/51130-a...ijackthis.html
__________________ |
17.10.2004, 18:16 | #4 |
| Was ist "Worm/RBot.PY"? Guten Abend , Daria04 ! Zu Rbot-PY konnte ich direkt auch nichts finden und scheint noch "relativ neu" zu sein. Aber da kommen fast täglich neue hinzu. Sophos listet z.Z. 327 Varianten in der Rbot-Family auf! Du kannst ja mal die Tage unter http://www.sophos.de/virusinfo/analyses nachsehen, ob DEIN Rbot schon mitaufgeführt wird. Es gibt unter Nr. 287 einen Rbot-BY, deiner schreibt sich ja etwas anders. Kannst ja mal diese 327 durchklicken, dann weißt Du bereits vorab, was diese Rbot-Family so im wesentlichen treibt. Da sind einige üble Finger dabei! Schönen Abend. |
17.10.2004, 22:00 | #5 | |
| Was ist "Worm/RBot.PY"? @ Daria04 nimm's nicht auf die leichte Schulter. Die Familie der Rbot.- sind extrem gefährliche Würmer mit Backdoor-Eigenschaften. Wenn Du einen Ableger dieser Familie auf dem System hast, darfst Du Dich schonend darauf vorbereiten, dass Du Dein System formatieren und neu aufsetzen musst. 1. erstelle ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mitteles copy&paste. 2. führe den eScan laut detaillierter Anleitung im Link auf Deinem System durch: eScan. Der eScan entfernt keine Malware, das wird von Hand gemacht. Poste bitte das Ergebnis des eScan ins Forum ... das geht so: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen" (Zitat Cidre) 3. lies Dir dies durch: formatieren+neuaufsetzen Zitat:
SD |
18.10.2004, 16:48 | #6 |
| Was ist "Worm/RBot.PY"? Oha - vielen Dank für Eure Warnungen! ich bin grad dabei mir dieses hjack runterzuladen und werds gleich hier mal posten.. moment... >>>>>>><<<<<<< Logfile of HijackThis v1.98.2 Scan saved at 17:45:19, on 18.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\mHotkey.exe C:\Programme\AntiVirPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\PROGRA~1\DAP\DAP.EXE C:\PC Magazin\pc zeit\trap.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\FreeRAM\FreeRAM XP Pro 1.40.exe C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe C:\WINDOWS\system32\ntvdm.exe C:\OPLIMIT\ocrawr32.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\T-Online 5.0\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online 5.0\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-ONLI~1.0\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\System32\WISPTIS.EXE C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\Avant Browser\iexplore.exe C:\Programme\Avant Browser\aHTTP.exe C:\Dokumente und Einstellungen\SiT\Eigene Dateien\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de8.hpwis.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de8.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [pczeit] C:\PC Magazin\pc zeit\trap.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter\RegistryController.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro\CheckNewUser.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [FreeRAM XP] "C:\Programme\FreeRAM\FreeRAM XP Pro 1.40.exe" -win O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Alles mit Net Transport downloaden - C:\Programme\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Mit Net Transport downloaden - C:\Programme\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: PDF in Word öffnen - res://C:\Programme\ScanSoft\PDF Converter\IEShellExt.dll /500 O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Validate XML - C:\WINDOWS\web\msxmlval.htm O8 - Extra context menu item: View XSL Output - C:\WINDOWS\web\msxmlvw.htm O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com >>>>>>><<<<<<< hui - was hat das alles zu bedeuten?? oje, ich hatte eigentlich nicht vor meinen computer total platt zumachen... danke für eure hilfe! (hab ich bitter nötig, kenn mich nämlich so gut wie gar nicht auf diesem gebiet aus) bis dann daria |
18.10.2004, 16:58 | #7 |
| Was ist "Worm/RBot.PY"? @ Daria04 Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com Downloade bitte entweder LSP-Fix oder WinsockFix. LSP-Fix oder WinsockFix wirst Du brauchen, wenn Du Einträge von 'NewDotNet' und 'Hijacked Internet access by New.Net' löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen. Mit einem dieser Programme kannst Du diese Probleme beheben. Die zu löschenden Einträge korrumpieren die Winsock dlls, die Windows benötigt um eine Internetverbindung aufzubauen. Um die originalen Dateien wiederherzustellen WinsockFix oder LSPFix herunterladen, die Internetverbindung trennen und eines der Programme ausführen. Den Rechner neu booten. Melde Dich, wenn Du eines der beiden Programme gedownloadet hast. Ich schau mir derweil Dein Logfile an. SD |
18.10.2004, 17:23 | #8 |
| Was ist "Worm/RBot.PY"? Hallo, das aktuelle Service Pack 2 hab ich mir schon vor ein paar Tagen per CD-Rom zuschicken lassen - allerdings mich bis jetzt noch nicht wirklich getraut es zu installieren wegen dieser ganzen Kompatibilitätsprobleme. Hab nämlich wenig Lust dass z.B. mein Brockhaus nicht mehr funktioniert... Mir wär schonmal sehr geholfen, wenn mir jemand einen Link zu einer Liste geben könnte, in der alle Programme, mit denen es Schwierigkeiten mit dem SP2 gibt, aufgeführt sind. Bis jetzt hab ich diverse Listen gesehen aber irgendwie steht überall was anderes und ich weiß echt nicht mehr worauf ich mich verlassen soll. auf der Mircosoft-hp bin ich auch nicht so richtig fündig geworden bzw. nicht schlau geworden ;-) jedenfalls werd ich mir eines der beiden rpogramme vorsichtshalber runterladen. welches ist denn besser? daria |
18.10.2004, 17:42 | #9 |
| Was ist "Worm/RBot.PY"? @ Daria04, sie sind beide gleich gut. Downloade nun bitte eines der beiden Programme, denn wenn Du die nun folgenden Anweisungen ausführst, solltest Du eines der beiden Programme auf Deinem Rechner haben, sonst sehen wir Dich möglicherweise einige Zeit nicht wieder. Oder Du schreibst Protestmeldungen aus einem Internetcafé .. ;-) ----------------------- Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This (Häk'chen setzen und auf Fix checked klicken): O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O8 - Extra context menu item: Validate XML - C:\WINDOWS\web\msxmlval.htm O8 - Extra context menu item: View XSL Output - C:\WINDOWS\web\msxmlvw.htm wenn Du diesen Einträge nicht kennst/brauchst, bitte fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de8.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de8.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com/ O4 - HKLM\..\Run: [pczeit] C:\PC Magazin\pc zeit\trap.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Alles mit Net Transport downloaden - C:\Programme\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: Mit Net Transport downloaden - C:\Programme\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add dieser Eintrag sollte gefixed werden, wenn er nicht die IP oder Domain Deines Providers ist: O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com Boote in den normalen Modus. Mit LSP-Fix oder WinsockFix löschen: O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren." ---> Lösche: wenn Du diesen Prozess nicht kennst/brauchst: trap.exe Aktiviere die Systemwiederherstellung. ====>> Downloade das Programm eScan. Erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online (Anleitung im Link beachten!) und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware wird von Hand gelöscht. Teile uns das Ergebnis des eScan mit: welche Viren (Namen) wurden auf Deinem Rechner gefunden. ("Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." [Zitat Cidre]) Erstelle ein neues Hijack This Logfile und poste es. SD |
20.10.2004, 17:39 | #10 |
| Hilfe! Hallo Leute, ich habe auch solche scheisses Ding auf meinem Notebook(ganz neue sogar!!!!) Danke für irgenwelche Hilfe! Alex Logfile of HijackThis v1.97.7 Scan saved at 18.21.51, on 20/10/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programmi\File comuni\InterVideo\SchSvr\SchSvr.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\Synaptics\SynTP\SynTPLpr.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\Winamp3\winampa.exe C:\WINDOWS\System32\WINIUPDATES.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Babylon\Babylon.exe C:\WINDOWS\System\SmWizard.exe C:\Programmi\mozilla.org\Mozilla\mozilla.exe C:\WINDOWS\System32\wuauclt.exe C:\Programmi\AVWin\AVWUPSRV.EXE C:\Programmi\AVWin\AVGUARD.EXE C:\Programmi\AVWin\AVMAILC.EXE C:\Programmi\AVWin\AVGNT.EXE C:\Documents and Settings\Alessandro\Desktop\Download\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxyconf.muc.infineon.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://sww.stusta.de/proxy.pac:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programmi\File comuni\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe" O4 - HKLM\..\Run: [Microsoft Windows Updater] WINIUPDATES.EXE O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVWin\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min O4 - HKLM\..\RunServices: [Microsoft Windows Updater] WINIUPDATES.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Babylon Translator] C:\Programmi\Babylon\Babylon.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O17 - HKLM\System\CCS\Services\Tcpip\..\{93B5E7AA-5493-4121-9FAE-30CE83F37BCB}: Domain = stusta.swh.mhn.de O17 - HKLM\System\CCS\Services\Tcpip\..\{93B5E7AA-5493-4121-9FAE-30CE83F37BCB}: NameServer = 10.150.127.2,10.150.126.2 |
20.10.2004, 17:45 | #11 |
| Was ist "Worm/RBot.PY"? @alexzive Logfile of HijackThis v1.97.7 Scan saved at 18.21.51, on 20/10/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) update bitte dein system und IE lade dir bitte den aktuellen version http://www.trojaner-board.de/51130-a...ijackthis.html und mache ein neuen scan, poste es hier im board chaosman
__________________ Bonus vir semper tiro |
20.10.2004, 18:11 | #12 |
| Was ist "Worm/RBot.PY"? hier die "aktualisierte" log!Danke für die Hinweise. Logfile of HijackThis v1.98.2 Scan saved at 19.10.15, on 20/10/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programmi\File comuni\InterVideo\SchSvr\SchSvr.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\Synaptics\SynTP\SynTPLpr.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\Winamp3\winampa.exe C:\WINDOWS\System32\WINIUPDATES.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Babylon\Babylon.exe C:\WINDOWS\System\SmWizard.exe C:\WINDOWS\System32\wuauclt.exe C:\Programmi\AVWin\AVWUPSRV.EXE C:\Programmi\AVWin\AVGUARD.EXE C:\Programmi\AVWin\AVMAILC.EXE C:\Programmi\AVWin\AVGNT.EXE C:\Programmi\Winamp3\Studio.exe C:\WINDOWS\System32\notepad.exe C:\Programmi\mozilla.org\Mozilla\mozilla.exe C:\Documents and Settings\Alessandro\Impostazioni locali\Temp\Directory temporanea 1 per hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxyconf.muc.infineon.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://sww.stusta.de/proxy.pac:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programmi\File comuni\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe" O4 - HKLM\..\Run: [Microsoft Windows Updater] WINIUPDATES.EXE O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVWin\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min O4 - HKLM\..\RunServices: [Microsoft Windows Updater] WINIUPDATES.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Babylon Translator] C:\Programmi\Babylon\Babylon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O17 - HKLM\System\CCS\Services\Tcpip\..\{93B5E7AA-5493-4121-9FAE-30CE83F37BCB}: Domain = stusta.swh.mhn.de O17 - HKLM\System\CCS\Services\Tcpip\..\{93B5E7AA-5493-4121-9FAE-30CE83F37BCB}: NameServer = 10.150.127.2,10.150.126.2 |
20.10.2004, 18:29 | #13 |
| Was ist "Worm/RBot.PY"? Hallo alexzive, Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) Besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können. Überprüfe mit dem online-scan von Kaspersky: C:\Programmi\Winamp3\Studio.exe Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. (Forschungszweck) Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken): R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O4 - HKLM\..\Run: [Microsoft Windows Updater] WINIUPDATES.EXE O4 - HKLM\..\RunServices: [Microsoft Windows Updater] WINIUPDATES.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm wenn Du diese Einträge nicht kennst/brauchst, bitte fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://proxyconf.muc.infineon.com O17 - HKLM\System\CCS\Services\Tcpip\..\{93B5E7AA-5493-4121-9FAE-30CE83F37BCB}: Domain = stusta.swh.mhn.de Beende: WINIUPDATES.EXE Lösche: C:\WINDOWS\System32\WINIUPDATES.EXE Aktiviere die Systemwiederherstellung, boote in den normalen Modus. Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Erstelle ein neues Hijack This Logfile und poste es. SD |
22.10.2004, 22:35 | #14 |
| Was ist "Worm/RBot.PY"? hi. ich abe mit antivir am mittwoch die selbe warnung bekommen. habe nun alles so gemacht wie hier beschrieben.... bin mir aber nicht nicher obs auch alles weggemacht hat. =/ escan hat eine vcp32.exe unter c:windows/system32/ gefunden , hab sie im sicheren modus gelöscht. hier nochmal meine log von hijack. =) mfg blue Logfile of HijackThis v1.98.2 Scan saved at 23:29:20, on 22.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS2\System32\smss.exe C:\WINDOWS2\system32\winlogon.exe C:\WINDOWS2\system32\services.exe C:\WINDOWS2\system32\lsass.exe C:\WINDOWS2\system32\svchost.exe C:\WINDOWS2\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS2\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\apachefriends\xampp\apache\bin\Apache.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\apachefriends\xampp\mysql\bin\mysqld-nt.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINDOWS2\System32\nvsvc32.exe C:\WINDOWS2\System32\svchost.exe C:\apachefriends\xampp\apache\bin\Apache.exe C:\WINDOWS2\Explorer.EXE C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS2\System32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS2\System32\ctfmon.exe C:\Programme\mozilla.org\Mozilla\Mozilla.exe C:\WINDOWS2\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe C:\Programme\AudioSystem EWX 2496\EwxCpl.exe C:\WINDOWS2\twain_32\A4CIS600\WATCH.exe C:\WINDOWS2\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS2\System32\wuauclt.exe C:\Dokumente und Einstellungen\der meister\Desktop\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS2\SYSTEM\blank.htm R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS2\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe" O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS2\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS2\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS2\System32\ctfmon.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [SIDEBAR] "C:\WINDOWS2\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe" O4 - HKCU\..\Run: [Steam] "c:\progra~1\valve\steam\steam.exe" -silent O4 - Startup: Watch.lnk = C:\WINDOWS2\twain_32\A4CIS600\WATCH.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: EWX 2496 ControlPanel.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS2\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS2\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098291133339 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{154E0F1E-73F4-4723-B3E7-07106605D9C0}: NameServer = 217.237.149.161 217.237.151.225 |
22.10.2004, 22:54 | #15 |
Gast | Was ist "Worm/RBot.PY"? @bluex Lösche dies, sofern nicht gewollt installiert: C:\Programme\QuickSearch Fixe dies: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS2\SYSTEM\blank.htm R3 - Default URLSearchHook is missing O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll O4 - Global Startup: EWX 2496 ControlPanel.lnk = ? O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) |
Themen zu Was ist "Worm/RBot.PY"? |
andere, anderen, antivir, bereits, beseitigt, einfach, gefunde, infos, namens, neugierig, neuste, runtergeladen, schei, version, wurm, würmer, wüsste |