|
Plagegeister aller Art und deren Bekämpfung: Was nun?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.10.2004, 11:38 | #1 |
| Was nun? Guten Tag. Vor einigen Tagen habe ich festgestellt, das auf meinem System der Tibick Wurm sein Unwesen treibt. Daraufhin habe ich das System neu aufgesetzt und anscheinend habe ich mir sofort wieder was eingefangen. Jetzt habe ich ein paar Tage gerätselt und getüftelt, habe dann hier im Forum nachgelesen... Norton Antivirus erkannte die Verseuchungen nicht (tortz aktueller Virenliste) Nach einiger Zeit Betrieb, schliesst sich die T-Online Software, ich bleibe aber im Netz, kann keine neuen Programme mehr öffnen und schliessen klappt auch meist nicht. In den abgesicherten Modus will der Rechner nicht starten. Somit die Frage: was soll ich machen. Ich hänge direkt mal das Ergebnis von eScan und Hijack dran: File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus C:\WINDOWS\System32\mvsecn.exe infected by "Backdoor.Win32.Wootbot.gen" Virus (Das wiederholt sich dann einige male mit den selben pfaden irgendwie) Logfile of HijackThis v1.98.2 Scan saved at 12:45:44, on 18.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\mvsecn.exe D:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe D:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\TBPS.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\PIB.exe C:\WINDOWS\System32\wuauclt.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe D:\Programme\Winamp\winamp.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE D:\PROGRAMME\OPERA\OPERA.EXE D:\Programme\ICQLite\ICQLite.exe C:\DOKUME~1\Chris\LOKALE~1\Temp\Rar$EX13.834\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\toolbar.dll/sa R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\toolbar.dll/sa R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\toolbar.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file) O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\toolbar.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\toolbar.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [$WindowsRegKey%update] C:\Programme\Internet Explorer\IEXPLORE.EXE O4 - HKLM\..\Run: [Starting up] wvsvc.exe O4 - HKLM\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [Win32 USB Driver] mvsecn.exe O4 - HKLM\..\Run: [TBPS] C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\TBPS.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\RunServices: [$WindowsRegKey%update] C:\Programme\Internet Explorer\IEXPLORE.EXE O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe O4 - HKLM\..\RunServices: [Win32 USB Driver] mvsecn.exe O4 - HKLM\..\RunOnce: [Win32 USB Driver] mvsecn.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Win32 USB Driver] mvsecn.exe O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\RunOnce: [Win32 USB Driver] mvsecn.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097764128405 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F4D72E1E-C749-41EB-9C64-7508B02A58E4}: NameServer = 217.237.151.225 217.237.150.225 O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\toolbar.dll Geändert von Herr Werk (18.10.2004 um 11:46 Uhr) |
18.10.2004, 12:16 | #2 |
| Was nun? Hallo,
__________________du hast diverse Schädlinge auf dem Rechner, die anderen Zugriff und Manipulation desselben erlauben u.a.: http://www.sophos.com/virusinfo/anal...2forbotbk.html Meine Empfehlung wäre daher, die Neuinstallation noch einmal zu wiederholen, diesmal aber nach folgender Anleitung: http://board.protecus.de/showtopic.p...me=1097944155& Wenn man mit einem frisch installierten XP ins Netz geht, ohne es vorher offline zu patchen oder wenigstens mit der Firewall abzusichern, genügt bereits die kurze Zeit, um Neuinfektionen durch die alten Sicherheitslücken zu ermöglichen, obwohl man diese ja gerade schnell schließen möchte. Außerdem solltest du alles überprüfen, was du dir aus dem Netz heruntergeladen hast und vielelicht sicherst, um es neu zu installieren, da auch dort bei Bezug von zweifelhaften Quellen der Schädling evtl. gleich wieder installiert wird, den man gerade durch die Installation entfernt hat. |
Themen zu Was nun? |
.dll, .exe, abgesicherten modus, adobe, antivirus, antivirus scan, bho, escan, explorer, frage, hijack, hijackthis, infected, internet, internet explorer, meinem, neu, neu aufgesetzt, opera, programme, security, security center, software, starten., sun java, symantec, system, system neu, t-online, tcpip, temp, urlsearchhook, usb, windows, windows xp, wurm, yahoo |