Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Was nun?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.10.2004, 11:38   #1
Herr Werk
 
Was nun? - Standard

Was nun?



Guten Tag.

Vor einigen Tagen habe ich festgestellt, das auf meinem System der Tibick Wurm sein Unwesen treibt. Daraufhin habe ich das System neu aufgesetzt und anscheinend habe ich mir sofort wieder was eingefangen. Jetzt habe ich ein paar Tage gerätselt und getüftelt, habe dann hier im Forum nachgelesen...

Norton Antivirus erkannte die Verseuchungen nicht (tortz aktueller Virenliste)

Nach einiger Zeit Betrieb, schliesst sich die T-Online Software, ich bleibe aber im Netz, kann keine neuen Programme mehr öffnen und schliessen klappt auch meist nicht.

In den abgesicherten Modus will der Rechner nicht starten. Somit die Frage: was soll ich machen. Ich hänge direkt mal das Ergebnis von eScan und Hijack dran:

File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus
C:\WINDOWS\System32\mvsecn.exe infected by "Backdoor.Win32.Wootbot.gen" Virus

(Das wiederholt sich dann einige male mit den selben pfaden irgendwie)

Logfile of HijackThis v1.98.2
Scan saved at 12:45:44, on 18.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\mvsecn.exe
D:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\TBPS.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\PIB.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\PROGRAMME\OPERA\OPERA.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\DOKUME~1\Chris\LOKALE~1\Temp\Rar$EX13.834\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\toolbar.dll/sa
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\toolbar.dll/sa
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\toolbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\toolbar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [$WindowsRegKey%update] C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Win32 USB Driver] mvsecn.exe
O4 - HKLM\..\Run: [TBPS] C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\TBPS.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Win32 USB Driver] mvsecn.exe
O4 - HKLM\..\RunOnce: [Win32 USB Driver] mvsecn.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Win32 USB Driver] mvsecn.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [Win32 USB Driver] mvsecn.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097764128405
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4D72E1E-C749-41EB-9C64-7508B02A58E4}: NameServer = 217.237.151.225 217.237.150.225
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\DOKUME~1\Chris\LOKALE~1\Temp\TEMP~1.FR3\toolbar.dll

Geändert von Herr Werk (18.10.2004 um 11:46 Uhr)

Alt 18.10.2004, 12:16   #2
MountainKing
 
Was nun? - Standard

Was nun?



Hallo,

du hast diverse Schädlinge auf dem Rechner, die anderen Zugriff und Manipulation desselben erlauben u.a.:

http://www.sophos.com/virusinfo/anal...2forbotbk.html

Meine Empfehlung wäre daher, die Neuinstallation noch einmal zu wiederholen, diesmal aber nach folgender Anleitung:

http://board.protecus.de/showtopic.p...me=1097944155&

Wenn man mit einem frisch installierten XP ins Netz geht, ohne es vorher offline zu patchen oder wenigstens mit der Firewall abzusichern, genügt bereits die kurze Zeit, um Neuinfektionen durch die alten Sicherheitslücken zu ermöglichen, obwohl man diese ja gerade schnell schließen möchte. Außerdem solltest du alles überprüfen, was du dir aus dem Netz heruntergeladen hast und vielelicht sicherst, um es neu zu installieren, da auch dort bei Bezug von zweifelhaften Quellen der Schädling evtl. gleich wieder installiert wird, den man gerade durch die Installation entfernt hat.
__________________


Antwort

Themen zu Was nun?
.dll, .exe, abgesicherten modus, adobe, antivirus, antivirus scan, bho, escan, explorer, frage, hijack, hijackthis, infected, internet, internet explorer, meinem, neu, neu aufgesetzt, opera, programme, security, security center, software, starten., sun java, symantec, system, system neu, t-online, tcpip, temp, urlsearchhook, usb, windows, windows xp, wurm, yahoo




Zum Thema Was nun? - Guten Tag. Vor einigen Tagen habe ich festgestellt, das auf meinem System der Tibick Wurm sein Unwesen treibt. Daraufhin habe ich das System neu aufgesetzt und anscheinend habe ich mir - Was nun?...
Archiv
Du betrachtest: Was nun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.