|
Plagegeister aller Art und deren Bekämpfung: wahrscheinlich Wurm, aber welcher?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.10.2004, 22:10 | #1 |
| wahrscheinlich Wurm, aber welcher? Hallo, ich habe folgendes Problem. Hatte Korgo drauf. Wurde von AntiViir und NortonAntiVirus erkannt und angeblich beseitigt. Neue Suchläufe zeigen auch nichts mehr an. Autostart und Registryeinträge sehen auch sauber aus. Beide Virusprogramme auf Stand von heute. Trotzdem versucht irgendetwas übers Netz zu kommunizieren. Netstat sagt zum Beispiel folgendes: TCP benutzer-0kp3v7:2038 dialin-212-144-184-134.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:2046 dialin-212-144-157-125.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:2080 dialin-212-144-157-125.arcor-ip.net:microsoft-ds HERGESTELLT TCP benutzer-0kp3v7:2082 dialin-212-144-040-058.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:2129 dialin-212-144-169-075.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:2160 dialin-212-144-169-075.arcor-ip.net:microsoft-ds HERGESTELLT TCP benutzer-0kp3v7:2182 dialin-212-144-012-141.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:2187 dialin-212-144-012-141.arcor-ip.net:microsoft-ds HERGESTELLT TCP benutzer-0kp3v7:2196 dialin-212-144-010-181.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:2275 dialin-212-144-151-087.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:2293 dialin-212-144-164-184.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:2818 dialin-212-144-157-090.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:2964 dialin-212-144-111-077.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:2979 dialin-212-144-105-089.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:2985 dialin-212-144-105-089.arcor-ip.net:microsoft-ds HERGESTELLT TCP benutzer-0kp3v7:3011 dialin-212-144-105-089.arcor-ip.net:44445 SYN_GESENDET TCP benutzer-0kp3v7:3015 dialin-212-144-194-232.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:3018 dialin-212-144-194-232.arcor-ip.net:microsoft-ds HERGESTELLT TCP benutzer-0kp3v7:3021 dialin-212-144-169-246.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:3029 dialin-212-144-194-232.arcor-ip.net:44445 SYN_GESENDET TCP benutzer-0kp3v7:3076 dialin-212-144-045-043.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:3083 dialin-212-144-149-211.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:3089 dialin-212-144-045-043.arcor-ip.net:microsoft-ds HERGESTELLT TCP benutzer-0kp3v7:3106 dialin-212-144-154-005.arcor-ip.net:microsoft-ds WARTEND TCP benutzer-0kp3v7:3115 dialin-212-144-149-211.arcor-ip.net:microsoft-ds HERGESTELLT TCP benutzer-0kp3v7:3120 dialin-212-144-073-229.arcor-ip.net:microsoft-ds SYN_GESENDET TCP benutzer-0kp3v7:3121 dialin-212-144-136-180.arcor-ip.net:microsoft-ds SYN_GESENDET TCP benutzer-0kp3v7:3123 dialin-212-144-175-236.arcor-ip.net:microsoft-ds SYN_GESENDET TCP benutzer-0kp3v7:3124 dialin-212-144-045-043.arcor-ip.net:44445 SYN_GESENDET TCP benutzer-0kp3v7:3125 dialin-212-144-049-019.arcor-ip.net:microsoft-ds SYN_GESENDET TCP benutzer-0kp3v7:3126 dialin-212-144-094-157.arcor-ip.net:microsoft-ds SYN_GESENDET TCP benutzer-0kp3v7:3127 212.144.4.240:microsoft-ds SYN_GESENDET TCP benutzer-0kp3v7:3128 dialin-212-144-245-122.arcor-ip.net:microsoft-ds SYN_GESENDET TCP benutzer-0kp3v7:3129 dialin-212-144-186-226.arcor-ip.net:microsoft-ds SYN_GESENDET Das sieht doch mächtig nach Wurm aus! Welcher? Wie bekomme ich ihn weg? Gehts auch ohne Neuinstallation? Was braucht ihr noch für Daten für Ferndiagnose? Freue mich auf Hilfe. Danke! Jörg. |
26.10.2004, 22:14 | #2 |
Administrator, a.D. | wahrscheinlich Wurm, aber welcher? Hallo,
__________________konfiguriere deine NT-Dienste sicher http://www.ntsvcfg.de/ oder www.dingens.org und erstelle mit HiJackThis ein Log-File und poste es hier rein. Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.
__________________ |
26.10.2004, 22:14 | #3 |
| wahrscheinlich Wurm, aber welcher? Lade dir HijackThis runter
__________________http://www.trojaner-board.de/51130-a...ijackthis.html und poste das log hier Mach auch mal netstat -a -b (damit wird das programm angezeigt das da kommuniziert) EDIT: Cidre war mal wieder schneller |
26.10.2004, 22:19 | #4 |
| wahrscheinlich Wurm, aber welcher? Woher haste den des'??? Router Protokoll oder so was?? Lade dir HijackThis runter http://www.trojaner-board.de/51130-a...ijackthis.html Poste mal wir saufen und suchen für dich. *g* warte noch mit dem lustigen c:format etc... Ich habs zuerst gesehn und zwei wahrn schneller. *snif* bin ein misser user *heul* |
26.10.2004, 22:39 | #5 |
| wahrscheinlich Wurm, aber welcher? Hallo, hier das HijackThis Logfile. netstat -a -b geht bei mir nicht. -b Option wird nicht unterstützt. (Wie kommt denn das?) Hoffe das hilft erstmal. Jetzt kümmere ich mich um die Dienste. Logfile of HijackThis v1.98.2 Scan saved at 23:28:00, on 26.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\service32.exe C:\WINDOWS\System32\ltmsg.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\System32\cmd.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Configuration Uploader] service32.exe O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9 O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [Microsoft Configuration Uploader] service32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098744314820 |
26.10.2004, 22:56 | #6 |
Administrator, a.D. | wahrscheinlich Wurm, aber welcher? Das sieht gar nicht gut aus für dich. Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis: C:\WINDOWS\System32\service32.exe
__________________ --> wahrscheinlich Wurm, aber welcher? |
26.10.2004, 23:04 | #7 |
| wahrscheinlich Wurm, aber welcher? So, habe jetzt mal die Dienste angepasst mit svc2kxp.cmd /all Leider keine Veränderung. Das netstat Protokoll sieht immer noch so wild aus und es finden immer noch genausoviele uploads statt. p.s. Ich bin nicht ganz blauäugig. Zum Glück steckt mein DSL Heim-Netz hinter zwei firewalls (Router und Soft). Das ist sauber. Es hat "nur" meinen Laptop erwischt, der ausschließlich per Modem ins Internet geht und nicht im Heim-Netz steckt. |
26.10.2004, 23:20 | #8 |
| wahrscheinlich Wurm, aber welcher? Danke für die Seite, die ist ja wirklich toll....auch wenn mit der Datei wohl was nicht stimmt. Was empfehlt ihr zu tun? File: service32.exe Status: INFECTED/MALWARE Packers detected: PE-DIMINISHER AntiVir No viruses found (2.44 seconds taken) Avast No viruses found (4.94 seconds taken) BitDefender Backdoor.SDBot.Gen (8.49 seconds taken) ClamAV No viruses found (4.34 seconds taken) Dr.Web Win32.HLLW.MyBot.based (6.00 seconds taken) F-Prot Antivirus W32/Spybot.BEI (1.35 seconds taken) Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (7.28 seconds taken) mks_vir No viruses found (2.56 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (3.87 seconds taken) Norman Virus Control W32/Spybot.AIJ (2.03 seconds taken) |
26.10.2004, 23:28 | #9 | |
Administrator, a.D. | wahrscheinlich Wurm, aber welcher?Zitat:
http://www.trojaner-board.de/showpos...9&postcount=33 http://www.trojaner-board.de/showpos...0&postcount=37 Meine Empfehlung: http://www.trojaner-board.de/showpos...28&postcount=2 |
27.10.2004, 08:55 | #10 |
| wahrscheinlich Wurm, aber welcher? Danke für die schnelle Hilfe! Das ist echt nett von Dir. Da hat man nun schon zwei Virenscanner und beide funktionieren nicht. Ok, ich weiß, dass die keinen bombensicheren Schutz bieten, aber das allermeiste ist damit erstmal abgewehrt. Werde mich dann mal an die Neuinstallation setzen :-( |
Themen zu wahrscheinlich Wurm, aber welcher? |
angeblich, antivirus, autostart, brauch, danke, daten, diagnose, erkannt, folge, folgendes, irgendetwas, korgo, microsoft-ds, mächtig, netstat, neue, neuinstallation, neuinstallation?, nichts, nortonantivirus, sauber, stand, träge, versuch, versucht, virusprogramme, wahrscheinlich, wurm, übers |