Hi Leute

Ich habe ein Problem mit einem Wurm. Er nennt sich „W32SpyBot.gen“.
Ich kriege diesen wurm einfach nicht weg, irgendwann im laufe des Tages sagt mein anti-virus (BitDefender 8 Professional) immer
„C:\WINDOWS\system32\TFTP404 W32SpyBot.gen“.
Erst muss ich dann meinen Rechner neu starten weil er sich sofort aufhängt. Dann lösche ich die Datei die infiziert ist. Nach ein paar Minuten-Stunden ist sie wieder da.
Ich vermute das sich irgendwo eine .exe befindet die diese Datei wieder herstellt oder so was in der art.

Wäre nett wen Hilfe kommen würde und danke im voraus.

@Bomb Jack
mache bitte ein scan mit HijackThis und poste es hier im board
www.hijackthis.de

chaosman

Logfile of HijackThis v1.98.2
Scan saved at 21:14:59, on 05.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
E:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
E:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\BOMBJA~1\LOKALE~1\Temp\Rar$EX14.688\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe
O4 - HKLM\..\RunServices: [MSN Messenger] sgmmncq.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [MSN Messenger] sgmmncq.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: concept/design's onlineTV - {C4F18EBE-A763-45CB-BB3B-BB7240C51187} - E:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://support.installshield.com/kb/...OCI/isetup.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9064FBFE-6D1C-46DC-946F-17631EEFD289}: NameServer = 62.72.64.237,62.72.64.241

Zitat:

O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe

=> Sophos Virenlexikon


Sobald er installiert ist, verbindet sich W32/Forbot-K mit einem vorkonfigurierten IRC-Server und Kanal, über den ein Angreifer weitere Befehle senden kann. Diese Befehle können dazu führen, dass der infizierte Computer eine der folgenden Aktionen ausführt:

* Überfluten eines Remote-Hosts (entweder über ping oder HTTP)
* Starten eines SOCKS4-Proxyservers
* Starten eines FTP-Servers
* Portscan zufällig gewählter IP-Adressen
* Ausführen willkürlicher Befehle
* Stehlen von Daten, wie Kennwörtern und Produktschlüsseln
* Hochladen/Herunterladen von Dateien
* Manipulieren des lokalen Dateisystems
* Bearbeiten der Systemregistrierung.

Lösung

Aber scanne zur Sicherheit deinen PC vorher mit eScan im abgesicherten Modus und poste was gefunden wurde

Hat folgendes mit e'scan gefunden:
C:\WINDOWS\System32\snlogsvc.exe infected by "Backdoor.Win32.Rbot.gen

brauche aber die vollversionum ihn zu löschen. Mein antivirus findet ihn nicht.
Kann ich ihn sonst irgentwie löschen?

1.) bist du sicher, dass du dein ganzes System im abgesicherten Modus gescannt hast? (kann ich mir wegen der kurzen Zeit kaum vorstellen)
2.) Der Rbot reicht eigentlich schon fürs Formatieren aus => Rbot

ist der rbot.gen der selbe wie der spybot.gen
und bleibt mir nichts anderes überig?
Ich formatiere sehr ungerne

Ich glaube, wie schon gesagt nicht, dass du dein ganzes System gescannt hast, denn du hast meiner Meinung nach mehr als "nur" den Rbot drauf.

Zitat:

O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe
O4 - HKLM\..\RunServices: [MSN Messenger] sgmmncq.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe

Das dürfte alles Malware sein
snlogsvc.exe = Rbot
svxhost.exe = Forbot-K
sgmmncq.exe = ???

Nahezu jeder hier am TB wird dir raten zu formatieren (siehe hierzu Kompromittierung ), aber das ist dir selbst überlassen.
PS: Falls eScan noch mehr gefunden hat/findet, lass es uns wissen.

OK

ich hatte vor den rechner über nacht zu überprüfen zu lassen.Heute morgen habe ich dann geguckt und er hatte sich wieder eingefriert.
Ich habe dann von einem freund win patrol gekriegt habe dort ein prozess gefunden der gefährlich war, habe ihn gelöscht.Dann habe ich in der regestri alle schlüssel und so mit "svxhost.exe,sgmmncq.exe und snlogsvc.exe" gelöscht . habe bis jetzt keine virus meldung mehr bekommen.

Meine kleine Frage an euch:
Hat das jetzt irgentetwas gebracht was ich getan habe???

@ Bomb Jack

Zitat:

Zitat von Bomb Jack

ist der rbot.gen der selbe wie der spybot.gen
und bleibt mir nichts anderes überig?
Ich formatiere sehr ungerne

Virusinformation SOPHOS: W32/Spybot-BS--> unter "Erläuterung" nachlesen.

C:\WINDOWS\System32\snlogsvc.exe infected by "Backdoor.Win32.Rbot.gen"--> "Erläuterung" beachten.

Meiner Ansicht solltest Du dies tun:

- Lutz: Datensicherung
- Cidre: ein umfassender Rat
- Festplatte Formatieren - Schritt für Schritt

SD

Moin Moin

Ich habe das problem gelöst, indem ich formatiert habe.
Musste wegen diesem scheiß teil eine lan absagen und formatieren, allso war es nur ein kleiner schaden

Danke für eure hilfe nochmal, ich habs versucht.