|
Plagegeister aller Art und deren Bekämpfung: W32SpyBot.genWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.11.2004, 21:00 | #1 |
| W32SpyBot.gen Hi Leute Ich habe ein Problem mit einem Wurm. Er nennt sich „W32SpyBot.gen“. Ich kriege diesen wurm einfach nicht weg, irgendwann im laufe des Tages sagt mein anti-virus (BitDefender 8 Professional) immer „C:\WINDOWS\system32\TFTP404 W32SpyBot.gen“. Erst muss ich dann meinen Rechner neu starten weil er sich sofort aufhängt. Dann lösche ich die Datei die infiziert ist. Nach ein paar Minuten-Stunden ist sie wieder da. Ich vermute das sich irgendwo eine .exe befindet die diese Datei wieder herstellt oder so was in der art. Wäre nett wen Hilfe kommen würde und danke im voraus. |
05.11.2004, 21:03 | #2 |
| W32SpyBot.gen @Bomb Jack
__________________mache bitte ein scan mit HijackThis und poste es hier im board www.hijackthis.de chaosman
__________________ |
05.11.2004, 21:15 | #3 |
| W32SpyBot.gen Logfile of HijackThis v1.98.2
__________________Scan saved at 21:14:59, on 05.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\System32\sstray.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe E:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\MSN Messenger\msnmsgr.exe E:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\BOMBJA~1\LOKALE~1\Temp\Rar$EX14.688\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe O4 - HKLM\..\RunServices: [MSN Messenger] sgmmncq.exe O4 - HKLM\..\RunServices: [EnableDCOM] N O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunServices: [MSN Messenger] sgmmncq.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: concept/design's onlineTV - {C4F18EBE-A763-45CB-BB3B-BB7240C51187} - E:\Programme\onlineTV\onlineTV.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://support.installshield.com/kb/...OCI/isetup.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9064FBFE-6D1C-46DC-946F-17631EEFD289}: NameServer = 62.72.64.237,62.72.64.241 |
05.11.2004, 21:26 | #4 | |
| W32SpyBot.genZitat:
Sobald er installiert ist, verbindet sich W32/Forbot-K mit einem vorkonfigurierten IRC-Server und Kanal, über den ein Angreifer weitere Befehle senden kann. Diese Befehle können dazu führen, dass der infizierte Computer eine der folgenden Aktionen ausführt: * Überfluten eines Remote-Hosts (entweder über ping oder HTTP) * Starten eines SOCKS4-Proxyservers * Starten eines FTP-Servers * Portscan zufällig gewählter IP-Adressen * Ausführen willkürlicher Befehle * Stehlen von Daten, wie Kennwörtern und Produktschlüsseln * Hochladen/Herunterladen von Dateien * Manipulieren des lokalen Dateisystems * Bearbeiten der Systemregistrierung. Lösung Aber scanne zur Sicherheit deinen PC vorher mit eScan im abgesicherten Modus und poste was gefunden wurde |
05.11.2004, 21:56 | #5 |
| W32SpyBot.gen Hat folgendes mit e'scan gefunden: C:\WINDOWS\System32\snlogsvc.exe infected by "Backdoor.Win32.Rbot.gen brauche aber die vollversionum ihn zu löschen. Mein antivirus findet ihn nicht. Kann ich ihn sonst irgentwie löschen? |
05.11.2004, 22:13 | #7 |
| W32SpyBot.gen ist der rbot.gen der selbe wie der spybot.gen und bleibt mir nichts anderes überig? Ich formatiere sehr ungerne |
05.11.2004, 22:29 | #8 | |
| W32SpyBot.gen Ich glaube, wie schon gesagt nicht, dass du dein ganzes System gescannt hast, denn du hast meiner Meinung nach mehr als "nur" den Rbot drauf. Zitat:
snlogsvc.exe = Rbot svxhost.exe = Forbot-K sgmmncq.exe = ??? Nahezu jeder hier am TB wird dir raten zu formatieren (siehe hierzu Kompromittierung ), aber das ist dir selbst überlassen. PS: Falls eScan noch mehr gefunden hat/findet, lass es uns wissen. |
06.11.2004, 16:10 | #9 |
| W32SpyBot.gen OK ich hatte vor den rechner über nacht zu überprüfen zu lassen.Heute morgen habe ich dann geguckt und er hatte sich wieder eingefriert. Ich habe dann von einem freund win patrol gekriegt habe dort ein prozess gefunden der gefährlich war, habe ihn gelöscht.Dann habe ich in der regestri alle schlüssel und so mit "svxhost.exe,sgmmncq.exe und snlogsvc.exe" gelöscht . habe bis jetzt keine virus meldung mehr bekommen. Meine kleine Frage an euch: Hat das jetzt irgentetwas gebracht was ich getan habe??? |
06.11.2004, 16:50 | #10 | |
| W32SpyBot.gen @ Bomb Jack Zitat:
C:\WINDOWS\System32\snlogsvc.exe infected by "Backdoor.Win32.Rbot.gen"--> "Erläuterung" beachten. Meiner Ansicht solltest Du dies tun: - Lutz: Datensicherung - Cidre: ein umfassender Rat - Festplatte Formatieren - Schritt für Schritt SD |
07.11.2004, 16:16 | #11 |
| W32SpyBot.gen Moin Moin Ich habe das problem gelöst, indem ich formatiert habe. Musste wegen diesem scheiß teil eine lan absagen und formatieren, allso war es nur ein kleiner schaden Danke für eure hilfe nochmal, ich habs versucht. |
Themen zu W32SpyBot.gen |
.exe, arten, befindet, bitdefender, danke, datei, defender, einfach, ftp, hilfe, infiziert, kriege, laufe, minute, nennt, neu, neu starten, problem, professional, rechner, sofort, starte, starten, system, system32, vermute, windows, würde |