Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: W32SpyBot.gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.11.2004, 21:00   #1
Bomb Jack
 
W32SpyBot.gen - Standard

W32SpyBot.gen



Hi Leute

Ich habe ein Problem mit einem Wurm. Er nennt sich „W32SpyBot.gen“.
Ich kriege diesen wurm einfach nicht weg, irgendwann im laufe des Tages sagt mein anti-virus (BitDefender 8 Professional) immer
„C:\WINDOWS\system32\TFTP404 W32SpyBot.gen“.
Erst muss ich dann meinen Rechner neu starten weil er sich sofort aufhängt. Dann lösche ich die Datei die infiziert ist. Nach ein paar Minuten-Stunden ist sie wieder da.
Ich vermute das sich irgendwo eine .exe befindet die diese Datei wieder herstellt oder so was in der art.

Wäre nett wen Hilfe kommen würde und danke im voraus.

Alt 05.11.2004, 21:03   #2
chaosman
 
W32SpyBot.gen - Standard

W32SpyBot.gen



@Bomb Jack
mache bitte ein scan mit HijackThis und poste es hier im board
www.hijackthis.de

chaosman
__________________

__________________

Alt 05.11.2004, 21:15   #3
Bomb Jack
 
W32SpyBot.gen - Standard

W32SpyBot.gen



Logfile of HijackThis v1.98.2
Scan saved at 21:14:59, on 05.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
E:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
E:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\BOMBJA~1\LOKALE~1\Temp\Rar$EX14.688\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe
O4 - HKLM\..\RunServices: [MSN Messenger] sgmmncq.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [MSN Messenger] sgmmncq.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: concept/design's onlineTV - {C4F18EBE-A763-45CB-BB3B-BB7240C51187} - E:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://support.installshield.com/kb/...OCI/isetup.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9064FBFE-6D1C-46DC-946F-17631EEFD289}: NameServer = 62.72.64.237,62.72.64.241
__________________

Alt 05.11.2004, 21:26   #4
Haui45
 
W32SpyBot.gen - Standard

W32SpyBot.gen



Zitat:
O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe
=> Sophos Virenlexikon


Sobald er installiert ist, verbindet sich W32/Forbot-K mit einem vorkonfigurierten IRC-Server und Kanal, über den ein Angreifer weitere Befehle senden kann. Diese Befehle können dazu führen, dass der infizierte Computer eine der folgenden Aktionen ausführt:

* Überfluten eines Remote-Hosts (entweder über ping oder HTTP)
* Starten eines SOCKS4-Proxyservers
* Starten eines FTP-Servers
* Portscan zufällig gewählter IP-Adressen
* Ausführen willkürlicher Befehle
* Stehlen von Daten, wie Kennwörtern und Produktschlüsseln
* Hochladen/Herunterladen von Dateien
* Manipulieren des lokalen Dateisystems
* Bearbeiten der Systemregistrierung.

Lösung

Aber scanne zur Sicherheit deinen PC vorher mit eScan im abgesicherten Modus und poste was gefunden wurde

Alt 05.11.2004, 21:56   #5
Bomb Jack
 
W32SpyBot.gen - Standard

W32SpyBot.gen



Hat folgendes mit e'scan gefunden:
C:\WINDOWS\System32\snlogsvc.exe infected by "Backdoor.Win32.Rbot.gen

brauche aber die vollversionum ihn zu löschen. Mein antivirus findet ihn nicht.
Kann ich ihn sonst irgentwie löschen?


Alt 05.11.2004, 21:59   #6
Haui45
 
W32SpyBot.gen - Standard

W32SpyBot.gen



1.) bist du sicher, dass du dein ganzes System im abgesicherten Modus gescannt hast? (kann ich mir wegen der kurzen Zeit kaum vorstellen)
2.) Der Rbot reicht eigentlich schon fürs Formatieren aus => Rbot

Alt 05.11.2004, 22:13   #7
Bomb Jack
 
W32SpyBot.gen - Standard

W32SpyBot.gen



ist der rbot.gen der selbe wie der spybot.gen
und bleibt mir nichts anderes überig?
Ich formatiere sehr ungerne

Alt 05.11.2004, 22:29   #8
Haui45
 
W32SpyBot.gen - Standard

W32SpyBot.gen



Ich glaube, wie schon gesagt nicht, dass du dein ganzes System gescannt hast, denn du hast meiner Meinung nach mehr als "nur" den Rbot drauf.

Zitat:
O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe
O4 - HKLM\..\RunServices: [MSN Messenger] sgmmncq.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
Das dürfte alles Malware sein
snlogsvc.exe = Rbot
svxhost.exe = Forbot-K
sgmmncq.exe = ???

Nahezu jeder hier am TB wird dir raten zu formatieren (siehe hierzu Kompromittierung ), aber das ist dir selbst überlassen.
PS: Falls eScan noch mehr gefunden hat/findet, lass es uns wissen.

Alt 06.11.2004, 16:10   #9
Bomb Jack
 
W32SpyBot.gen - Standard

W32SpyBot.gen



OK

ich hatte vor den rechner über nacht zu überprüfen zu lassen.Heute morgen habe ich dann geguckt und er hatte sich wieder eingefriert.
Ich habe dann von einem freund win patrol gekriegt habe dort ein prozess gefunden der gefährlich war, habe ihn gelöscht.Dann habe ich in der regestri alle schlüssel und so mit "svxhost.exe,sgmmncq.exe und snlogsvc.exe" gelöscht . habe bis jetzt keine virus meldung mehr bekommen.

Meine kleine Frage an euch:
Hat das jetzt irgentetwas gebracht was ich getan habe???

Alt 06.11.2004, 16:50   #10
Shadowdance
 
W32SpyBot.gen - Standard

W32SpyBot.gen



@ Bomb Jack

Zitat:
Zitat von Bomb Jack
ist der rbot.gen der selbe wie der spybot.gen
und bleibt mir nichts anderes überig?
Ich formatiere sehr ungerne
Virusinformation SOPHOS: W32/Spybot-BS--> unter "Erläuterung" nachlesen.

C:\WINDOWS\System32\snlogsvc.exe infected by "Backdoor.Win32.Rbot.gen"--> "Erläuterung" beachten.

Meiner Ansicht solltest Du dies tun:

- Lutz: Datensicherung
- Cidre: ein umfassender Rat
- Festplatte Formatieren - Schritt für Schritt

SD

Alt 07.11.2004, 16:16   #11
Bomb Jack
 
W32SpyBot.gen - Standard

W32SpyBot.gen



Moin Moin

Ich habe das problem gelöst, indem ich formatiert habe.
Musste wegen diesem scheiß teil eine lan absagen und formatieren, allso war es nur ein kleiner schaden

Danke für eure hilfe nochmal, ich habs versucht.

Antwort

Themen zu W32SpyBot.gen
.exe, arten, befindet, bitdefender, danke, datei, defender, einfach, ftp, hilfe, infiziert, kriege, laufe, minute, nennt, neu, neu starten, problem, professional, rechner, sofort, starte, starten, system, system32, vermute, windows, würde





Zum Thema W32SpyBot.gen - Hi Leute Ich habe ein Problem mit einem Wurm. Er nennt sich „W32SpyBot.gen“. Ich kriege diesen wurm einfach nicht weg, irgendwann im laufe des Tages sagt mein anti-virus (BitDefender 8 - W32SpyBot.gen...
Archiv
Du betrachtest: W32SpyBot.gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.