| |
| |||||||
Log-Analyse und Auswertung: W32/Sdbot und Rbot.210944 wie werd ich die geister wieder los?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.11.2004, 18:22
| #1 |
| |  W32/Sdbot und Rbot.210944 wie werd ich die geister wieder los? Vornweg: Windows XP Home SP1, IE 6 SP1, Leider keine Sicherheitsupdates, keine Firewall Logfile of HijackThis v1.97.7 Scan saved at 15:35:56, on 16.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Microsoft Works\WksSb.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\CtrlVol.exe C:\PROGRA~1\MyWay\bar\1.bin\mwsoemon.exe C:\WINDOWS\System32\SFAX_NT.EXE C:\WINDOWS\System32\WSconf.exe C:\WINDOWS\System32\glavas.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme 2\Ulead Systems 2\CalCheck.exe C:\WINDOWS\System32\cidaemon.exe C:\Programme\Microsoft Office\Office10\Winword.exe C:\Programme\Microsoft Works\MSWorks.exe C:\Win32App\NTTools\NFileMgr\FILEMGR.EXE c:\Programme 2\Sicherheit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWay\SearchAt\1.bin\MWSSRCAS.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWay\bar\1.bin\MWSBAR.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Find - {8D029AEC-E412-4948-84B5-699A740946AE} - %SystemRoot%\System32\iefind.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My &Way Speedbar - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWay\bar\1.bin\MWSBAR.DLL O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~2\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [HP OfficeJet T Series] "C:\Programme\Hewlett-Packard\HP OfficeJet T Series\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet T Series\Install" O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [SkyFile Monitor] C:\WINDOWS\System32\SFAX_NT.EXE O4 - HKLM\..\Run: [Microsoft Drivers] WSconf.exe O4 - HKLM\..\Run: [blah service] glavas.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [Microsoft Drivers] WSconf.exe O4 - HKLM\..\RunServices: [blah service] glavas.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [TClockEx] C:\Dokumente und Einstellungen\D\Startmenü\Programme\Autostart\TClock\TCLOCKEX.EXE O4 - HKCU\..\Run: [euroat.exe] C:\Programme 2\Alpenland\Euro + @\euroat.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Startup: Verknüpfung mit TCLOCKEX.lnk = C:\TClock\TCLOCKEX.EXE O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\Programme 2\Brockhaus\PCLib.exe O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme 2\Ulead Systems 2\CalCheck.exe O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.6.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/eng/check/qdiagh.cab?312 Das wird jetzt etwas umfangreich jedoch wollte ich alle Details gleich mit schildern. Hallo, nach einer längeren Reise, auf der ich den Laptop mit dabei hatte, wollte ich zu Hause wieder mal "normal" mit Modem ans Internet. Ansonsten ging das nur mit Skyfile und nur schnell mails abholen. Anfangs keine Probleme, auch das Abholen der aktuellen Virendefinitionen von Antivir klappte noch super. Kurze Zeit später meldete Antivir XP, dass C:\\windows\system32\Sygate.exe Worm/Rbot.210944 enthält und die wurde dann gelöscht. Auch noch irgendwo Worm/Rbot.MM.2 usw. Danach ging dann irgendwie im Interne gar nichts mehr, das Aufrufen des IE bewirkte zwar das Herstellen einer Modemverbindung mit freenet, doch surfen und Outlook mailen war nicht mehr möglich. "Die Seite kann nicht angezeigt werden", "Der Server POP3hat nicht innerhalb von 60 Sekunden reagiert..." Auch das Abrufen der Virendefinitionen ging nicht mehr. Jedoch ping www.heise.de ging ohne Probleme. Danach auf Anraten eines Freundes den aktuellen Stinger im abgesicherten Modus drüber gejagt, der hat dann auch noch 2 Würmer gekillt: C:\\windows\system32\iexplore.exe found W32/Sdbot.worm.gen.t virus!!! C:\\windows\system32\iexplore.exe has been deleted. C:\\windows\system32\wssrv.exe\wssrv.exe found W32/Sdbot.worm.gen.t virus!!! C:\\windows\system32\wssrv.exe\wssrv.exe has been deleted. Wofür wssrv.exe im Verzeichnis?!? wssrv.exe steht, haben wir nicht heraus gefunden, jedoch machte es uns schon verwundert, dass man die iexplore.exe löschen kann. Jedenfalls meldete Antivir auch gleich noch ein paar Trojaner und anderes und nach dem Neustart ging der Internet Explorer wieder obwohl wir mittels Stinger die Datei gelöscht hatten. Dann hatte ich Zonealarm installiert, damit nicht wieder was rein kommt. Nach Neustart meldete er prompt: WSconf.exe und dann auch glavas.exe wollen ins Internet, dürfen die das? Das haben wir verneint und geschaut, was das soll. Google ergab für glavas.exe gar nichts und WSconf.exe ist wohl mit dem Wurm WORM_SDBOT.ZU gleich zu setzen. Also bin ich die Biester immer noch nicht los!  Symantec hat keinen brauchbaren Vorschlag und kein Tool für diesen Wurm und auch sonst weiß ich nicht weiter. Wer kann mir helfen? Gruß! GT |
| Themen zu W32/Sdbot und Rbot.210944 wie werd ich die geister wieder los? |
| .html, adobe, antivir, bho, drivers, einstellungen, email, explorer, file missing, helfen, hijack, hijackthis, home, internet, internet explorer, launch, monitor, mozilla, neustart, nicht angezeigt, object, officejet, programme, seite kann nicht angezeigt werden, sekunden, server, shockwave, software, system, trojaner, virus, windows, windows messenger, windows xp |
Baum-Darstellung