Trojaner-Board - Hilfe. WORM/Feebs.AS!!!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe. WORM/Feebs.AS!!!!! (https://www.trojaner-board.de/27377-hilfe-worm-feebs-as.html)

Hilfe. WORM/Feebs.AS!!!!!

Hallo,

erstmal ein kräftiges Hallo da ich hier Neu bin. HALLO!!! So nun zu meinen Problem, mein Pc wurde mit den WORM/Feebs.AS befallen und ich weiß net wie man den wech bekommt. Ich hoffe das ihr mir helfen könnt da ich echt net mehr weiter weiß.

MFG Lilith

Servus, Lilith!

Womit hast Du wo genau (Dateiname, Pfadangabe) das von Dir benannte Virus gefunden?

Was hast Du bisher unternommen?

Welche Effekte/Probleme hast Du auf Deinem System beobachtet?

stupormundi

Also mir zeigt immer an das er c:/windows/system32/msvd32.dll sitzt, aber man sieht ihn nicht. Es gibt aber auch ne TFTP datei die, ein freund mir gesagt hat das die weg muss, sich net Löschen lässt. Nun ja ich habe Antivir 3-4 mal durchlaufen lassen (immer Upgedatet), Spyware Nuker, Adware SE Personal und Spybot durchlaufen lassen. Aber nichts gefunden außer das Antivir mir anzeigt das mein Pc befallen ist aber sich nichts löschen lässt.
Auswirkungen hat das auf meine Auslastung. Für Sachen die nur Sekunden brauchen, brauch ich jetzt Minuten. Zu anderem habe ich das Gefühl das jemand meinem Pc durchsucht, wo ich aber nicht genau weiß wo oder wie. Ich hoffe ich konnte ein bißchen erklären was du wissen wolltest :)

Gruß Lilith

Servus wieder!

Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen!

stupormundi

Ich hoffe das es das richtige ist was du sehen wolltest.

Logfile of HijackThis v1.99.1
Scan saved at 12:14:10, on 07.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Sicherheit\Sygate firewall\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Spyware Nuker\swnxt.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Alexandra\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CF4E1FB-AE6D-403D-9C9F-41958F676C8A} - C:\WINDOWS\system32\wpdcoons.dll
O4 - HKLM\..\Run: [SmcService] D:\SICHER~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SWN2] C:\Programme\Spyware Nuker\swnxt.exe /h
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {22B56593-92BD-46AF-AFE4-47FD8E757F7B} - D:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {22B56593-92BD-46AF-AFE4-47FD8E757F7B} - D:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by111fd.bay111.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120247829462
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73C92A7B-A5C9-4DBC-93C8-D96138AFE1BF}: NameServer = 213.191.74.19 213.191.92.87
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (P) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Sicherheit\Sygate firewall\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo Lilith,
warum finden sich bei dir zwei Einträge zu der selben Sache ?
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
Hast du eine Ahnung für was das hier gebraucht wird ?

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
Noch nix löschen-erst antworten !
Irrlicht

Servus wieder @all!

@lilith: Hast Du dir Spyware Nuker absichtlich installiert?
Würde vorschlagen, das mal via Systemsteuerung -->Software zu deinstallieren und dann im abgesicherten Modus bei deaktivierter Systemwiederherstellung mit HJT zu fixen (--> siehe Anleitung: vor dem Eintrag "fix checked" anhaken)

Zitat:

O4 - HKLM\..\Run: [SWN2] C:\Programme\Spyware Nuker\swnxt.exe /h

Und ein Virenscan würde sicher auch nicht schaden: Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

Hallo Irrlicht,

ich habe keine Ahnung warum es zwei Einträge zur selben Sache gibt. Und das andere kenne ich gar net.

Zitat:

Zitat von Lilith

Hallo Irrlicht,

ich habe keine Ahnung warum es zwei Einträge zur selben Sache gibt. Und das andere kenne ich gar net.

Hallo Stupormundi,

ich habe den Scan gemacht aber es gibt den Ordner Bases_X nicht und somit auch nicht die Datei die du sehen wolltest. Es ergab nur die MWAV Datei und die ist heftig groß. Ich weiß nicht ob du dann die sehen möchtest. Ich habe das so gemacht wie in der Anleitung stand, tut mir leid. Ach so Spyware Nuker hatte ich von einem Freund bekommen der sagte das das ganz gut sei.

Servus wieder!

Zitat:

Ich habe das so gemacht wie in der Anleitung stand

Das kann dann nicht ganz stimmen...

Zitat:

es gibt den Ordner Bases_X nicht

den musst Du - wie in der Anleitung beschrieben - selbst auf C: anlegen und die downgeloadete *.rar-Datei dorthin entpacken - ich bin sicher, dass das Cidre sehr wohl so beschrieben hat.;)
Versuche es bitte noch einmal, nur lies' Dir die Anleitung dieses Mal zuerst ganz durch.
Vor allem was das Posten der Funde anbelangt (Einsatz der find.bat von Haui45 oder die ebenfalls beschriebene Alternative). Es ist nirgends die Rede vom ganzen Log - das ist immer riesengroß!

also, es hängt von den von Dir zur Verfügung gestellten Infos ab, wie weiter vorzugehen ist.

stupormundi