Trojaner-Board - W32.spybot.Worm

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - W32.spybot.Worm (https://www.trojaner-board.de/908-w32-spybot-worm.html)

nur zur vor info
folgende programme habe ich schon angewant

addaware
spybot search and destroy
cw shredder
hijack this
vieren programm mcafee

habe dann mit norton (aktualisiert) geprüft und er fand

explore.exe W32.Spybot.Worm
Open ME.exe W32.Spybot.Worm

konnte weder gelöscht noch isoliert werden

anbei mein log von hijack

Logfile of HijackThis v1.97.7
Scan saved at 17:36:42, on 21.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\McAfee\McAfee VirusScan\Webscanx.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\spunk\Desktop\Mame\DeeEnEs.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\McAfee\McAfee VirusScan\AlogServ.exe
C:\Dokumente und Einstellungen\spunk\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=%tb_id
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=%tb_id
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Arcor
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=%tb_id
R3 - URLSearchHook: (no name) - {D6DFF6D8-B94B-4720-B730-1C38C7065C3B} - C:\PROGRA~1\GEMEIN~1\BTLINK\btlink.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {63B78BC1-A711-4D46-AD2F-C581AC420D41} - C:\WINDOWS\System32\btiein.dll
O2 - BHO: (no name) - {D6DFF6D8-B94B-4720-B730-1C38C7065C3B} - C:\PROGRA~1\GEMEIN~1\BTLINK\btlink.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [DeeEnEs] C:\Dokumente und Einstellungen\spunk\Desktop\Mame\DeeEnEs.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: concept/design's onlineTV (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potb_x.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...991.5679282407
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9F55CFD-073D-4CA1-8E7D-61285FC20FAC}: NameServer = 145.253.2.142 145.253.2.81

ps ich hoffe auf hilfe
http://home.arcor.de/smart49/11.jpg

Hallo spunk
und willkommen an Bord,

Der Virenticker berichtet am 20.01.2004 ueber den Worm_Spybot.S als einem Massenmailer. Auch bei Sophos ist der W32/Spybot-AC bekannt.

Ich empfehle Dir einen online-scan mit TrendMicro zu machen. Dabei ist zu beachten, dass die Aktive X beim IE erlaubt werden muessen.

Sei so nett und schalte das Virenschutzprogramm, das Du normalerweise verwendest, waehrend dem onlinescan aus, da sich die beiden Programme moeglicherweise gegenseitig behindern.

Viel Erfolg,

hab gerade den online scan mit TrendMicro gemacht
und gelöscht
norton findet auch nix mehr
ich bedanke mich für die schnelle hilfe
und hoffe dass ich nun ruhe habe
big thx

freut mich zu lesen @ Spunk ;)

Du hattest auch spyware auf Deiner Festplatte, die weg muss:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=%tb_id
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=%tb_id
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Arcor
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=%tb_id
R3 - URLSearchHook: (no name) - {D6DFF6D8-B94B-4720-B730-1C38C7065C3B} - C:\PROGRA~1\GEMEIN~1\BTLINK\btlink.dll

Ich empfehle Dir, Dir diese Seite durchzulesen, Dir das CWShredder-Tool herunterzuladen und Deine Festplatten damit, laut Anweisung, zu scannen. Die Spyware, die Du auf Deiner Festplatte hast, sorgt dafuer, dass der IE auf andere Seiten umgeleitet wird.

Es waere anzuraten, auf einen anderen Browser umzusteigen. Links dazu befinden sich auf der genannten Seite.

Alles Gute,

danke
ich benutze jetzt eh schon den netscape

CWShredder-Tool habe ich schon

Sorry SD, aber diese Einträge sind harmlos:

</font><blockquote>Zitat:</font><hr />Original erstellt von Shadowdance:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Arcor
</font>[/QUOTE]tschööö, DerBilk

.. @ DerBilk,

wo Du recht hast, bleibt nichts zu sagen. Ich werde mich bemuehen, genauer zu lesen *g*. Danke.

hmmm
macht das jetzt was ?
ich hab das alles gelöscht ??

@spunk,

nein, das sollte kein Problem sein. Du hast lediglich goggle als Startseite verbannt und die Einblendung in der Titelleiste, dass dein InternetExplorer eine angepasste Version von Arcor ist, entfernt.

tschööö, DerBilk

Den bitte auch noch entfernen:

O2 - BHO: (no name) - {63B78BC1-A711-4D46-AD2F-C581AC420D41} - C:\WINDOWS\System32\btiein.dll

Und dann: Browserwechsel. Systemupdate.

- http://windowsupdate.microsoft.com (dieses mit dem IE, normales Surfen jedoch nicht)

- http://firebird-browser.de
- http://mozilla.kairo.at
- http://opera7.de

Begründung: Technologien wie Active X und Active Scripting machen den IE als Browser besonders unsicher. Die genannten Alternativ-Browser stehen dem IE qaulitativ in nichts nach, ganz im Gegenteil, bieten sogar ein Mehr an Komfort und Individualität, aber vor allem: sie sind erheblich sicherer, da sie nicht so tief im System verwurzelt sind wie beim IE der Fall.