unsere besten emails
Registrierung
Teammitglieder
Zur Startseite
Mitgliederliste
Suche
Kalender
Häufig gestellte Fragen
Zum Portal

Dedies-Board » Sicherheit » Anti-Virenboard » w32.Spybot.Worm » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen w32.Spybot.Worm
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

sträuschen sträuschen ist männlich
Neu hier


Dabei seit: 15.06.2005
Beiträge: 2

Level: 17 [?]
Erfahrungspunkte: 11.559
Nächster Level: 13.278

1.719 Erfahrungspunkt(e) für den nächsten Levelanstieg

verrückt w32.Spybot.Worm Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Logfile of HijackThis v1.99.0
Scan saved at 11:28:31, on 15.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
F:\Programme\BearShare\BearShare.exe
C:\WINDOWS\System32\win32.exe
C:\WINDOWS\System32\winlog.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
F:\Programme\CloneCD\CloneCDTray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
F:\Dokumente und Einstellungen\Frank\Eigene Dateien\Any DvD\Any Dvd2\AnyDVD\AnyDVD.exe
C:\WINDOWS\SYSCFG16.EXE
F:\Programme\Skype.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\ehome\ehSched.exe
F:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
F:\Programme\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
F:\PROGRA~1\INCRED~1\bin\IMApp.exe
F:\Programme\IncrediMail\bin\IncMail.exe
C:\Dokumente und Einstellungen\Frank\Desktop\Computerwartung\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - f:\Programme\WinSweep\SurfBar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - F:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [BearShare] "F:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Registry oidet] win32.exe
O4 - HKLM\..\Run: [Windows Firewall Log] winlog.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AnyDVD] F:\Dokumente und Einstellungen\Frank\Eigene Dateien\Any DvD\Any Dvd2\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\RunServices: [Registry oidet] win32.exe
O4 - HKLM\..\RunServices: [Windows Firewall Log] winlog.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - F:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=h**p://www.versatel.de/internet-cd/
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/Share...n/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - h**p://cm4all01.kundenserver.de/app/stat...ivex/msxml4.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - h**p://www2.incredimail.com/contents/set...p1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1BEE28A7-1E18-471E-BE4D-8F24353F34EB}: NameServer = 212.7.148.65 212.7.148.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{1BEE28A7-1E18-471E-BE4D-8F24353F34EB}: NameServer = 212.7.148.65 212.7.148.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{1BEE28A7-1E18-471E-BE4D-8F24353F34EB}: NameServer = 212.7.148.65 212.7.148.97
O20 - AppInit_DLLs: 8ii3zkrj3cj3e9ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dl
l.dll.dll.dll.dll.dll.dll..
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - F:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - F:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - F:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Anklickbare Links editiert
Mfg. dedie, Admin d-b
15.06.2005 12:23 sträuschen ist offline E-Mail an sträuschen senden Beiträge von sträuschen suchen Nehmen Sie sträuschen in Ihre Freundesliste auf

Haui Haui ist männlich
Haudegen


images/avatars/avatar-123.jpg

Dabei seit: 29.04.2005
Beiträge: 522

Level: 43 [?]
Erfahrungspunkte: 3.041.025
Nächster Level: 3.609.430

568.405 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)

Hier sitzt die Ursache für dein verseuchtes System. Aktuell ist Service Pack 2!

Auf deinem System befinden sich leider u.a. die folgenden Schädlinge:
http://it.trendmicro-europe.com/enterpri...e=WORM_RBOT.BMT
http://castlecops.com/s9021-Windows_Firewall_Log.html (sicher auch ein Bot)

Diese erlauben Fremden leider uneingeschränkten Zugriff auf das System.

=> Als einzig vernünftige Lösung bleibt dir nur das:
"System neu aufsetzen und vor der ersten Internetverbindung absichern".


__________________
Have you tried turning it off and on again?

/join #dedies-board.de

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Haui: 15.06.2005 12:43.

15.06.2005 12:43 Haui ist offline E-Mail an Haui senden Homepage von Haui Beiträge von Haui suchen Nehmen Sie Haui in Ihre Freundesliste auf Jabber Screennamen von Haui: haui45@jabber.ccc.de

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.945

Level: 53 [?]
Erfahrungspunkte: 17.321.041
Nächster Level: 19.059.430

1.738.389 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Das sieht nicht schön aus, da sind ein paar schöne Trojaner drauf.

C:\WINDOWS\System32\win32.exe Im abgesichtertem Modus fixen und datei von Hand löschen.

C:\WINDOWS\SYSCFG16.EXE Im abgesichtertem Modus fixen und datei von Hand löschen.

O4 - HKLM\..\Run: [Registry oidet] win32.exe

O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE

O4 - HKLM\..\RunServices: [Registry oidet] win32.exe

O20 - AppInit_DLLs: 8ii3zkrj3cj3e9ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dl
l.dll .dll.dll.dll.dll.dll.
Im abgesichtertem Modus fixen

Anschließend den Rechner mit e-scan scannen und das ergebnis hier im Thread posten.
Du solltest dich aber schon mit dem gedanken des Neuaufsetzens des Systems anfreunden, es sieht nicht so gut aus. Augen rollen


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
15.06.2005 12:46 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

sträuschen sträuschen ist männlich
Neu hier


Dabei seit: 15.06.2005
Beiträge: 2

Level: 17 [?]
Erfahrungspunkte: 11.559
Nächster Level: 13.278

1.719 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von sträuschen
W32 Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Danke ersteinmal für Deine Mühe ,ich werde versuchen dieses alles zu machen und melde mich dann wieder.
15.06.2005 12:56 sträuschen ist offline E-Mail an sträuschen senden Beiträge von sträuschen suchen Nehmen Sie sträuschen in Ihre Freundesliste auf

Vimes Vimes ist männlich
Super Moderator


images/avatars/avatar-14.jpg

Dabei seit: 27.03.2005
Beiträge: 1.316

Level: 48 [?]
Erfahrungspunkte: 7.709.957
Nächster Level: 8.476.240

766.283 Erfahrungspunkt(e) für den nächsten Levelanstieg

Re: W32 Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Wenn es irgend geht, geh bitte mit einem anderen Rechner oder einer Knoppix-CD ins Netz. Du pustest sonst selber Würmer und ähnliches durch die Landschaft...

Ich würde gleich neu Aufsetzen und das System sauber abdichten (inkl. SP2). Wie, das findest Du hier im Forum.

MfG
Vimes


__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
15.06.2005 22:57 Vimes ist offline E-Mail an Vimes senden Beiträge von Vimes suchen Nehmen Sie Vimes in Ihre Freundesliste auf Fügen Sie Vimes in Ihre Kontaktliste ein YIM-Name von Vimes: jesusrettet

deoroller deoroller ist männlich
Routinier


images/avatars/avatar-216.gif

Dabei seit: 30.03.2005
Beiträge: 487

Level: 42 [?]
Erfahrungspunkte: 2.851.673
Nächster Level: 3.025.107

173.434 Erfahrungspunkt(e) für den nächsten Levelanstieg

RE: w32.Spybot.Worm Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Mich würde mal interessieren, wieso Spysweepter. Norton usw. versagt haben Augen rollen
Da knallt man sich den PC voll mit "Securitytools" und bekommt trotzdem einen Haufen Mist in den PC geschaufelt. Und wieso passiert das viel seltener bei Leuten, die gerade mal einen einfachen Virenscanner am laufen haben. grübeln


__________________
Therapeut: "Wo genau liegt denn jetzt Ihr Problem, Mr. Tentakel?"
Thaddäus: "Es fing alles an...als ich geboren wurde!"
16.06.2005 01:46 deoroller ist offline E-Mail an deoroller senden Homepage von deoroller Beiträge von deoroller suchen Nehmen Sie deoroller in Ihre Freundesliste auf

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.945

Level: 53 [?]
Erfahrungspunkte: 17.321.041
Nächster Level: 19.059.430

1.738.389 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

@ deoroller

Ist eine ganz einfache Erklärung, diese Schädlinge kommen über eine uralte Sicherheitslücke von Windoff rein.

Dieser Eingang wird von keinem Virenscanner bewacht (für den zu überwachen müßte der Virenscanner echt was taugen) .

Aus diesem Grund gilt halt die Empfehlung "Vor dem ersten Onlinegzugang mit einem Windowssystem sind zuerst von einer sicheren CD die aktuellsten Patches auf zuspielen


PS: In diesem Fall ist halt wie schon von "Haui" angemerkt das System schon etwas mehr als nur nicht Up To date Augen rollen


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
16.06.2005 02:03 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

deoroller deoroller ist männlich
Routinier


images/avatars/avatar-216.gif

Dabei seit: 30.03.2005
Beiträge: 487

Level: 42 [?]
Erfahrungspunkte: 2.851.673
Nächster Level: 3.025.107

173.434 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

@dedie
Hast recht. Ich dachte nicht daran, dass viele, kaum dass XP installiert ist, online gehen, um zu surfen und erst später sich die Sicherheitstools reinknallen und vielleicht noch etwas später anfangen zu patchen.
Das sieht man diesen Log-Dateien ja auch nicht an.

Wenn man in ein gewöhnliches PC-Heft reinguckt, liest man auch zuerst, dass man das Tool und noch das Tool und am besten noch das Tool installieren muss und dann kommen erstmal die 100-1000 geheime und geheimsten Tuning-Tipps und ganz hinten im Heft, wie man Windows mit Boardmitteln tunen kann und wenn man Glück hat, steht dabei noch in einem Nebensatz, was man tun solte, bevor man das erste mal online geht.
Ich lese meist von hinten nach vorne. muhaha


__________________
Therapeut: "Wo genau liegt denn jetzt Ihr Problem, Mr. Tentakel?"
Thaddäus: "Es fing alles an...als ich geboren wurde!"
16.06.2005 02:23 deoroller ist offline E-Mail an deoroller senden Homepage von deoroller Beiträge von deoroller suchen Nehmen Sie deoroller in Ihre Freundesliste auf

Vimes Vimes ist männlich
Super Moderator


images/avatars/avatar-14.jpg

Dabei seit: 27.03.2005
Beiträge: 1.316

Level: 48 [?]
Erfahrungspunkte: 7.709.957
Nächster Level: 8.476.240

766.283 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Zitat:
Original von dedie
Vor dem ersten Onlinegzugang mit einem Windowssystem sind zuerst von einer sicheren CD die aktuellsten Patches auf zuspielen


ACK. Außerdem ist vor dem ersten Onlinegang alles abzuschalten, was nicht nach außen angeboten werden soll. [1] Und wenn man panische Angst hat, kann man auch die XP-Firewall aktivieren.

MfG
Vimes

[1] Deswegen wurde meine Windows-Partition neulich mit abgezogenem Netzwerk-Stecker neu aufgesetzt. [2]
[2] Nicht wegen Viren-Befall muhaha sondern wegen Wechsels auf ein Barebone-System mit neuem Mainboard...


__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
16.06.2005 23:31 Vimes ist offline E-Mail an Vimes senden Beiträge von Vimes suchen Nehmen Sie Vimes in Ihre Freundesliste auf Fügen Sie Vimes in Ihre Kontaktliste ein YIM-Name von Vimes: jesusrettet
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Dedies-Board » Sicherheit » Anti-Virenboard » w32.Spybot.Worm

Impressum|Boardregeln


secure-graphic.de
Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2021 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz
Verstanden;