Forum
Tipps
News
Menu-Icon

WinXP - W32.Spybot.Worm & W32.IRCBot

Bitte um Hilfe!!!
Mein AntiVir PE hat mich auf den Trojaner TR/Spy.Voltino aufmerksam gemacht, konnte aber nichts dagegen tun.

Jetzt habe ich mir den Norton AntiVirus besorgt und laufen lassen.

Ergebnis:
C:\Windows\System32\winmon32.exe und
C:\Windows\System32\sysentry.exe sind mit W32.Spybot.Worm infiziert   und
C:\Windows\System32\svchosting.exe ist mit
W32.IRCBot infiziert.

Norton wollte aber konnte nicht reparieren (wollte löschen konnte aber nicht) und die Anleitungen von Symantec Security Response haben mir auch nicht geholfen. (Da sollen Dateien im regedit gelöscht werden, die bei mir nicht vorhanden sind.)

Jetzt habe ich im Abgesicherten Modus die o.g. EXE-Dateien (...-VIR.exe) umbenannt und den Norton nochmal laufen lassen. Er hat alle 3 erkannt, isoliert und gelöscht.

Im normal-Modus hat Norton dann nichts mehr gefunden, aber ich vermisse die Dateien winmon32.exe, sysentry.exe und svchosting.exe !!!
Vielleicht kann mir jemand sagen, für was diese 3 Dateien wichtig sind (bitte einzeln beschreiben), bis jetzt hat jedenfalls alles funktioniert. Wie bekomme ich die Dateien wieder und bin ich jetzt Virenfrei ??????

Bitte um Eure Hilfe bzgl. des weiteren Vorgehens.

Vielen Dank



Antworten zu WinXP - W32.Spybot.Worm & W32.IRCBot:

Die Dateien waren Schädlinge...die Norten wahrscheinlich gelöscht hat

Ob du Virenfrei bist kann man so nicht sagen, kannste ja maln Hijackthis-Log posten

Gruß

Hy Nighty,

danke für die schnelle Antwort.

Ich dachte die 3 Dateien wären Systemdateien, infiziert halt aber grundsätzlich notwendig.
Bist Du sicher, daß es keine Systemdateien waren???

Übrigens würde ich dein Angebot einen Hijackthis-Log zu posten gerne annehmen, du mußt mir nur sagen, wie man das macht!!?? Mir sagt auch der Name "Hijackthis" nichts!

Bitte nochmal helfen....

Ne sind ganz sicher keine Systemdateien die Namen sind nur ähnlich...

Wennste sichergehen willst:

Hier Escan runterladen->updaten wie beschrieben->Offline gehn->Systemwiederherstellung deaktivieren

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten->escan starten(doppelklick mwavscan.com)->zusätzlich alle Laufwerke und Services auswählen und das system damit scannen.

Danach ganz normal booten und wenns immernoch so ist nochmal ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren und gut.

Dort wo der escan link ist steht unter 2. Spywareanleitung dort wird Hijackthis etc erklärt

Gruß

« Letzte Änderung: 03.09.04, 18:04:42 von Nighty »

Guten Morgen Nighty,

hab mich brav an die Anleitung gehalten und den eScan sogar nochmal im Normal-Modus drüber laufen lassen (auch nochmal den Norton)! Die haben nichts mehr gefunden; soweit funktioniert alles, aber das hat es mit dem Virus auch, nur das Internet war sehr langsam, jetzt wieder O.K. (glaube ich).

Ich habe trotzdem noch einen Hijackscan gemacht und würde dich bitten, nochmal einen Blick darauf zu werfen.

Weiterhin habe ich mir den Firewall "ZoneAlarm" geholt (taugt der was?). So weit so gut und hier der Hijack...  Danke im Voraus !!!!

Logfile of HijackThis v1.98.2
Scan saved at 08:48:08, on 04.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\OnlineCounter 2002\OnlineCounter.exe
C:\Dokumente und Einstellungen\Petra\Eigene Dateien\Meine Downloads\HijackThis19802.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [mwavscan] "C:\Bases\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: OnlineCounter 2002-Autostart.lnk = C:\Programme\OnlineCounter 2002\OnlineCounter-Autostart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Trennen - {1FB507B3-841F-4ed4-BED8-E11F0E5E47A1} - C:\Programme\OnlineCounter 2002\OCHangUp.exe (HKCU)
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094216372546
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/deleon/1.1.54-deleon/GoogleNav.cab
O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab


Scann die folgenden Dateien mal hier Kaspersky-Online Virentest
Wenn die alle in Ordnung sind is OK

C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe


Die hier kannste fixen die sind nicht schädlich aber werden beim start nicht gebraucht ausser du wilst das so:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE

Gruß

Alles O.K.

Vielen herzlichen Dank.

Toll, daß es solche Experten gibt, die auch anderen gerne helfen.

nochmals Danke

Tschau   ;D  ;D  ;D

Scann die folgenden Dateien mal hier Kaspersky-Online Virentest
Wenn die alle in Ordnung sind is OK

C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe


Die hier kannste fixen die sind nicht schädlich aber werden beim start nicht gebraucht ausser du wilst das so:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE

Gruß

Hi!
kann mir jemang helfen?Ich hab mich mit W32.Spybot.Worm infiziert. Norton kannn das i´nfizierte Programm weder isolieren noch löschen!!  Internet funktioniert nicht mehr richtig. Was soll ich nun machen? Könnt ihr mir helfen??
Bitte
Gruß Sven

Hier Escan runterladen->updaten wie beschrieben->Offline gehn->Systemwiederherstellung deaktivieren(ME/XP)

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten(siehe Systemwiederherstellung deaktivieren) -> Escan starten (doppelklick mwavscan.com) -> Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und Scan All Files und das System damit scannen(Scan Clean).

Danach ganz normal booten und wenns immernoch so ist ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren und gut.

Und dann am besten den Browser wechseln zb Firefox, weil die meisten Hijacker/Downloader über IE-Sicherheitslücken aufs System kommen.

Gruß

 :o
Hi,bei mir wurde die system32.exe vom W32.IRCBot befallen.NortonAntivirus konnte ihn zwar aufspüren aber weder isolieren noch löschen.Meine Frage jetzt,was richtet das Ding an und wie werd ichs schnellstmöglich wieder los?

Bitte helft mir.

Benutz Escan so wie hier im Thread schon beschrieben.

Gruß

hi ,mein notebook spinnt seit ein paar tagen und nun komm ich nicht mehr ins system.es bootet dann kommt der anmeldebildschirm, ich melde mich an und von da an passiert nix mehr,habe nun vestgestellt das das system überlastet(99%)ist. hab versucht den dienst zu beenden aber nix, muss kaltstart machen und wenn ich ganz schnell eintippe kann ich mich anmelden,er startet(win xp sp2) und dann dauert alles endlang (15minuten bis er alle programme geladen hat,kaspersky, firewall ,t-onlne usw) und dann kommt auf einmal das system schaltet sich aus schliessen sie alle offnen datein(auf english) so wie der eine virus damals der sobald man online ging das system neustartet

Scanne im abgesicherten Modus !! (F8 beim Srtart öfter drücken)

Ich hab mir den gleichen Virus auch eingefangen und zwar über Msn. Meine Frage wäre, ist meine hotmail-adresse überhaupt noch benutzbar? (automatisch wird der messenger angemeldet und das wäre der einzige logische weg, wie ich diesen virus auch auf meinen laptop bekommen hab)

außerdem lassen sich hier keine programme (´weil firmenlaptop) installieren, bin total ratlos.


« Virus kann nicht gelöscht werden -.-kann popcorn license manager nicht entfernen »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Trojaner
Als Trojanisches Pferd, kurz auch Trojaner, versteht man Computerprogramme, die getarnt von einer nützlichen Anwendung, ohne Wissen des Anwenders im Hintergrund Scha...

Dateiendungen
Die Dateiendung, auch Dateinamenerweiterung, Dateierweiterung oder einfach "Endung" genannt, besteht aus meistens drei oder vier Buchstaben und wird mit einem Punkt an de...

Dateiendung
Die Dateiendung ist ein Teil des Dateinamen und zeigt das Dateiformat an. Klassisch war die "8.3" Regelung, nach der der Dateiname under MS DOS 8 Zeichen lang sein durfte...