Forum
Tipps
News
Menu-Icon

W32Spybot Worm

Hallole,
habe mir ne Wurmfarm eingefangen  :'(:'(
Die Meldungen waren:
Windows/System32/explore.exe hat W32Spybot Worm
Windows/System32/TikTo Exe hat ebenso den Spybot Worm.
Einen Worm habe ich wohl schon wieder los, jedoch ist mein PC immer noch recht langsam und der I-netaufbau dauert, bzw. einige Seiten werden nicht geladen.
Nun habe ich einen E-scan mit Hijackttis gemacht, mit folgenden Meldungen:
Logfile of HijackThis v1.97.7
Scan saved at 21:46:35, on 06.10.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Petra M\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hjt_Hijack_Virenkiller.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [Start Upping] svchostes.exe
O4 - HKLM\..\Run: [explore] explore.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe
O4 - HKLM\..\RunServices: [explore] explore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [explore] explore.exe
O4 - HKCU\..\Run: [Start Upping] svchostes.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Preispiraten 2.1.1 (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: eBay Homepage (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DBB2DE32-61F1-4F7F-BEB8-A37F5BC24EE2} (MozillaPluginHostCtrl Class) - http://www.aqualand-city.de/cgi-bin/pluginhostctrl.dll
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab

Was kann ich davon löschen, bzw. was ist davon Systembremse oder immer noch mit dem Spybot Worm verseucht? Wozu brauche ich zweimal diese svchost.exe?Wer kann mir weiterhelfen? Vorab ein Thanks aus der Pfalz,
Petra



Antworten zu W32Spybot Worm:

Escan ist was anderes als Hijackthis.

Biste sicher das du im abgesicherten-Modus mit Escan den Rechner gescannt hast.
Das Log schaut nicht danach aus

Die folgenden dürften alles Aufrufe von Schädlingen sein:
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [Start Upping] svchostes.exe
O4 - HKLM\..\Run: [explore] explore.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe
O4 - HKLM\..\RunServices: [explore] explore.exe
O4 - HKCU\..\Run: [explore] explore.exe
O4 - HKCU\..\Run: [Start Upping] svchostes.exe

Escan:
Hier Escan runterladen->updaten wie beschrieben
Nach dem Updaten mit Kavupd.exe befinden sich die neuen Signaturen entwder in c:\downloads oder im Temp-Verzeichnis des jeweiligen Users:

Beispiel-Temp-Verzeichnis:
x:\Dokumente und Einstellungen\_Username_\Lokale Einstellungen\Temp\Kav Updater update Files

(x: = Laufwerksbuchstabe wo das Betriebsystem installiert ist, _Username_ = Profilname des jeweiligen Users)

Die Files müssen dann aus dem Ordner wo die neuen Signaturen liegen nach c:\bases kopiert werden.

Danach Offline gehn->Systemwiederherstellung deaktivieren(ME/XP)

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten(siehe Systemwiederherstellung deaktivieren) -> Escan starten (doppelklick mwavscan.com in c:\bases)

Folgende Einstellungen Auswählen in Escan:
Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und Scan All Files und das System damit scannen(Scan Clean).

Danach ganz normal booten und wenns immernoch so ist ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren.

Gruß

ggf auch hier schauen : http://www.trojaner-info.de/

Escan ist was anderes als Hijackthis.

Biste sicher das du im abgesicherten-Modus mit Escan den Rechner gescannt hast.
Das Log schaut nicht danach aus

Die folgenden dürften alles Aufrufe von Schädlingen sein:
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [Start Upping] svchostes.exe
O4 - HKLM\..\Run: [explore] explore.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe
O4 - HKLM\..\RunServices: [explore] explore.exe
O4 - HKCU\..\Run: [explore] explore.exe
O4 - HKCU\..\Run: [Start Upping] svchostes.exe

Escan:
Hier Escan runterladen->updaten wie beschrieben
Nach dem Updaten mit Kavupd.exe befinden sich die neuen Signaturen entwder in c:\downloads oder im Temp-Verzeichnis des jeweiligen Users:

Beispiel-Temp-Verzeichnis:
x:\Dokumente und Einstellungen\_Username_\Lokale Einstellungen\Temp\Kav Updater update Files

(x: = Laufwerksbuchstabe wo das Betriebsystem installiert ist, _Username_ = Profilname des jeweiligen Users)

Die Files müssen dann aus dem Ordner wo die neuen Signaturen liegen nach c:\bases kopiert werden.

Danach Offline gehn->Systemwiederherstellung deaktivieren(ME/XP)

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten(siehe Systemwiederherstellung deaktivieren) -> Escan starten (doppelklick mwavscan.com in c:\bases)

Folgende Einstellungen Auswählen in Escan:
Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und Scan All Files und das System damit scannen(Scan Clean).

Danach ganz normal booten und wenns immernoch so ist ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren.

Gruß


« Win XP: Trojaner TR/sahAgent.A !!!!! HilfeInternet Explorer »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...