MSmedia.exe/w32.Spybotworm

Hallo!

Wenn Du wirklich den Spybot-Wurm auf Deinem Rechner hast, kann ich nur empfehlen, die Kiste neu aufzusetzen. Spybot besitzt u.a. Backdoor-Funktionen. Und da Du bereits 2 Wochen (!) daran rumdoktorst, kann keiner so genau sagen, ob nicht in der Zwischenzeit irgendwas anderes auf Deinem System verändert wurde.

Deswegen tu Dir selbst den Gefallen und führe eine Neuinstallation durch.

Hi,

was meldet Norton genau?
Welchen Virus (den genau Namen)?
Welche Datei wird als infiziert gemeldet?

Offen ist auch, ob die Malware aktive auf dem System ist oder nur eine Datei auf der Festplatte passiv abliegt.
Unabhängig davon lade für einen ersten Check das folgende Removaltool von Norman herunter.
(Spezielles kostenloses Entfernungstool für stark verbreitete ITW Viren - In englischer Sprache, keine Installation notwendig)
http://download.norman.no/public/NGenFix.exe

Zur Bereinigung des PCs bitte die folgende Anleitung beachten, diese gilt ohne Ausnahme für alle Antivirusprogramme bei einer vermuteten oder vorhandene Malware Infektion:
Für die folgenden Schritte sind Administrator-Berechtigungen zwingend notwendig!

1. Den bereits vorhanden installierten Virenscanner aktualisieren
2. PC vom Netzwerk und Internet trennen
3. Alle temporären Dateien lösen, insbesondere die vom Browser
4. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
5. PC im abgesicherten Modus starten
(Für den Punkt 4 und 5 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
6. Das komplette System mit dem Viren-Schutzprogramm scannen, mit der Einstellung  “Alle Dateien“, “Archive“ und “Gepackte Dateien“!
7. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
·   infizierte Dateien löschen
·   Einträge aus der Windows-Registrierung entfernen
8. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Anschließend sollte die Prozedur mit Norton wiederholt werden.

Wer einen DSL Anschluss besitzt kann auch einen kostenlosen Onlinescan bei Trend oder Panda für eine Gegenprobe in Anspruch nehmen. Beide Herstellen bieten dabei eine Desinfizierung von Malware an, bei Panda werden nur Viren, Würmer und Trojaner entfernt. Der Onlinescan von Trend arbeitet zudem auch mit dem Browser von Firefox zusammen und es müssen keine Aktiv-X Komponeten installiert werden

Trend
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php
Panda
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
 

Hi,

Punkt 1: Wenn ihr keine Ahnung habt hört auf den Leuten so sinnlose Sachen zu empfehlen wie System neu aufzusetzten. Es nervt unheimlich .. ja ok wenn man das System neu aufsetzt ist alles wieder ok aber es ist auch ein HAUFEN ARBEIT ! Also lest weiter die Computer Bild und lasst das posten hier. Thx

Punkt 2: Wenn ich einen von euch kleinen pickelgesichtigen Virenautoren im RL in die Finger bekomme wird es nicht nur dabei bleiben, dass ich euch eure Tastatur um die Ohren schlage . Macht mal was Vernünftiges was allen hilft und nich nur sch...e ihr verschenkt euer Talent. Euer Mist hat mich wieder 2 Stunden gekostet.

Lösung : Bei mir hat sich dieser dämliche Wurm den AVG als TR/Rootkit.L erkennt eingeschlichen. In den Systemprozessen öffnet sich immer wieder der Prozess MSmedia.exe (bei anderen Abwandlungen auch aaa.exe - zzz.exe).
VORSICHT DIESE DATEI WILL AUFS NETZ ZUGREIFEN !!! NICHT ZULASSEN !!!
Sobald dieser Prozess läuft generiert er die driv.sys Datei, die alle so nervt. Macht Regedit auf setzt bei suche den Haken auf "Ganze Zeichenfolge vergleichen" und sucht nach MSmedia.exe ihr werdet 2 Einträge finden die bitte löschen und die r.bat gleich dazu. Die MSmedia.exe liegt im Windows Verzeichnis. Also Prozesse aufmachen MSmedia.exe beenden und bevor sie sich neu öffnet sofort aus dem Windows Verzeichnis löschen. FAZIT: Ruhe im Karton. Jetzt könnt ihr noch versuchen die restlichen rdriv Einträge zu löschen aber nur die deshalb wieder Haken auf "Ganze Zeichenfolge vergleichen". Es ist noch nicht bestätigt, dass LEGACY_RDRIV auch zu dem ganzen Schmu gehört also belast es dabei bis es bestätigt ist. Vorerst seit ihr safe.

Tschö

Wow, da spricht aber mal konzentrierte Kompetenz...

Erstmal: lies das!
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.spybot.worm.html
Spybot hat laut dieser Beschreibung 32 Möglichkeiten, was er tun kann. Darunter so feine Sachen wie Nachladen von Komponenten und Updates, Ändern diverser Reg-Einstellungen und einige Remotefunktionen.

Das willst Du mit Registry-Hackerei kitten? Mutig!
Was hat denn der Wurm nachgeladen? War vielleicht ein Keylogger dabei, damit Deine Zugangsdaten abgezogen werden konnten? Was wurde auf dem System alles verändert? Befinden sich alle Daten noch im Originalzustand oder schon brav versendet auf einem Server in China, Korea oder wasweißichwo? Was hat $Wurm an den Sicherheitseinstellungen verändert, was abgeschaltet? Wurde eventuell an der Personal Firewall manipuliert, um ungehinderten Zugriff zu erhalten oder hat er das doofe Ding direkt abgeschossen?


Zu 1.: Wenn Du Deine Denksülze (anscheinend Version 0.9beta) mal schütteln würdest, dann müsste Dir klar werden, daß bei einer Infektion mit Backdoor-Trojanern (nahezu allesamt mit Downloadfähigkeiten) eine NI das einzig korrekte (und von MS empfohlene) Mittel der Wahl ist. Und von wegen Arbeit : wer vorher ordentlich absichert, hat diese Arbeit nachher nicht.
Btw.: Computerbild empfiehlt den gleichen Driss wie Du und keine NI.

Zu 2.: Die Zeit der pickelgesichtigen vor sich hin pubertierenden Virenbastler ist so gut wie vorbei. Wenn Du Dich auch nur einen Augenblick mit dem Thema beschäftigt hättest, müsste Dir auffallen, daß heute Menschen mit simplen finanziellen Interessen hinter den meisten Schadprogrammen stehen, und keine "ich-will-Deinen-Computer-puttmachen"-Freaks.

Bevor Du also hier rumpolterst, denk erstmal einen Augenblick nach. Meine Fresse...

Hi nochmal,

ja du hast recht ich war ein bisschen gereitzt als ich den Text verfasst habe. Sorry wenn du dich angeriffen gefühlt hast. Punkt 1 war nicht speziell für dich gedacht. Es war nur in ca 50 Foren der gleiche Tip zu lesen ohne irgendwas weiterführendes. Dein Link ist eine Top-Information danke dafür. Grundsätzlich kann ich jeden Bit der meinen Rechner verlässt kontrollieren, deshalb bin ich mir sicher, das keine Daten verändert wurden. Ein System neu zu installieren ist meiner Meinung nach immer der letzte Schritt zB wenn der Bildschirm schwarz bleibt... wobei es selbst da noch Möglichkeiten gibt.

Ja jeder der nicht weiss was er tut und gerne mit einer Jungfrau verheiratet ist, sollte das System neu aufsetzen, auch wenn es nur darum geht eine Soundkarte neu zu installieren. Es lebe die MS- Rettungs-CD.


Nachschlag zur Lösung: Ja ein fieser Wurm ist es verändert einige Registryeinträge, die ein rein von MS Produkten geschütztes System offen für alles macht. Mir ging es speziell darum das eigendliche Rootkit oder Spykit unschädlich zu machen, das  funktioniert nach der obigen Methode.
Der eigendliche rdrv Dienst läuft danach nicht mehr und somit kann der Wurm auch nichts nachladen. Der Eintrag LEGACY_RDRIV kann danach auch mit "Eigenschaften Vollzugriff" entfernt werden. Die anderen Registy Veränderungen werden durch jede gute Firewall abgefangen. (Ich betone hiermit jede andere als die im Windows Sicherheitscenter aber das ist ein anderes Thema.) Alles andere kann nach und nach mit der Hilfe des Links vom Kollegen BigDaddy wieder zurechtgebogen werden. Bei Abwandlungen des Wurms könnte es ähnlich funktionieren.

MfG und Tschö

Hallo,

ich pflichte "Big Daddy" in allen Aussagen zu.
..und möchte folgendes anmerken  :
Die "geballte Kompetenz"  sagt hier :

 

Grundsätzlich kann ich jeden Bit der meinen Rechner verlässt kontrollieren, deshalb bin ich mir sicher, das keine Daten verändert wurden

Ein System neu zu installieren ist meiner Meinung nach immer der letzte Schritt zB wenn der Bildschirm schwarz bleibt... wobei es selbst da noch Möglichkeiten gibt.
 

  Die anderen Registy Veränderungen werden durch jede gute Firewall abgefangen

Und wieder hi :-)

Jut denn, belassen wirs dabei. Es gibt immer mehrere Wege zum Ziel.
Ich hab den Bot jedenfalls so wegbekommen und keinen "unerklärlichen Traffic". Die Registryveränderungen haben halt nur das Windows Sicherheitscenter deaktiviert. Und eine DCom geöffnet. Problematisch ist hierbei nur der gestartete Dienst. Die Windows Firewall ist eh nutzlos wer sie benutzt brauch sich net wundern falls mal was schiefläuft. Der Punkt ist alles was durch die Registry Veränderungen nach draussen gehen sollte wird durch eine nicht MS Firewall abgefangen. Und hier hat man jetzt Zeit die Registry zu reparieren.

Da ich meine Installation nicht so einfach Wiederherstellen kann lohnt sich der Weg für mich. Wenn jemand die Zeit hat und sich durch so ein Würmchen einschüchtern lässt, dann kann er gerne alles neuinstallieren :-)

Gratz und Tschö