Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: W32.Glieder.BR und W32.Efewe.E

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.09.2005, 20:48   #1
Ursadon
 
W32.Glieder.BR und W32.Efewe.E - Standard

W32.Glieder.BR und W32.Efewe.E



und wieder geht es auf die jagt.

Habe mir zwei W32ger (W32.Glieder.BR und W32.Efewe.E) gefangen.
Toll nich.

Wie werde ich die wieder los? Miene Virensoftware etrust und auch norten kommen damit nicht klar. ein tool zum entfernen habe ich auch noch nicht gefunden.

Vielen Dank im Vorraus!

Urs

hier mein aktuelles HJT:

Logfile of HijackThis v1.99.1
Scan saved at 21:45:37, on 22.09.2001
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\System32\nvsvc32.exe
C:\windows\Explorer.EXE
C:\windows\SOUNDMAN.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [ssgrate.exe] C:\windows\System32\wintems.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC403973-DE60-4CCC-8EE8-0C697B5D4132}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\debughlp.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Alt 22.09.2005, 21:04   #2
Cidre
Administrator, a.D.
 
W32.Glieder.BR und W32.Efewe.E - Standard

W32.Glieder.BR und W32.Efewe.E



Hallo,

du hast mehrere folgenschweren Fehler [1] begangen und dadurch konnte sich die Malware problemlos installieren.

[1]
- Dein System ist nicht up to date
- Du surfst mit Admin Rechten durchs Netz
- Du verwendest den IE der mit Sicherheit nicht richtig konfiguriert wurde
- Du verlässt dich offensichtlich nur auf deine 'Schutzsoftware' usw.

Scanne zunächst mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

Aber du wirst nicht um ein Neuaufsetzen herumkommen.
__________________

__________________

Alt 23.09.2005, 09:15   #3
Ursadon
 
W32.Glieder.BR und W32.Efewe.E - Standard

W32.Glieder.BR und W32.Efewe.E



die escan logdatei ist 8.5 MB groß.

ich kann die nicht anhängenund auch nicht rein pasten.

Was nun?

Ich brauche dringends eine antwort, da der Rechner im Laden sofort gebraucht wird. Ich muss wissen, ob es noch ne chance gibt die Würmer und Viren weg zu bekommen, oder ob ich das system gleich neu aufsetzten sollte!

Danke
Urs
__________________

Alt 23.09.2005, 09:25   #4
stupormundi
 
W32.Glieder.BR und W32.Efewe.E - Standard

W32.Glieder.BR und W32.Efewe.E



Hallo, ursadon!

Zitat:
die escan logdatei ist 8.5 MB groß.
ich kann die nicht anhängenund auch nicht rein pasten.
Sollst Du auch nicht! Im Link von Cidre steht unter dem Punkt
Zitat:
Einsetzen von eScan – Auswertung:
genau beschrieben, was zu tun wäre
Zitat:
[5] Rechtsklick auf die Find.rar http://www.cidres-security.de/picture/Find.rar -> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.

An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.
Sollten Probleme beim Ausführen der Find.bat auftreten, dann lies bitte folgenden Thread von Haui durch.
Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor du es postest.
[6] Strg + A (alles markieren) -> Strg + C (kopieren) -> Strg + V (Thread einfügen).
Alternativ:
Öffne die 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
@cidre: Was sagst Du dazu
Zitat:
O4 - HKCU\..\Run: [ssgrate.exe] C:\windows\System32\wintems.exe
http://securityresponse.symantec.com...glieder.q.html Könnte man sich da nicht die weitere Sucherei ersparen?
Cu, stupormundi

Alt 23.09.2005, 10:11   #5
felix1
/// Helfer-Team
 
W32.Glieder.BR und W32.Efewe.E - Standard

W32.Glieder.BR und W32.Efewe.E



Ich denke mal auch das hier:
O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe
http://www.sophos.de/virusinfo/analy...jnetdenyb.html


Alt 23.09.2005, 10:23   #6
stupormundi
 
W32.Glieder.BR und W32.Efewe.E - Standard

W32.Glieder.BR und W32.Efewe.E



@felix1: Servus
Hast natürlich recht, habe aber nur wegen der Backdoor-Sache meine Aufmerksamkeit auf die von mir zitierte Datei beschränkt!
Cu, stupormundi

Alt 23.09.2005, 11:09   #7
Ursadon
 
W32.Glieder.BR und W32.Efewe.E - Standard

W32.Glieder.BR und W32.Efewe.E



so jetzt habe ich gerafft. sorry

hier bitte:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Sep 23 08:20:53 2001 => File C:\WINDOWS\SYSTEM32\RDRIV.SYS infected by "Rootkit.Win32.Agent.p" Virus! Action Taken: No Action Taken.
Sun Sep 23 08:20:59 2001 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun Sep 23 08:22:03 2001 => System found infected with WhenU.SaveNow Spyware/Adware (setup_wm.exe)! Action taken: No Action Taken.
Sun Sep 23 08:48:40 2001 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Sep 23 08:22:03 2001 => Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\setup_wm.exe
Sun Sep 23 08:48:40 2001 => Total Virus(es) Found: 3
Sun Sep 23 08:48:40 2001 => Total Errors: 169
Sun Sep 23 08:48:40 2001 => Time Elapsed: 00:28:22
Sun Sep 23 08:48:40 2001 => Total Objects Scanned: 76113
Sun Sep 23 08:19:54 2001 => Virus Database Date: 2005/09/09
Sun Sep 23 08:48:40 2001 => Virus Database Date: 2005/09/09
Sun Sep 23 08:49:30 2001 => Virus Database Date: 2005/09/09
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Alt 23.09.2005, 18:22   #8
felix1
/// Helfer-Team
 
W32.Glieder.BR und W32.Efewe.E - Standard

W32.Glieder.BR und W32.Efewe.E



Das ist bedenklich:
C:\WINDOWS\SYSTEM32\RDRIV.SYS infected by "Rootkit.Win32.Agent.p
Denn das ist das hier:
http://www.sophos.de/virusinfo/analy...jrootkitw.html

Ich denke mal, Du solltest das tun:
http://www.trojaner-board.de/showthread.php?t=12154

Alt 23.09.2005, 18:45   #9
Ursadon
 
W32.Glieder.BR und W32.Efewe.E - Standard

W32.Glieder.BR und W32.Efewe.E



ja hatte auch keine bock mehr auf virenjagen. habe das system jetzt neu aufgesetzt, nach TB anleitung. dank an alle

Urs

Antwort

Themen zu W32.Glieder.BR und W32.Efewe.E
administrator, adobe, antispyware, bho, einstellungen, entfernen, excel, explorer, firewall, google, hijack, hijackthis, internet, internet explorer, nvidia, programme, proxy, rundll, security center, settings manager, software, symantec, system, temp, virensoftware, windows, windows xp




Ähnliche Themen: W32.Glieder.BR und W32.Efewe.E


  1. Programme starten langsam + Win32/Efewe
    Log-Analyse und Auswertung - 22.05.2006 (1)
  2. Hilfe Efewe.E
    Plagegeister aller Art und deren Bekämpfung - 12.07.2005 (4)
  3. Hilfe bei Trojaner Efewe.E/Rdriv.sys
    Plagegeister aller Art und deren Bekämpfung - 09.06.2005 (10)

Zum Thema W32.Glieder.BR und W32.Efewe.E - und wieder geht es auf die jagt. Habe mir zwei W32ger (W32.Glieder.BR und W32.Efewe.E) gefangen. Toll nich. Wie werde ich die wieder los? Miene Virensoftware etrust und auch norten kommen - W32.Glieder.BR und W32.Efewe.E...
Archiv
Du betrachtest: W32.Glieder.BR und W32.Efewe.E auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.