Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: da war der Wurm drinnen :-(

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.02.2005, 16:20   #1
schneeflockerl
 
da war der Wurm drinnen :-( - Standard

da war der Wurm drinnen :-(



Hallo!

Ich bin neu hier und würde gerne die Meinung von euch hören. Vor ein paar Tagen hab ich mir – muß zugeben aus eigener Blödheit – den Wurm Gaobot eingefangen. Also hab ich mich in den verschiedenen Foren umgehört und die angegebenen Tips befolgt, also ad-aware, Virensoftware (im abgesicherten Modus), Hijack-This,…
Den Wurm dürfte ich letztendlich mit regedit erwischt haben (serviceconnect.exe?), zumindest laut hijack-this.

Mittlerweile kann weder Ad-Aware noch Norton etwas finden, allerdings bekomme ich bei der Hijack-this Auswertung - die auf den ersten Blick gar nicht schlecht aussieht - manchmal seltsame Einträge die mich etwas beunruhigen wie etwa dieser:
Kennen Sie die IP oder die Domäne '195.70.224.45 213.90.38.3' nicht, fixen.
Kommt nicht immer, aber doch von Zeit zu Zeit trotz fixens.

Solche Sachen gefallen mir auch nicht, zumal ich sie bei Symantec finde:
UsrPrmpt.exe SSC_UserPrompt Unbekannt
SSC_UserPrompt UsrPrmpt.exe Unbekannt

(O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe, Resultate)

oder, ebenfalls Symantec:
-- Resultate auf den Namen: "ccApp" --
Name Datei Status
ccApp ccApp.exe Gut
ccApp Böse
ccApp Böse
ccApp WMADZ.EXE Böse
ccApps services.exe Böse
ccApps winlogon.exe Böse
ccApp ccApp.exe Gut
ccApp (random filename) Böse
ccApps services.exe Böse
ccApp WMADZ.EXE Böse

-- Resultate auf die Datei: "ccApp.exe" --
Datei Name Status
ccApp.exe ccApp Gut
ccApp.exe ccApp Gut


(O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe")




Details
-- Resultate auf den Namen: "Synchronization Manager" --
Name Datei Status
Synchronization Manager mobsync.exe Gut
Microsoft Synchronization Manager fuckme.exe Böse
Microsoft Synchronization Manager bot.exe Böse
Microsoft Synchronization Manager asgard.exe Böse
Microsoft Synchronization Manager xXx.exe Böse
Microsoft Synchronization Manager WinLoginnn.exe Böse
Microsoft Synchronization Manager netscape.exe Böse
Microsoft Synchronization Manager winupdate.exe Böse
Microsoft Synchronization Manager svhost.exe Böse
Microsoft Synchronization Manager slhost.exe Böse
Synchronization Manager mobsync.exe Gut
Microsoft Synchronization Manager bot.exe Böse
Microsoft Synchronization Manager asgard.exe Böse
Microsoft Synchronization Manager xXx.exe Böse
Microsoft Synchronization Manager WinLoginnn.exe Böse
Microsoft Synchronization Manager netscape.exe Böse
Microsoft Synchronization Manager winupdate.exe Böse
Microsoft Synchronization Manager svhost.exe Böse
Microsoft Synchronization Manager slhost.exe Böse
 Resultate auf die Datei: "mobsync.exe" –

(O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon) kommt hartnäckig immer wieder!




Ist das nicht sowieso ein Trojaner?
Ctfmon.exe ctfmon32.exe Böse
(O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe)


Zudem bin ich jetzt zufällig draufgekommen dass der Internet Explorer keine gewöhnlichen Aufzählungszeichnung mehr anzeigt (verwende seit einiger Zeit Firefox normalerweise), sieht in etwa so aus wie umgedrehte engl. Pfundzeichen bzw. die der Unter-Aufzählungen wie das griechische Gammazeichen. Leider kann ich die nicht herzeigen, sobald ich die Aufzählung kopiere und wo einfüge verwandeln sie sich wieder in normale!

Da ich den Computer von meiner besseren Hälfte „vererbt“ bekommen habe und eigentlich gerade fertig geworden bin meine Sachen zu überspielen bin ich nicht so begeistert davon, aber ich fürchte mir bleibt nichts anderes übrig als neu aufzusetzen, wer weiß was der Wurm wirklich umgeschrieben hat?
Falls jemand eine Idee hat ob das eh normal ist oder nicht so schlimm, oder wie ich das wegbekomme bitte dringend melden!

Jetzt füg ich noch das Hijack-Protokoll ein, dann hab ich wirklich massig Platz gebraucht, bitte dringend Eure Meinungen zu dem Trauerfall, wie würdet ihr es machen?

Vielen Dank im Voraus und sorry wegen meines Monster-Postings!


Logfile of HijackThis v1.99.1
Scan saved at 15:43:34, on 19.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\RegCleaner\RegCleanr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{959AA306-447B-48C0-8292-8D7121738E4F}: NameServer = 195.70.224.45 213.90.38.3
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Alt 19.02.2005, 17:00   #2
Gigamail
 
da war der Wurm drinnen :-( - Standard

da war der Wurm drinnen :-(



Hi,
scanne Dein System mal mit escan folge der Beschreibung unten.

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

__________________

__________________

Alt 19.02.2005, 20:06   #3
Feierfox
 
da war der Wurm drinnen :-( - Standard

da war der Wurm drinnen :-(



Du solltest unbedingt noch Dein System und den IE updaten.

Außerdem empfehle ich Dir XPAntispy ->
http://www.xp-antispy.org/
Dort kann man einige Dienste von MS abstellen, welche "nach Hause telefonieren".

Die IP 195.70.224.45 213.90.38.3 gehört vermutlich zu Deinem Betreiber....UTA??

Die von Dir genannten Sachen:
ccApp
ctfmon
mobsync

sind "normale" Prozesse, aber (zumindest die letzten beiden) könnte man deaktivieren. "mobsync" evtl. mit XP-Antispy und zu "ctfmon" gibt es auch eine Anleitung im Netz (finde sie jetzt nicht)....frag mal Google.
ccApp ist Dein AV-Programm, wenn Du es deaktivierst läuft es halt nicht mehr...

Ansonsten wie gigamail beschrieben eScan....und Ergebnis posten.

Gruß
Andy
__________________

Alt 19.02.2005, 22:18   #4
schneeflockerl
 
da war der Wurm drinnen :-( - Standard

da war der Wurm drinnen :-(





Vielen Dank für die schnelle Antwort, der Tip mit escan war klasse!

.....und deprimierend

hier die Ergebnisse:

Sat Feb 19 20:28:30 2005 => Total Files Scanned: 51621
Sat Feb 19 20:28:30 2005 => Total Virus(es) Found: 8
Sat Feb 19 20:28:30 2005 => Total Disinfected Files: 0
Sat Feb 19 20:28:30 2005 => Total Files Renamed: 0
Sat Feb 19 20:28:30 2005 => Total Deleted Files: 0
Sat Feb 19 20:28:30 2005 => Total Errors: 3
Sat Feb 19 20:28:30 2005 => Time Elapsed: 01:53:04
Sat Feb 19 20:28:30 2005 => Virus Database Date: 2005/02/14
Sat Feb 19 20:28:30 2005 => Virus Database Count: 118236

Sat Feb 19 20:28:30 2005 => Scan Completed.

File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Win32.Agobot.ya" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\drivers\etc\3.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\drivers\etc\2.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\drivers\etc\1.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\3337271F.exe infected by "Backdoor.Win32.Agobot.ya" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Win32.Agobot.ya" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\lj\Eigene Dateien\Eigene Bilder\privat\Anwendungen\XMAS.EXE tagged as not-a-virus:Simulator.Win16.MessageMates. No Action Taken.



bring ich die sicher weg?

übrigens, ja Uta ist Provider. Bin zumindest in dem Fall beruhigt!

Alt 19.02.2005, 22:36   #5
Feierfox
 
da war der Wurm drinnen :-( - Standard

da war der Wurm drinnen :-(



Keine so guten Nachrichten. Wäre dieser:

Zitat:
File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Win32.Agobot.ya" Virus. Action Taken: No Action Taken.
nicht auf Deinem System, wäre eine Reinigung möglich.

Befolge bitte diese Anleitung:

Neuaufsetzen des Systems (Zitat Cidre)


Alt 20.02.2005, 02:00   #6
schneeflockerl
 
da war der Wurm drinnen :-( - Standard

da war der Wurm drinnen :-(



hmmm, hab eigentlich eh tief drin damit gerechnet

war halt irgendwo noch ein kleiner Hoffnungsschimmer!

Ich hab mir auch vorgenommen gleich nach dem Aufsetzen die MS Programme durch Mozilla Programme zu ersetzen, hab sie mir grad angesehen und damit kann ich leben

vielen Dank nochmal für eure schnelle Hilfe, funktioniert prima bei euch

Alt 20.02.2005, 02:25   #7
Feierfox
 
da war der Wurm drinnen :-( - Standard

da war der Wurm drinnen :-(



Du solltest noch sämtliche Passwörter ändern, da es möglich ist, dass diese durch des Backdoor-Programm ausspioniert wurden.
Und wenn es Probleme z.B. mit Firefox gibt, bist Du hier:

http://firefox.stw.uni-duisburg.de/f...2b3369d5484a53

genau richtig.

Gruß
Andy
__________________
Gruß
Andy

__________________

Antwort

Themen zu da war der Wurm drinnen :-(
.exe, abgesicherten modus, ad-aware, adobe, alcatel, antivirus, bho, blödheit, c.exe, computer, ctfmon.exe, diagnostics, dringend, drivers, excel, explorer, firefox, gebraucht, griechische, hijack-this, hijackthis, immer wieder, internet, internet explorer, internet security, monitor, mozilla, mozilla firefox, proxy, regcleaner, security, security center, software, symantec, system, trojaner, träge, usb, virensoftware, windows, wurm, überspielen



Ähnliche Themen: da war der Wurm drinnen :-(


  1. Ich habe einen Trojaner der im Amd Ordner drinnen ist ('TR/ATRAPS.Gen')
    Plagegeister aller Art und deren Bekämpfung - 28.03.2014 (7)
  2. Wurm oder nicht Wurm (Verschickt Spam-Mails)
    Plagegeister aller Art und deren Bekämpfung - 25.10.2010 (1)
  3. MSN Wurm was nun ?
    Antiviren-, Firewall- und andere Schutzprogramme - 26.03.2010 (3)
  4. MSN Wurm was nun ?
    Mülltonne - 24.03.2010 (1)
  5. Wurm oder nicht Wurm?
    Mülltonne - 25.11.2008 (0)
  6. Wurm oder nicht Wurm?
    Mülltonne - 25.11.2008 (0)
  7. MSN Wurm
    Log-Analyse und Auswertung - 24.06.2008 (21)
  8. MSN-Wurm etc
    Log-Analyse und Auswertung - 07.08.2007 (2)
  9. MSN Wurm
    Log-Analyse und Auswertung - 30.07.2007 (4)
  10. Icq-wurm!!!!!!!!!!!!!!!!!!!!!!!!
    Log-Analyse und Auswertung - 02.03.2007 (7)
  11. Wurm?
    Log-Analyse und Auswertung - 02.01.2007 (5)
  12. Wurm
    Plagegeister aller Art und deren Bekämpfung - 06.06.2005 (13)
  13. Wurm Net Sky.P
    Plagegeister aller Art und deren Bekämpfung - 26.05.2005 (7)
  14. Was ist das? Wurm????
    Plagegeister aller Art und deren Bekämpfung - 09.05.2005 (1)
  15. wurm
    Plagegeister aller Art und deren Bekämpfung - 05.06.2004 (4)
  16. IRC Wurm?
    Plagegeister aller Art und deren Bekämpfung - 03.04.2004 (7)
  17. Wurm ???
    Plagegeister aller Art und deren Bekämpfung - 05.01.2004 (13)

Zum Thema da war der Wurm drinnen :-( - Hallo! Ich bin neu hier und würde gerne die Meinung von euch hören. Vor ein paar Tagen hab ich mir – muß zugeben aus eigener Blödheit – den Wurm Gaobot - da war der Wurm drinnen :-(...
Archiv
Du betrachtest: da war der Wurm drinnen :-( auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.