| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Wurmbefall-hilfeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.10.2005, 12:57
| #1 |
 |  Wurmbefall-hilfe hallo, ich bin über w-lan meiner uni im intenet und habe jetzt eine email von der verwaltung bekommen, das ich wohl einen wurmbefall habe, und von meinem account irgendwelche "angriffe" ausgingen- ich soll das schleunigst beseitigen- jetzt ist die frage, wie  kann mir vielleicht irgenjemand helfen? bin mal wieder völlig verzweifelt...danke schonmal!!! viele grüsse, tinemeine logfile: Logfile of HijackThis v1.99.1 Scan saved at 13:53:43, on 14.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Arcade\PCMService.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Mozilla Firefox\plugins\GetFlash.exe C:\Programme\Cisco Systems\VPN Client\vpngui.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Sophos\Remote Update\cachemgr.exe C:\Programme\Sophos\Remote Update\imonitor.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avginet.exe C:\DOKUME~1\Tine\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199-2.zip\HijackThis.exe C:\Programme\Mozilla Firefox\firefox.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aol.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - C:\PROGRA~1\Accoona\atoolbar.dll (file missing) O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - h**p://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{4C766DF2-2587-4A1D-8E4B-9735A205E921}: Domain = gwdg.de O17 - HKLM\System\CCS\Services\Tcpip\..\{4C766DF2-2587-4A1D-8E4B-9735A205E921}: NameServer = 134.76.10.46,134.76.33.21 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gwdg.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = gwdg.de O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe [edit] links entfernt [/edit] Geändert von GUA (14.10.2005 um 17:34 Uhr) |
|
14.10.2005, 14:57
| #2 | |
  | Wurmbefall-hilfe @tine
__________________Zitat:
2. Problem kann von Denen verursacht werden, die deine E-Mail-Adresse im ihrem Windows-Adressbuch haben und ein Paar Würmchen dazu, die unter deinem Namen sich selbst weiterleiten. Gehe auf deine Verwaltung zu und lasse sie dir die Kopfzeilen der fragwürdigen E-Mails anschauen. |
|
14.10.2005, 15:12
| #3 |
| | Wurmbefall-hilfe hallo, danke für deine hilfe- wenn in dem log nichts zu finden ist, wo könnte sich denn sonst was verstecken? ich habe leide gar keine ahnung, hatte im kopf, das man unter start-ausführen-regedit mal nachschauen soll, und bei diesen H-Key classes root stehen so viele programme, die sich tw total seltsam anhören- alerdings will ich die auch nicht so einfach löschen, habe ja gar keine ahnung was das ist...ich habe jetzt sämtliche antiviren und antispyware proramme durchlaufen lassen und ad-aware hat auch etwas gelöscht...hoffe, das war vielleicht der auslöser.
__________________wer kann den meinen namen in seinem windows-adressbuch haben, und was kann derjenige damit anstellen? ich verstehe immer gar nicht, wieso ich mir so ein zeug einfange, dafür muss es doch irgendeinen grund geben?! danke nochmal+viele grüße, tine |
|
14.10.2005, 15:14
| #4 |
| | Wurmbefall-hilfe achso, habe vergessen zu schreiben, das ich die letzten tage emails vom anderen nutzern dieses uni-internets bekommen habe, die eigentlich an die verwaltung gerichtet waren, was mich schon total gewundert hat- vielleicht lässt das ja auf irgendetwas schliessen?! viele grüße, tine |
|
14.10.2005, 15:18
| #5 |
| /// Helfer-Team  | Wurmbefall-hilfe Dann mache einen escann genau nach Cidres Anleitung und poste das mit der find.bat erzeugte Log: http://www.trojaner-board.de/showthread.php?t=17492 |
|
14.10.2005, 16:21
| #6 |
| | Wurmbefall-hilfe also ich hab jetzt alles versucht, um diesen e-scan durchzuführen, ich bin nur anscheinend leider wirklich unfähig  wenn ich im abgesicherten modus bin, wie komme ich denn dann bloss zu diesem Ordner C:/Bases-X, den Cidre da nennnt? und wie ich dann zu diesem find.bat log komme, verstehe ich auch nich...kann mir da vielleicht jemand weiterhelfen? als ic im abgesicherten modus war, gab es ausser meinem anmeldenamen noch einen anderen, "administrator"-ist das normal? habe echt so langsam angst das mein pc komplett verwurmt ist oder so bin über jede hilfe sehr dankbar  viele grüße, tine |
|
14.10.2005, 17:58
| #7 | |
| /// Helfer-Team | Wurmbefall-hilfeZitat:
 Hast Du nun den escan laufen lassen oder nicht? |
|
| Themen zu Wurmbefall-hilfe |
| adobe, alert, antivirus, bho, computer, dll, drivers, email, explorer, firefox, frage, helfen, hijack, hijackthis, icqtoolbar, internet, internet explorer, launch, logfile, mozilla, mozilla firefox, rundll, security, security center, settings manager, software, symantec, system, temp, windows, windows xp, wurmbefall |
Linear-Darstellung
