Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32.Worm.IM.Maplas.A

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.10.2008, 19:43   #1
Soyo
 
Win32.Worm.IM.Maplas.A - Standard

Win32.Worm.IM.Maplas.A



Einen schönen Abend erstmal =)
Gestern hab ist mir der Wurm beim boot das erste mal von meinem BitDefender angezeigt worden.
Er öffnet dauernd so eine komische Pferdeseite namens altmark***.de .
Im Taskmanager wird ein Prozess namens wscript.exe angezeigt, der meinen CPU zu 98% auslastet... -.-
Wenn ich ihn beende, wird er erneut gestartet, die Pferdeseite öffnet sich wieder und erneut 98% (Nicht das ich was gegen Pferde hätte, ich liebe diese Salami).
Durch ein bisschen eigenen Aufwand hab ich sehr Schnell die "Schleife" des Virus gefunden. Habe die Scripts durch den Hex Editor alle auf deleted und danach in den Papierkorb und weg, weil sie sich sonst gleich wiederhergestellt haben.
Der Virus besteht aus den 4 Programmen im Temp:
21443.bat
bin.exe
wg4t.vbs
z.php

Danach hat der Pferdespam erstmal aufgehört, aber wenn ich den PC boote is der Mist wieder da.
Der Übeltäter ist meiner Meinung nach http://bigsam.biz/mypw/bin. exe (Leerzeichen damit keiner klickerlt ;D Wenn ich den Link entfernen soll Bescheid sagen)


Hier der HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:04, on 18/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\YATS32\yats32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Softwin\BITDEF~3\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\wscript.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wscript.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [LtcyCfgApply] "C:\Programme\LtcyCfg\LtcyCfg.exe" /a
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~3\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Print Spool Service] C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\22128\12625.vbs
O4 - HKLM\..\RunServices: [Print Spool Service] C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\22128\12625.vbs
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SetAquaeroClock.lnk = C:\Programme\SetAquaeroClock\SetAquaeroClock.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Link to &MidpX - C:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,84/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208634595476
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1218824059807
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/Z4/heartbeat.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,21/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC88FA5-ACDB-44DF-B233-1001AFA46AC4}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B86C1E9E-3587-4480-B778-010D755B88E4}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
O23 - Service: YATS32 - Dillobits Software, Inc. - C:\Programme\YATS32\yats32.exe

--
End of file - 8402 bytes



So das war dann auch alles was ich selber herrausfinden konnte, ich hoffe ihr könnt mir bei meinem Problem helfen.


PS: Ich gehe mit Opera ins Inet, falls das was zur Sache tut.

Danke schonmal im vorraus
MFG, Soyo.

Antwort

Themen zu Win32.Worm.IM.Maplas.A
application, ask toolbar, askbar, bho, bonjour, browser, cpu, ctfmon.exe, defender, desktop, entfernen, erste mal, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, monitor, problem, prozess, rundll, server, software, symantec, system, taskmanager, temp, virus, windows, windows xp, wscript.exe, wurm



Ähnliche Themen: Win32.Worm.IM.Maplas.A


  1. Win 7, Zonealarm findet Trojan-Spy.Win32.VB.qu und Worm.Win32.VB.fp auf externer Festplatte
    Plagegeister aller Art und deren Bekämpfung - 02.03.2014 (9)
  2. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  3. Worm:Win32/Conficker & Flooder:Win32/Sambot; Netzwerk überlastet
    Log-Analyse und Auswertung - 19.01.2013 (3)
  4. Worm:Win32/Pushbot.vr
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (9)
  5. worm.win32.autorun
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (5)
  6. Worm:Win32/Conficker.B Virus:Win32/Sality.AM PWS:Win32/Verweli.A
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (1)
  7. Worm:Win32/Autorun!inf
    Log-Analyse und Auswertung - 14.06.2010 (3)
  8. Win32/RBot.3eu, W32/Gaobot.worm.gen.u, win32/renos.n, win32/renos.jt
    Plagegeister aller Art und deren Bekämpfung - 01.10.2009 (17)
  9. Win32.Trojan.Agent/Win32.Worm.Autorun mit Ad-Aware unschädlich gemacht?
    Plagegeister aller Art und deren Bekämpfung - 06.08.2009 (6)
  10. P2P-Worm.Win32.Bacteraloh.bb
    Plagegeister aller Art und deren Bekämpfung - 14.02.2009 (10)
  11. Worm.Win32.Perlovga.c
    Mülltonne - 30.04.2008 (0)
  12. worm.win32.netbooster2
    Plagegeister aller Art und deren Bekämpfung - 15.04.2008 (4)
  13. Worm.Win32.NetBooster
    Mülltonne - 10.04.2008 (0)
  14. Worm.Win32.NetSky Was Tun?
    Mülltonne - 10.02.2008 (0)
  15. P2P-Worm.Win32.VB.dw
    Plagegeister aller Art und deren Bekämpfung - 26.09.2006 (1)
  16. win32 p2p-worm.alcan.a
    Plagegeister aller Art und deren Bekämpfung - 29.05.2006 (48)
  17. win32.p2p-worm.alcan.a
    Log-Analyse und Auswertung - 21.01.2006 (15)

Zum Thema Win32.Worm.IM.Maplas.A - Einen schönen Abend erstmal =) Gestern hab ist mir der Wurm beim boot das erste mal von meinem BitDefender angezeigt worden. Er öffnet dauernd so eine komische Pferdeseite namens altmark***.de - Win32.Worm.IM.Maplas.A...
Archiv
Du betrachtest: Win32.Worm.IM.Maplas.A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.