Wenn es hier falsch gepostet wurde,bitte ich den Thread zu verschieben...

Habe mal ne Frage zu dem kleinen Kerlchen,eine Freundin von mir hat sich das Viech eingefangen,nun ist die Frage,kann man den NUR manuell entfernen oder gibt es dafür ein Tool,um den wuamgrd.exe zu entfernen???

Manuell habe ich selbst noch keinen Backdoorwurm entfernt,deshalb meine Frage!?

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]

[ 16. Mai 2004, 23:16: Beitrag editiert von: Shadoweye ]

Ist es dieser hier?
http://www.trendmicro.com/vinfo/viru...e=WORM_SDBOT.L

Björn

Nein, sorry, der Wurm selber nennt sich W32.Agobot.A als exe findet meine Freundin als wuamgrd.exe. Sie bekommt den Wurm auf Teufel komm raus nich von ihrem System runter.

Aber danke trotzdem Lucky [img]smile.gif[/img]

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]

Hallo!

Nehmt den PC so schnell als möglich vom Netz! Durch den aktiven Backdoor befindet sich das System nicht mehr unter "eurer Kontrolle". Persönliche Daten können ausspioniert oder das System z.B. für Spamzwecke missbraucht werden.

Dann mal ein HijackThis-Logfile erstellen und hier posten. Nach Löschen der offensichtlichen Malwaredateien kann dann in Ruhe offline (!) eine Sicherung der wichtigsten Daten durchgeführt werden.

Anschließend sollte das System neu aufgesetzt, und vor der ersten Internetverbindung entsprechende Maßnahmen ergriffen werden:

http://www.mathematik.uni-marburg.de...ompromise.html


Nachfrage: Um welches Betriebssystem handelt es sich dabei?

Gugugs mmk,

Danke für die Antwort, also es handelt sich um ein XP - System, am Wochende wurde die Kiste dreimal neu aufgesetzt. Meine Freundin ist schon halb am verzweifeln, denn jedes Mal, wenn sie ins Netz will, um sich die Sicherheitsupdates bei Microsft zu ziehen, lässt dieser Backdoor - Wurm nicht zu!! Sie ist schon soweit, das sie ihre Kiste aus dem Fenster schmeissen will, aber werde ihr mal den Link für den HijackThis schicken, das sie den machen kann! Werde ihn dann hier posten..

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]

Hallo zusammen,

habe es endlich geschafft den Log bekommen von meiner Freundin! Lang, lang ist es her *fg*

Also erst mal hier der Log :

Logfile of HijackThis v1.97.7
Scan saved at 18:39:56, on 24.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger Plus! 2\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programme\DeeEnEs\DeeEnEs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AutoDialUp\AutoDialUp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\DOKUME~1\Anke\LOKALE~1\Temp\~AceTemp\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/cust...//my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/cust...//my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [DeeEnEs] C:\Programme\DeeEnEs\DeeEnEs.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\RunOnce: [AutoDialRun] "C:\Programme\AutoDialUp\AutoDialUp.exe"
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get...irector/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/fu...tup1.0.0.8.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17348ca4...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8124.381712963
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D348A343-812E-4D46-9BA4-35ABFD51D935}: NameServer = 217.237.150.97 194.25.2.129

Schaut mal, ob sich da irgendwas befindet, was nich auf die Dattelkiste gehört!!

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]

Hallo!

Mindestens das gehört nicht drauf:


C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [Zone Labs Client]
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - h**p://bar.mywebsearch.com/menusearch.html?p=ZSzeb029


Des Weiteren prüft mal bitte, ob das hier wissentlich / absichtlich installiert wurde:

C:\Programme\DeeEnEs\DeeEnEs.exe

Gugugs mmk,

danke für deine schnelle Antwort, hab erst später damit gerechnet

Hab meine Freundin gefragt, sie sagt, das

C:\Programme\DeeEnEs\DeeEnEs.exe

mit Absicht auf ihrer Kiste ist, was auch immer das ist?? *schulterzuck*
Aber trotzdem vielen Dank soll ich euch ausrichten für die Hilfe, wenn noch was sein sollte, werd ich mich noch mal melden

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]

P.S: Soll ich dann noch mal den Log hier posten, wenn sie das alles gefixed hat?? Denke ja oder??

Google sagt:
Beschreibung:
DeeEnEs ist ein äußerst kompakter Client für den DynDNS-Service. Nach einer einmaligen Registrierung erhalten Sie eine eigene Third-Level-Domain, beispielsweise "meinrechner.dyndns.org". Immer wenn sich die IP-Adresse Ihres Computers ändert, springt DeeEnEs an und aktualisiert beim DynDNS-Onlineservice die für "meinrechner.dyndns.org" hinterlegte IP-Adresse. Anwender, die Ihren Server erreichen wollen, müssen sich dann nur noch "meinrechner.dyndns.org" merken und Sie sind alle Verbindungsprobleme los.
Autoren-Kontakt: http://www.palacio-cristal.com


Schaut legal aus

Dyndns kenne ich,das nutzen wir für unseren Server, falls unsere User nich auf unser Forum kommen aus was für Gründen auch immer

Also im Prinzip nix anderes, wenn ich das richtig verstehe..

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]