Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: wahrscheinlich Wurm, aber welcher?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.10.2004, 23:10   #1
huehni
 
wahrscheinlich Wurm, aber welcher? - Standard

wahrscheinlich Wurm, aber welcher?



Hallo, ich habe folgendes Problem. Hatte Korgo drauf. Wurde von AntiViir und NortonAntiVirus erkannt und angeblich beseitigt. Neue Suchläufe zeigen auch nichts mehr an. Autostart und Registryeinträge sehen auch sauber aus. Beide Virusprogramme auf Stand von heute.

Trotzdem versucht irgendetwas übers Netz zu kommunizieren. Netstat sagt zum Beispiel folgendes:

TCP benutzer-0kp3v7:2038 dialin-212-144-184-134.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2046 dialin-212-144-157-125.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2080 dialin-212-144-157-125.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:2082 dialin-212-144-040-058.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2129 dialin-212-144-169-075.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2160 dialin-212-144-169-075.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:2182 dialin-212-144-012-141.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2187 dialin-212-144-012-141.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:2196 dialin-212-144-010-181.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2275 dialin-212-144-151-087.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2293 dialin-212-144-164-184.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2818 dialin-212-144-157-090.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2964 dialin-212-144-111-077.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2979 dialin-212-144-105-089.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:2985 dialin-212-144-105-089.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:3011 dialin-212-144-105-089.arcor-ip.net:44445 SYN_GESENDET
TCP benutzer-0kp3v7:3015 dialin-212-144-194-232.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:3018 dialin-212-144-194-232.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:3021 dialin-212-144-169-246.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:3029 dialin-212-144-194-232.arcor-ip.net:44445 SYN_GESENDET
TCP benutzer-0kp3v7:3076 dialin-212-144-045-043.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:3083 dialin-212-144-149-211.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:3089 dialin-212-144-045-043.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:3106 dialin-212-144-154-005.arcor-ip.net:microsoft-ds WARTEND
TCP benutzer-0kp3v7:3115 dialin-212-144-149-211.arcor-ip.net:microsoft-ds HERGESTELLT
TCP benutzer-0kp3v7:3120 dialin-212-144-073-229.arcor-ip.net:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3121 dialin-212-144-136-180.arcor-ip.net:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3123 dialin-212-144-175-236.arcor-ip.net:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3124 dialin-212-144-045-043.arcor-ip.net:44445 SYN_GESENDET
TCP benutzer-0kp3v7:3125 dialin-212-144-049-019.arcor-ip.net:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3126 dialin-212-144-094-157.arcor-ip.net:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3127 212.144.4.240:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3128 dialin-212-144-245-122.arcor-ip.net:microsoft-ds SYN_GESENDET
TCP benutzer-0kp3v7:3129 dialin-212-144-186-226.arcor-ip.net:microsoft-ds SYN_GESENDET


Das sieht doch mächtig nach Wurm aus! Welcher? Wie bekomme ich ihn weg? Gehts auch ohne Neuinstallation? Was braucht ihr noch für Daten für Ferndiagnose?

Freue mich auf Hilfe. Danke! Jörg.

Alt 26.10.2004, 23:14   #2
Cidre
Administrator, a.D.
 
wahrscheinlich Wurm, aber welcher? - Standard

wahrscheinlich Wurm, aber welcher?



Hallo,

konfiguriere deine NT-Dienste sicher http://www.ntsvcfg.de/ oder www.dingens.org und erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.
__________________

__________________

Alt 26.10.2004, 23:14   #3
Lidius
 
wahrscheinlich Wurm, aber welcher? - Standard

wahrscheinlich Wurm, aber welcher?



Lade dir HijackThis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier

Mach auch mal netstat -a -b (damit wird das programm angezeigt das da kommuniziert)

EDIT: Cidre war mal wieder schneller
__________________

Alt 26.10.2004, 23:19   #4
Moonlightraver
 
wahrscheinlich Wurm, aber welcher? - Standard

wahrscheinlich Wurm, aber welcher?



Woher haste den des'???
Router Protokoll oder so was??

Lade dir HijackThis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

Poste mal wir saufen und suchen für dich. *g* warte noch mit dem lustigen c:format etc...

Ich habs zuerst gesehn und zwei wahrn schneller. *snif* bin ein misser user *heul*

Alt 26.10.2004, 23:39   #5
huehni
 
wahrscheinlich Wurm, aber welcher? - Standard

wahrscheinlich Wurm, aber welcher?



Hallo, hier das HijackThis Logfile.

netstat -a -b geht bei mir nicht. -b Option wird nicht unterstützt. (Wie kommt denn das?)

Hoffe das hilft erstmal. Jetzt kümmere ich mich um die Dienste.



Logfile of HijackThis v1.98.2
Scan saved at 23:28:00, on 26.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\service32.exe
C:\WINDOWS\System32\ltmsg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\cmd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Configuration Uploader] service32.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Microsoft Configuration Uploader] service32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098744314820


Alt 26.10.2004, 23:56   #6
Cidre
Administrator, a.D.
 
wahrscheinlich Wurm, aber welcher? - Standard

wahrscheinlich Wurm, aber welcher?



Das sieht gar nicht gut aus für dich.

Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\System32\service32.exe
__________________
--> wahrscheinlich Wurm, aber welcher?

Alt 27.10.2004, 00:04   #7
huehni
 
wahrscheinlich Wurm, aber welcher? - Standard

wahrscheinlich Wurm, aber welcher?



So, habe jetzt mal die Dienste angepasst mit svc2kxp.cmd /all

Leider keine Veränderung. Das netstat Protokoll sieht immer noch so wild aus und es finden immer noch genausoviele uploads statt.


p.s. Ich bin nicht ganz blauäugig. Zum Glück steckt mein DSL Heim-Netz hinter zwei firewalls (Router und Soft). Das ist sauber. Es hat "nur" meinen Laptop erwischt, der ausschließlich per Modem ins Internet geht und nicht im Heim-Netz steckt.

Alt 27.10.2004, 00:20   #8
huehni
 
wahrscheinlich Wurm, aber welcher? - Standard

wahrscheinlich Wurm, aber welcher?



Danke für die Seite, die ist ja wirklich toll....auch wenn mit der Datei wohl was nicht stimmt.

Was empfehlt ihr zu tun?




File: service32.exe
Status: INFECTED/MALWARE
Packers detected: PE-DIMINISHER

AntiVir No viruses found (2.44 seconds taken)
Avast No viruses found (4.94 seconds taken)
BitDefender Backdoor.SDBot.Gen (8.49 seconds taken)
ClamAV No viruses found (4.34 seconds taken)
Dr.Web Win32.HLLW.MyBot.based (6.00 seconds taken)
F-Prot Antivirus W32/Spybot.BEI (1.35 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (7.28 seconds taken)
mks_vir No viruses found (2.56 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (3.87 seconds taken)
Norman Virus Control W32/Spybot.AIJ (2.03 seconds taken)

Alt 27.10.2004, 00:28   #9
Cidre
Administrator, a.D.
 
wahrscheinlich Wurm, aber welcher? - Standard

wahrscheinlich Wurm, aber welcher?



Zitat:
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (7.28 seconds taken)
Info:
http://www.trojaner-board.de/showpos...9&postcount=33
http://www.trojaner-board.de/showpos...0&postcount=37

Meine Empfehlung:
http://www.trojaner-board.de/showpos...28&postcount=2
__________________
Gruß, Cidre


Alt 27.10.2004, 09:55   #10
huehni
 
wahrscheinlich Wurm, aber welcher? - Standard

wahrscheinlich Wurm, aber welcher?



Danke für die schnelle Hilfe! Das ist echt nett von Dir.

Da hat man nun schon zwei Virenscanner und beide funktionieren nicht. Ok, ich weiß, dass die keinen bombensicheren Schutz bieten, aber das allermeiste ist damit erstmal abgewehrt. Werde mich dann mal an die Neuinstallation setzen :-(

Antwort

Themen zu wahrscheinlich Wurm, aber welcher?
angeblich, antivirus, autostart, brauch, danke, daten, diagnose, erkannt, folge, folgendes, irgendetwas, korgo, microsoft-ds, mächtig, netstat, neue, neuinstallation, neuinstallation?, nichts, nortonantivirus, sauber, stand, träge, versuch, versucht, virusprogramme, wahrscheinlich, wurm, übers



Ähnliche Themen: wahrscheinlich Wurm, aber welcher?


  1. Wlan - neuer Router aber welcher?
    Netzwerk und Hardware - 31.10.2014 (24)
  2. Trojaner in Windows 7, aber welcher?
    Plagegeister aller Art und deren Bekämpfung - 24.01.2014 (32)
  3. GVU Trojaner - geht wieder aber wahrscheinlich nicht sauber
    Plagegeister aller Art und deren Bekämpfung - 20.01.2013 (15)
  4. Trojaner, aber welcher?
    Log-Analyse und Auswertung - 13.12.2012 (1)
  5. Trojaner aber welcher....
    Plagegeister aller Art und deren Bekämpfung - 21.10.2012 (6)
  6. Antivir meldet einen Wurm den ich wahrscheinlich von einem Facebook Link habe!!!
    Plagegeister aller Art und deren Bekämpfung - 17.08.2011 (1)
  7. Virus eingefangen aber welcher? Einstellungen ändern sich automatisch
    Plagegeister aller Art und deren Bekämpfung - 22.12.2010 (1)
  8. Trojaner - aber welcher und wo? Laienfragen! :o(
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (2)
  9. Virus aber ich weiß net welcher
    Log-Analyse und Auswertung - 10.08.2009 (1)
  10. Wahrscheinlich trojaner/wurm verseucht bitte um Hilfe
    Log-Analyse und Auswertung - 19.05.2007 (5)
  11. HILFE!!! Virus! aber welcher?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2007 (10)
  12. Hartnäckiger Trojaner, aber welcher und wo ?
    Plagegeister aller Art und deren Bekämpfung - 10.06.2006 (9)
  13. 100% wurm! aber wo? :(
    Log-Analyse und Auswertung - 24.12.2005 (3)
  14. Neuer Virenscanner, aber welcher ??
    Antiviren-, Firewall- und andere Schutzprogramme - 12.09.2005 (2)
  15. Trojaner, aber welcher??
    Alles rund um Windows - 14.06.2005 (2)
  16. Plagegeist..aber welcher???
    Plagegeister aller Art und deren Bekämpfung - 20.02.2005 (9)
  17. welcher wurm/virus???
    Plagegeister aller Art und deren Bekämpfung - 02.03.2004 (2)

Zum Thema wahrscheinlich Wurm, aber welcher? - Hallo, ich habe folgendes Problem. Hatte Korgo drauf. Wurde von AntiViir und NortonAntiVirus erkannt und angeblich beseitigt. Neue Suchläufe zeigen auch nichts mehr an. Autostart und Registryeinträge sehen auch sauber - wahrscheinlich Wurm, aber welcher?...
Archiv
Du betrachtest: wahrscheinlich Wurm, aber welcher? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.