Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: W32.Spybot.Worm in Explorer.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.11.2004, 16:48   #1
cubicki
 
W32.Spybot.Worm in Explorer.exe - Standard

W32.Spybot.Worm in Explorer.exe



Hallo,bin neu hier. Habe heute mit NAV und Stinger gescannt und er hat im NAV den W32.Spybot.Worm gefunden und im Stinger den Exploit-DcomRpc.gen trojan in C:\Windows\system32\Explorer.exe. Beide Programme konnten weder reparieren noch entfernen. Ich weiß nicht mehr was ich noch tun kann und habe Angst dass persönliche Daten verschickt werden.Wie groß ist die Gefahr?
Ist es nicht komisch dass er 2 verschiedene Würmer/Trojaner erkennt?
Hier ist noch der Hijack Log:

Logfile of HijackThis v1.98.2
Scan saved at 16:43:17, on 19.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\Explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\svmhost.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Mozilla\Firefox\firefox.exe
C:\DOKUME~1\Gman\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=1000698
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=1000698
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=1000698
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [Microsoft Automatic Updater] Explorer.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\xqqbjhvc.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Microsoft Automatic Updater] Explorer.exe
O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/2470c8c2e5b304be6306/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100709164703
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - h**p://w*w.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab


Ich hoffe ihr könnt mir helfen,denn ich weiß nicht mehr was ich machen kann.

Gruß

Alt 19.11.2004, 17:21   #2
cubicki
 
W32.Spybot.Worm in Explorer.exe - Standard

W32.Spybot.Worm in Explorer.exe



Ich bins nochmal.Habe jetzt mal neugestartet und wieder gescannt,nun findet er weder mit NAV noch mit Stinger einen Wurm/Trojaner.
Habe mal in den anderen Threads zum W32.Spybot.Worm gelesen.Da wird ja überall empfohlen das OS neu aufzusetzen,sollte ich das auch tun oder ist das jetzt ok?Und was sagt mein Log?

Danke schonmal
__________________


Alt 19.11.2004, 17:26   #3
Yopie
Moderator, a.D.
 
W32.Spybot.Worm in Explorer.exe - Standard

W32.Spybot.Worm in Explorer.exe



Beende folgende Prozesse über den Taskmanager:

Zitat:
Zitat von cubicki
C:\WINDOWS\system32\Explorer.exe ACHTUNG: es gibt zwei Prozesse mit Explorer.exe!
C:\WINDOWS\system32\svmhost.exe
und fixe folgende Einträge mit Hijackthis:

Zitat:
Zitat von cubicki
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...unt_id=1000698
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...unt_id=1000698
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...unt_id=1000698
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [Microsoft Automatic Updater] Explorer.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\xqqbjhvc.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Microsoft Automatic Updater] Explorer.exe
O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/2470c8c2e5b304be6306/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
Danach ein neues Hijackthis-Log. Falls sich Prozesse nicht löschen lassen oder Einträge nach dem Fixen wiederkommen, versuch es im abgesicherten Modus bei deaktivierter Systemwiederherstellung.

Falls das auch nicht hilft, scan mal mit http://www.trojaner-board.de/42731-escan-anleitung.html. Anleitung beachten!

Gruß
Yopie
__________________

Alt 19.11.2004, 19:07   #4
cubicki
 
W32.Spybot.Worm in Explorer.exe - Standard

W32.Spybot.Worm in Explorer.exe



Und wie groß ist die Wahrscheinlichkeit dass schon persönliche Daten versendet wurden?Ist mein System dann sicher oder wäre es doch besser neu zu installieren?
Vielen Dank mal an dich Yopie,werds gleich mal probieren.

Alt 19.11.2004, 19:13   #5
Yopie
Moderator, a.D.
 
W32.Spybot.Worm in Explorer.exe - Standard

W32.Spybot.Worm in Explorer.exe



Zitat:
Zitat von cubicki
Ist mein System dann sicher oder wäre es doch besser neu zu installieren?
Sorry, da hab ich wohl das Wichtigste überlesen. Ja, in der Tat solltest Du Dein System komplett neu aufsetzen.

"Die meisten Varianten enthalten eine Backdoor-Funktion, über die ein Angreifer volle Kontrolle über den infizierten Computer erhält." ( http://www.bsi.de/av/vb/spybot.htm )

Tips zum Installieren: http://www.trojaner-board.de/showthread.php?t=9546

Zitat:
Und wie groß ist die Wahrscheinlichkeit dass schon persönliche Daten versendet wurden?
Kann man nicht beziffern. Es ist möglich, eine andere Aussage kann man hier nicht treffen.

Gruß
Yopie


Alt 19.11.2004, 19:13   #6
Haui45
 
W32.Spybot.Worm in Explorer.exe - Standard

W32.Spybot.Worm in Explorer.exe



So wie es aussieht sind da eine ganze Menge Backdoors aktiv. Daher wäre formatieren imo das beste, falls du dich dazu entschließen solltest (was ich dir rate) mach es richtig
Zitat:
C:\WINDOWS\system32\svmhost.exe
-> Forbot

Alt 20.11.2004, 11:15   #7
cubicki
 
W32.Spybot.Worm in Explorer.exe - Standard

W32.Spybot.Worm in Explorer.exe



Vielen Dank nochmal an euch.Ich habe jetzt mal das gemacht was mir Yopie oben gesagt hat. Jetzt sieht mein Log folgendermaßen aus:

Logfile of HijackThis v1.98.2
Scan saved at 11:17:33, on 20.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\Gman\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab


Könntet ihr euch das Logfile nochmal anschauen? Er findet jetzt weder mit NAV noch mit Stinger etwas? Kann es sein dass sich der Wurm nur versteckt?Ginge es auch ohne Neuinstallation?

Gruß

Alt 20.11.2004, 11:24   #8
Cidre
Administrator, a.D.
 
W32.Spybot.Worm in Explorer.exe - Standard

W32.Spybot.Worm in Explorer.exe



Wenn du wirklich wieder einen vetrauenswürdigen Zustand herstellen willst, dann hilft nur ein Neuaufsetzen deines Systems. Eine Bereinigung durch AV Scanner ist imho unzureichend. Siehe auch http://oschad.de/wiki/index.php/Virenscanner oder http://faq.underflow.de/#SECTION000120000000000000000 .
__________________
Gruß, Cidre


Antwort

Themen zu W32.Spybot.Worm in Explorer.exe
adobe, antivirus, antivirus scan, bho, file missing, firefox, hijack, hijackthis, internet, internet explorer, internet security, log, logfile, microsoft, monitor, mozilla, neu, nvcpl.dll, programme, registry, rundll, security, security center, software, symantec, system, temp, trojan, windows, windows xp



Ähnliche Themen: W32.Spybot.Worm in Explorer.exe


  1. spybot, worm, usw.
    Plagegeister aller Art und deren Bekämpfung - 19.07.2010 (18)
  2. Virusbefall Isass.exe W32.Spybot.Worm
    Log-Analyse und Auswertung - 09.05.2006 (4)
  3. kniffliges Problem mit W32.spybot.worm
    Plagegeister aller Art und deren Bekämpfung - 30.11.2005 (2)
  4. W32.Spybot.Worm
    Plagegeister aller Art und deren Bekämpfung - 10.09.2005 (1)
  5. w32 spybot worm und trojan horse
    Log-Analyse und Auswertung - 05.06.2005 (13)
  6. W32.Spybot.Worm
    Plagegeister aller Art und deren Bekämpfung - 17.11.2004 (1)
  7. W32.Spybot.Worm - und kein Ende
    Plagegeister aller Art und deren Bekämpfung - 27.10.2004 (7)
  8. HILFE--W32.Spybot.Worm
    Plagegeister aller Art und deren Bekämpfung - 30.09.2004 (1)
  9. muamgrd.exe | w.32.spybot.worm HILFE!!!!!
    Plagegeister aller Art und deren Bekämpfung - 20.09.2004 (2)
  10. w32.spybot.worm
    Plagegeister aller Art und deren Bekämpfung - 26.08.2004 (12)
  11. w32.spybot.worm
    Plagegeister aller Art und deren Bekämpfung - 16.08.2004 (2)
  12. Backdoor.Berbew und W32.Spybot.Worm
    Plagegeister aller Art und deren Bekämpfung - 12.08.2004 (3)
  13. W32.Spybot.Worm brauche hilfe !!!
    Antiviren-, Firewall- und andere Schutzprogramme - 15.07.2004 (11)
  14. W32.Spybot.Worm
    Plagegeister aller Art und deren Bekämpfung - 18.06.2004 (3)
  15. W32.spybot.Worm
    Plagegeister aller Art und deren Bekämpfung - 22.01.2004 (10)
  16. Virus? Worm/SpyBot.P2P.Gen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2003 (6)
  17. Worm-P2P.Spybot.102
    Plagegeister aller Art und deren Bekämpfung - 24.10.2003 (13)

Zum Thema W32.Spybot.Worm in Explorer.exe - Hallo,bin neu hier. Habe heute mit NAV und Stinger gescannt und er hat im NAV den W32.Spybot.Worm gefunden und im Stinger den Exploit-DcomRpc.gen trojan in C:\Windows\system32\Explorer.exe. Beide Programme konnten weder - W32.Spybot.Worm in Explorer.exe...
Archiv
Du betrachtest: W32.Spybot.Worm in Explorer.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.