Hilfe Wurm Win32.Worm.P2P.Backterra.D
 

Hallo!

kann mir da vielleicht jemand helfen den wurm zu entfernen weiss nicht mehr weiter...
Kann leider nicht neu aufsetzen will kein WinXp vorrätig!





Logfile of HijackThis v1.99.1
Scan saved at 18:37:48, on 19.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Sony\VAIO Event Service\VESMgr.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
D:\Programme\Softwin\BitDefender8\vsserv.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
D:\Programme\Sony\VAIO Power Management\SPMgr.exe
D:\Programme\Sony\ISB Utility\ISBMgr.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Apoint\Apoint.exe
D:\Programme\Softwin\BitDefender8\bdmcon.exe
D:\Programme\Softwin\BitDefender8\bdnagent.exe
D:\Programme\Softwin\BitDefender8\bdswitch.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
D:\Programme\Ashampoo\Ashampoo Magic Defrag\bin\aDefragCtrl.exe
D:\Programme\Apoint\Apntex.exe
D:\Programme\Opera\Opera.exe
D:\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:4002/proxy.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [SonyPowerCfg] D:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] D:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [AzMixerSel] D:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Apoint] D:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [BDMCon] "D:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "D:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] D:\Programme\Softwin\BitDefender8\bdswitch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Ashampoo Magic Defrag.lnk = D:\Programme\Ashampoo\Ashampoo Magic Defrag\bin\aDefragCtrl.exe
O8 - Extra context menu item: CC Web-Interface - http://localhost:4002/cookie.cooker/loadifscript
O8 - Extra context menu item: Formulare ausfüllen (echte Daten) - ht**p://localhost:4002/cookie.cooker/fillscriptp
O8 - Extra context menu item: Formulare ausfüllen (zufällig) - h**p://localhost:4002/cookie.cooker/fillscriptr
O8 - Extra context menu item: Werbung blockieren - h**p://localhost:4002/cookie.cooker/scriptwerbung
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\System32\shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{396634BB-110A-4EFE-A8BC-3DBFC25AA6E6}: NameServer = 213.191.92.87 213.191.74.19
O17 - HKLM\System\CS1\Services\Tcpip\..\{396634BB-110A-4EFE-A8BC-3DBFC25AA6E6}: NameServer = 213.191.92.87 213.191.74.19
O20 - AppInit_DLLs: sockspy.dll
O20 - Winlogon Notify: VESWinlogon - D:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - D:\Programme\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VAIO Event Service - Sony Corporation - D:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Danke im voraus!
mAndee

@mAndee
Ich auch. Ich muss mindestens erfahren, wo der Wurm gefunden wurde.
Besorge dir Linux: Kostet nix und hat weniger Schwachstellen.

Hallo!

Das ist das verzeichnis.
d:\programme\emule\temp\003.part infected: Win32.Worm.P2P.Backterra.D

jetzt bitte nich mekern wegen emule hat meine Freundin instaliert.:mad:
werd das wenn ich nochmal mit nen blauen Auge davon komme sofort deinstalieren.(für immer)

Danke mAndee

Um zu wissen, ob das Ding schon läuft, lade Dir die Datei runter, startet sie und poste das Log, welches Dir angezeigt wird:

http://rapidshare.de/files/13670149/bac.bat.html

Hallo MightyMarc...
Komme mit deinem Linkhttp://rapidshare.de/files/13670149/bac.bat.html
nicht klar.
kannst du mir das mal erklären bitte?
Danke erstmal für deine Hilfe...
mAndee

Wenn Du den Link angeklickt hast, musst Du auf der erscheinenden Seite, den Button "Free" (neben "Premium" klicken). Auf der folgenden Seite musst Du dann noch Buchstaben oder Zahlen eintippen, die Dir als Bildchen angezeigt werden. Wenn Du das hast, Enter drücken und Datei speichern.

Scheint ein bisserl umständlich, ist aber eigentlich ganz einfach.

Hab das hinbekommen aber sie lässt sich nich öffnen. steht immer zugriff verweigert?muss ich die mit admi runterladen?Hab mein win auf D:?

mAndee

Hallo! Kann mir bitte einer helfen um das weckzukriegen


Mon Feb 20 14:42:06 2006 => Offending file found: D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
Mon Feb 20 14:42:06 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.

Mon Feb 20 14:42:31 2006 => Scanning Folder: D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\*.*

Danke im voraus...mAndee