|
W32/Sdbot und Rbot.210944 wie werd ich die geister wieder los? Vornweg: Windows XP Home SP1, IE 6 SP1, Leider keine Sicherheitsupdates, keine Firewall Logfile of HijackThis v1.97.7 Scan saved at 15:35:56, on 16.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Microsoft Works\WksSb.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\CtrlVol.exe C:\PROGRA~1\MyWay\bar\1.bin\mwsoemon.exe C:\WINDOWS\System32\SFAX_NT.EXE C:\WINDOWS\System32\WSconf.exe C:\WINDOWS\System32\glavas.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme 2\Ulead Systems 2\CalCheck.exe C:\WINDOWS\System32\cidaemon.exe C:\Programme\Microsoft Office\Office10\Winword.exe C:\Programme\Microsoft Works\MSWorks.exe C:\Win32App\NTTools\NFileMgr\FILEMGR.EXE c:\Programme 2\Sicherheit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWay\SearchAt\1.bin\MWSSRCAS.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWay\bar\1.bin\MWSBAR.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Find - {8D029AEC-E412-4948-84B5-699A740946AE} - %SystemRoot%\System32\iefind.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My &Way Speedbar - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWay\bar\1.bin\MWSBAR.DLL O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~2\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [HP OfficeJet T Series] "C:\Programme\Hewlett-Packard\HP OfficeJet T Series\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet T Series\Install" O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [SkyFile Monitor] C:\WINDOWS\System32\SFAX_NT.EXE O4 - HKLM\..\Run: [Microsoft Drivers] WSconf.exe O4 - HKLM\..\Run: [blah service] glavas.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [Microsoft Drivers] WSconf.exe O4 - HKLM\..\RunServices: [blah service] glavas.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [TClockEx] C:\Dokumente und Einstellungen\D\Startmenü\Programme\Autostart\TClock\TCLOCKEX.EXE O4 - HKCU\..\Run: [euroat.exe] C:\Programme 2\Alpenland\Euro + @\euroat.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Startup: Verknüpfung mit TCLOCKEX.lnk = C:\TClock\TCLOCKEX.EXE O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\Programme 2\Brockhaus\PCLib.exe O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme 2\Ulead Systems 2\CalCheck.exe O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.6.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/eng/check/qdiagh.cab?312 Das wird jetzt etwas umfangreich jedoch wollte ich alle Details gleich mit schildern. Hallo, nach einer längeren Reise, auf der ich den Laptop mit dabei hatte, wollte ich zu Hause wieder mal "normal" mit Modem ans Internet. Ansonsten ging das nur mit Skyfile und nur schnell mails abholen. Anfangs keine Probleme, auch das Abholen der aktuellen Virendefinitionen von Antivir klappte noch super. Kurze Zeit später meldete Antivir XP, dass C:\\windows\system32\Sygate.exe Worm/Rbot.210944 enthält und die wurde dann gelöscht. Auch noch irgendwo Worm/Rbot.MM.2 usw. Danach ging dann irgendwie im Interne gar nichts mehr, das Aufrufen des IE bewirkte zwar das Herstellen einer Modemverbindung mit freenet, doch surfen und Outlook mailen war nicht mehr möglich. "Die Seite kann nicht angezeigt werden", "Der Server POP3hat nicht innerhalb von 60 Sekunden reagiert..." Auch das Abrufen der Virendefinitionen ging nicht mehr. Jedoch ping www.heise.de ging ohne Probleme. Danach auf Anraten eines Freundes den aktuellen Stinger im abgesicherten Modus drüber gejagt, der hat dann auch noch 2 Würmer gekillt: C:\\windows\system32\iexplore.exe found W32/Sdbot.worm.gen.t virus!!! C:\\windows\system32\iexplore.exe has been deleted. C:\\windows\system32\wssrv.exe\wssrv.exe found W32/Sdbot.worm.gen.t virus!!! C:\\windows\system32\wssrv.exe\wssrv.exe has been deleted. Wofür wssrv.exe im Verzeichnis?!? wssrv.exe steht, haben wir nicht heraus gefunden, jedoch machte es uns schon verwundert, dass man die iexplore.exe löschen kann. Jedenfalls meldete Antivir auch gleich noch ein paar Trojaner und anderes und nach dem Neustart ging der Internet Explorer wieder obwohl wir mittels Stinger die Datei gelöscht hatten. Dann hatte ich Zonealarm installiert, damit nicht wieder was rein kommt. Nach Neustart meldete er prompt: WSconf.exe und dann auch glavas.exe wollen ins Internet, dürfen die das? Das haben wir verneint und geschaut, was das soll. Google ergab für glavas.exe gar nichts und WSconf.exe ist wohl mit dem Wurm WORM_SDBOT.ZU gleich zu setzen. Also bin ich die Biester immer noch nicht los! :headbang: Symantec hat keinen brauchbaren Vorschlag und kein Tool für diesen Wurm und auch sonst weiß ich nicht weiter. Wer kann mir helfen? Gruß! GT |
|
Hallo und danke für die Antwort! Nun ist es so, dass der PC nur mit so einer Recovery CD ausgestattet ist. Da hatman doch so eine kleine Partition mit den Wiederherstellungsinformationen. Ist diese dann nicht auch verseucht? Wie steltt man so ein System wieder her? Du sprichst von mehreren gefährlichen Backdoors, siehst Du die in der Auswertung des logs? Auf dem PC sind viele Fotos und dergleichen, *doc´s und andere wichtige Dateien, wie kann ich die retten, da sind doch sicher auch verseuchte Dateien darunter oder? Hilft hier dieses escan oder das dcs von trendmicro, was ich hier schon mehrfach gelesen habe? Gruß! GT |
Hallo, ist das Neuaufsetzen des Systems die einzige Lösung oder was haltet ihr davon, die Probleme mit hijackthis zu fixen und anschließend noch im abgesicherten Modus Virensuche und Stinger mehrmals drüber laufen zu lassen? Wenn man dann noch das SP 2 für XP, SP2 für den IE und alle anderen sicherheitsrelevanten Patches installiert, die noch fehlen, wird da nicht das system auch neu aufgesetzt? Was sagt denn das unten posted hijackthis.log aus? Gruß! GT |
Zitat:
Zitat:
Zitat:
Zitat:
Warum? Schau Dir auf einem sauberen Rechner http://www.mathematik.uni-marburg.de...c-removal.html an: "Viele Würmer richten auf den von Ihnen befallenen System sogenannte Backdoors (Hintertüren) ein, durch der Autor des Wurms die vollständige Kontrolle über den Rechner erhält. Einen solchen Rechner nennt man in der Szene einen "Zombie" und er wird üblicherweise von dem ihn kontrollierenden Angreifer für all die Dinge genutzt, die er mit seinem eigenen System nicht machen würde (Versenden von Spam, als Ablageplatz für illegale Daten, etc.)" Gruß :daumenhoc Yopie |
Das Logfile sagt auch aus, dass dein System kompromittiert ist. Zitat:
Zitat:
Zu deiner Frage mit der Recovery CD: http://www.trojaner-board.de/showthread.php?t=8844 |
Hallo, vielen Dank für Eure Antworten, nur frage ich mich jetzt wie ich das hin bekomme, dass ich ein völlig sauberes und sicheres System erhalte. Gibt es überhaupt noch saubere Systeme? Wenn ich den PC platt gemacht habe und mir die MS Updates, Antivirensoftware usw. herunterladen will, dann muss ich ja ins Netz gehen. Ist dann nicht der PC noch ungeschützt und kann gleich wieder bombardiert werden? Wenn ich die Daten auf CD brenne und dann in den sauberen PC einlege, um sie auf Viren zu scannen, ist dann der PC nicht gleich wieder verseucht? @Haui45, weil die Systemdateien alle erneuert werden, beim Update, da kam ich drauf, dass man ja fast ein neues Sytem erhält. Die Viren wurden ja angeblich von den Scannern beseitigt. Obwohl, so richtig sicher kann man sich ja dabei nie sein, dass der Scanner alle erkennt. Gruß! GT |
Zitat:
Zitat:
Zum Thema Neuinstallation: http://www.trojaner-board.de/showthread.php?t=9546 Für die Zukunft mal ans Herz gelegt: http://www.malte-wetz.de.vu/index.ph...ompromise.html |
Zitat:
Gruß :daumenhoc Yopie |
Hallo! Ihr habt mich überzeugt. Das SP2 auf CD ist unterwegs, doch das dauert, naja, bin erst mal im Urlaub. Wenn ich denn Herrn Metz richtig verstanden habe, ist das auf CD gebrannte unkritisch, solange man nichts davon ausführt, sondern lediglich scannt? Auf alle Fälle sind die angegebenen links sehr hilfreich, nochmals vielen Dank! Gruß! GT |
Zitat:
Gruß :daumenhoc Yopie |
Zitat:
Kann das sein, dass Herr M J Wetz selber komprommitiert ist? Gestern konnt ich mir das alles noch in Ruhe durchlesen, Heute komm ich nicht mehr drauf, weder über de.vu noch über Uni Marburg. Oder liegt es daran, dass die Trojaner auf meinem System gemerkt haben, dass ich das noch mal lesen will?!? :huepp: EDIT: Jetzt geht er wieder... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board