Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Worm Rbot 67393 / Worm Sdbot 42496 (https://www.trojaner-board.de/20589-worm-rbot-67393-worm-sdbot-42496-a.html)

Chiaki88 08.08.2005 00:30
Worm Rbot 67393 / Worm Sdbot 42496
 
Hi,
als ich heute im Internet war hat mir jemand ein paar MSN Sounds zugeschickt und danach hat ich dann ne Virenmeldung :X

Antivir Guard hat mir immer gesagt das die Datei "System32.exe" mit dem Wurm Rbot 67393 inviziert ist.. okaayy habe dann überschreiben und löschen ausgewählt.. 10 sec danach wieder diese Meldung.. immer wieder und wieder hab ich die Meldung bekommen...Dann auf einmal (wie bei sassa damals ka genau) ne Fehlermeldung das lsass.exe mit dem code 1xxxx überschrieben wurde und windows daher neu starten muss.. 40 sec oder so und Windows hat neu gestartet.. Datei kommt immer wieder egal ob ich überschreiben und löschen mache oder ob ich Zugriff verweigern mache :/ später hab ich dann noch ne Meldung bekommen das ich den Wurm Sdbot habe..

Zu meinen Fragen :
1.Wie bekomm ich die runter?
2.Muss ich mein System unbedingt neu aufsetzen? (habs ma gelesen)
3.Woher kommt das? MSN? Klärt mich auf :)

Yopie 08.08.2005 00:39
Poste mal einen Hijackthis-Log. Beachte die Anleitung unter http://www.trojaner-board.com/showthread.php?t=17493

Gruß :daumenhoc
Yopie

Chiaki88 08.08.2005 01:09
Hier .. Hab eben Full Scan gemacht hat dann noch was gefunden das ich dann gelöscht habe :) hoffe kommt nimmer wieder und ich bin jetzt sicher..

Hier Log

Log

Yopie 08.08.2005 01:16
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 01:58:38, on 08.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\Dokumente und Einstellungen\hsdjkhjfdh\Desktop\Neuer Ordner\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.2\THGuard.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - hxxxp://messenger.msn.com/download/m...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEE49EB9-915E-4C49-AB4B-1C14C334C1CA}: NameServer = 212.62.64.34 212.62.68.34
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Dein Problem:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Leider veraltet und somit unsicher! Deswegen konnten Backdoors (SDBot) auf deinen Rechner gelangen und aktiv werden: O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing).

Einzige Möglichkeit, wieder Sicherheit zu erlangen: Formatieren und Neuaufsetzen. Anleitung siehe Signatur.

Gruß :daumenhoc
Yopie

Chiaki88 08.08.2005 02:28
Naja... benutz Firefox :P

O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing).

oO was das?

Yopie 08.08.2005 09:36
Zitat:
Zitat von Chiaki88
Naja... benutz Firefox :P
Das hat mit dem Problem nichts zu tun. Dein Betriebssystem weist aufgrund fehlender Installation von Sicherheitsupdates Sicherheitslücken auf.

Zitat:
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing).

oO was das?
Der Starteintrag des Backdoors.

Lies die Anleitung zum Neuaufsetzen. Es gibt keine andere Möglichkeit.

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131