 Log- Check, Wurm SDBot |
Willkommen, Gast ( Anmelden | Registrierung )
  |
 08.07.2004, 22:33
Beitrag
#1
|
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 1 Mitglied seit: 08.07.2004 Mitglieds-Nr.: 1.174  |
Hallo, ich bitte um Eure Hilfe bei der vollständigen Beseitigung des (hartnäckigen) Wurms SDBot. Obwohl ich sämtliche Schritte zur Wurmbeseitigung durchgeführt habe, tauchen im Log- Protokoll immer noch Dateien wie "fuckme.exe" auf. Was nun?
Herzlichen Dank & Grüße HBoppel Hier das Log: Logfile of HijackThis v1.98.0 Scan saved at 22:38:47, on 08.07.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\ibmpmsvc.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Iomega\System32\AppServices.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe C:\WINNT\SCARDS32.EXE C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\tp4serv.exe C:\WINNT\system32\ltcm000c.exe C:\WINNT\system32\Promon.exe C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe C:\WINNT\system32\PRPCUI.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Iomega HotBurn Pro\Autolaunch.exe C:\WINNT\system32\wmmiexe.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\msgfix.exe C:\PROGRA~1\FIREWALL\ZONEAL~1\zlclient.exe C:\WINNT\system32\wmmiexe.exe C:\WINNT\system32\msgfix.exe C:\Programme\Nikon\NkView6\NkvMon.exe C:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe C:\Programme\Mozilla\mozilla\mozilla.exe C:\Programme\wurmzerstörer\hjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.frankoli.de/index.shtml R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\wurmzerstörer\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe O4 - HKLM\..\Run: [XircWinModem4] ltcm000c.exe 9 O4 - HKLM\..\Run: [Promon.exe] Promon.exe O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd O4 - HKLM\..\Run: [tourpath] regedit /s c:\winnt\tour.reg O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TpHotkey] C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Programme\Iomega HotBurn Pro\Autolaunch.exe" O4 - HKLM\..\Run: [Windows Management Informant] wmmiexe.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe O4 - HKLM\..\Run: [Sysmon] rpcmon.exe O4 - HKLM\..\Run: [RealVNC Setup] C:\WINNT\SYSTEM32\fmenass.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\FIREWALL\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [WSAConfiguration] wmon23.exe O4 - HKLM\..\Run: [damn] C:\WINNT\damn.exe O4 - HKLM\..\Run: [Microsoft Synchronization Manager] Fuckme.exe O4 - HKLM\..\RunServices: [Windows Management Informant] wmmiexe.exe O4 - HKLM\..\RunServices: [Configuration Loader] msgfix.exe O4 - HKLM\..\RunServices: [Sysmon] rpcmon.exe O4 - HKLM\..\RunServices: [WSAConfiguration] wmon23.exe O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] Fuckme.exe O4 - HKCU\..\Run: [Windows Management Informant] wmmiexe.exe O4 - HKCU\..\Run: [Configuration Loader] msgfix.exe O4 - HKCU\..\Run: [Sysmon] rpcmon.exe O4 - HKCU\..\Run: [Microsoft Synchronization Manager] Fuckme.exe O4 - Startup: HanseNet-Produkte.lnk = C:\Programme\HanseNet\HanseNet-Produkte\app\TangoManager.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{9BB5201E-12AB-4712-BAEE-4C5DD06F4EE9}: NameServer = 213.191.74.19 213.191.92.86 |
 |
 
|
|
08.07.2004, 23:06
Beitrag
#2
|
|
 Leader of the Pack & Mr. Shishandis  Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Sende mal bitte folgende Dateien zwecks Überprüfung an virus@rokop-security.de:
C:\WINNT\system32\wmmiexe.exe C:\WINNT\damn.exe wmon23.exe (mit Windows-Suche suchen) Fuckme.exe (mit Windows-Suche suchen) C:\WINNT\system32\msgfix.exe rpcmon.exe (mit Windows-Suche suchen) C:\WINNT\system32\ltcm000c.exe -------------------- (-- Roman --)
|
|
|
|
|
10.07.2004, 11:33
Beitrag
#3
|
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Hallo,
ich habe ja nur eine einzige Datei zugesandt bekommen, zwei weitere wurden nicht gefunden. Was ist nun mit dem Rest, dass Problem kann ja noch nicht behoben sein ? -------------------- (-- Roman --)
|
|
|
|
|
10.07.2004, 11:55
Beitrag
#4
|
|
 Orakel-Profi  Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Hm, bei Dir sind wohl nicht alle Dateien angekommen, ich leite Dir die Mail nochmal weiter!
-------------------- Grüße, Jörg
|
|
|
|
|
10.07.2004, 16:59
Beitrag
#5
|
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Also folgende Punkte fixen:
O4 - HKLM\..\Run: [WSAConfiguration] wmon23.exe O4 - HKLM\..\Run: [damn] C:\WINNT\damn.exe O4 - HKLM\..\Run: [Microsoft Synchronization Manager] Fuckme.exe O4 - HKLM\..\RunServices: [Windows Management Informant] wmmiexe.exe O4 - HKLM\..\RunServices: [Configuration Loader] msgfix.exe O4 - HKLM\..\RunServices: [Sysmon] rpcmon.exe O4 - HKLM\..\RunServices: [WSAConfiguration] wmon23.exe O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] Fuckme.exe O4 - HKCU\..\Run: [Windows Management Informant] wmmiexe.exe O4 - HKCU\..\Run: [Configuration Loader] msgfix.exe O4 - HKCU\..\Run: [Sysmon] rpcmon.exe O4 - HKCU\..\Run: [Microsoft Synchronization Manager] Fuckme.exe O4 - HKLM\..\Run: [Windows Management Informant] wmmiexe.exe O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe O4 - HKLM\..\Run: [Sysmon] rpcmon.exe Und zugehörige Dateien (falls vorhanden) im abgesicherten Modus löschen. -------------------- (-- Roman --)
|
|
|
|
|
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 04.06.2024, 14:13 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment