w32.Spybot.Worm

Logfile of HijackThis v1.99.0
Scan saved at 11:28:31, on 15.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
F:\Programme\BearShare\BearShare.exe
C:\WINDOWS\System32\win32.exe
C:\WINDOWS\System32\winlog.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
F:\Programme\CloneCD\CloneCDTray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
F:\Dokumente und Einstellungen\Frank\Eigene Dateien\Any DvD\Any Dvd2\AnyDVD\AnyDVD.exe
C:\WINDOWS\SYSCFG16.EXE
F:\Programme\Skype.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\ehome\ehSched.exe
F:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
F:\Programme\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
F:\PROGRA~1\INCRED~1\bin\IMApp.exe
F:\Programme\IncrediMail\bin\IncMail.exe
C:\Dokumente und Einstellungen\Frank\Desktop\Computerwartung\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - f:\Programme\WinSweep\SurfBar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - F:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [BearShare] "F:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Registry oidet] win32.exe
O4 - HKLM\..\Run: [Windows Firewall Log] winlog.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AnyDVD] F:\Dokumente und Einstellungen\Frank\Eigene Dateien\Any DvD\Any Dvd2\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\RunServices: [Registry oidet] win32.exe
O4 - HKLM\..\RunServices: [Windows Firewall Log] winlog.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - F:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=h**p://www.versatel.de/internet-cd/
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/Share...n/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - h**p://cm4all01.kundenserver.de/app/stat...ivex/msxml4.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - h**p://www2.incredimail.com/contents/set...p1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1BEE28A7-1E18-471E-BE4D-8F24353F34EB}: NameServer = 212.7.148.65 212.7.148.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{1BEE28A7-1E18-471E-BE4D-8F24353F34EB}: NameServer = 212.7.148.65 212.7.148.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{1BEE28A7-1E18-471E-BE4D-8F24353F34EB}: NameServer = 212.7.148.65 212.7.148.97
O20 - AppInit_DLLs: 8ii3zkrj3cj3e9ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dl
l.dll.dll.dll.dll.dll.dll..
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - F:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - F:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - F:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Anklickbare Links editiert
Mfg. dedie, Admin d-b

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)

Hier sitzt die Ursache für dein verseuchtes System. Aktuell ist Service Pack 2!

Auf deinem System befinden sich leider u.a. die folgenden Schädlinge:
http://it.trendmicro-europe.com/enterpri...e=WORM_RBOT.BMT
http://castlecops.com/s9021-Windows_Firewall_Log.html (sicher auch ein Bot)

Diese erlauben Fremden leider uneingeschränkten Zugriff auf das System.

=> Als einzig vernünftige Lösung bleibt dir nur das:
"System neu aufsetzen und vor der ersten Internetverbindung absichern".

Das sieht nicht schön aus, da sind ein paar schöne Trojaner drauf.

C:\WINDOWS\System32\win32.exe Im abgesichtertem Modus fixen und datei von Hand löschen.

C:\WINDOWS\SYSCFG16.EXE Im abgesichtertem Modus fixen und datei von Hand löschen.

O4 - HKLM\..\Run: [Registry oidet] win32.exe

O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE

O4 - HKLM\..\RunServices: [Registry oidet] win32.exe

O20 - AppInit_DLLs: 8ii3zkrj3cj3e9ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dl
l.dll .dll.dll.dll.dll.dll.
Im abgesichtertem Modus fixen

Anschließend den Rechner mit e-scan scannen und das ergebnis hier im Thread posten.
Du solltest dich aber schon mit dem gedanken des Neuaufsetzens des Systems anfreunden, es sieht nicht so gut aus.

Danke ersteinmal für Deine Mühe ,ich werde versuchen dieses alles zu machen und melde mich dann wieder.

Wenn es irgend geht, geh bitte mit einem anderen Rechner oder einer Knoppix-CD ins Netz. Du pustest sonst selber Würmer und ähnliches durch die Landschaft...

Ich würde gleich neu Aufsetzen und das System sauber abdichten (inkl. SP2). Wie, das findest Du hier im Forum.

MfG
Vimes

Mich würde mal interessieren, wieso Spysweepter. Norton usw. versagt haben
Da knallt man sich den PC voll mit "Securitytools" und bekommt trotzdem einen Haufen Mist in den PC geschaufelt. Und wieso passiert das viel seltener bei Leuten, die gerade mal einen einfachen Virenscanner am laufen haben.

@ deoroller

Ist eine ganz einfache Erklärung, diese Schädlinge kommen über eine uralte Sicherheitslücke von Windoff rein.

Dieser Eingang wird von keinem Virenscanner bewacht (für den zu überwachen müßte der Virenscanner echt was taugen) .

Aus diesem Grund gilt halt die Empfehlung "Vor dem ersten Onlinegzugang mit einem Windowssystem sind zuerst von einer sicheren CD die aktuellsten Patches auf zuspielen


PS: In diesem Fall ist halt wie schon von "Haui" angemerkt das System schon etwas mehr als nur nicht Up To date

@dedie
Hast recht. Ich dachte nicht daran, dass viele, kaum dass XP installiert ist, online gehen, um zu surfen und erst später sich die Sicherheitstools reinknallen und vielleicht noch etwas später anfangen zu patchen.
Das sieht man diesen Log-Dateien ja auch nicht an.

Wenn man in ein gewöhnliches PC-Heft reinguckt, liest man auch zuerst, dass man das Tool und noch das Tool und am besten noch das Tool installieren muss und dann kommen erstmal die 100-1000 geheime und geheimsten Tuning-Tipps und ganz hinten im Heft, wie man Windows mit Boardmitteln tunen kann und wenn man Glück hat, steht dabei noch in einem Nebensatz, was man tun solte, bevor man das erste mal online geht.
Ich lese meist von hinten nach vorne.

Zitat:

Original von dedie Vor dem ersten Onlinegzugang mit einem Windowssystem sind zuerst von einer sicheren CD die aktuellsten Patches auf zuspielen

ACK. Außerdem ist vor dem ersten Onlinegang alles abzuschalten, was nicht nach außen angeboten werden soll. [1] Und wenn man panische Angst hat, kann man auch die XP-Firewall aktivieren.

MfG
Vimes

[1] Deswegen wurde meine Windows-Partition neulich mit abgezogenem Netzwerk-Stecker neu aufgesetzt. [2]
[2] Nicht wegen Viren-Befall sondern wegen Wechsels auf ein Barebone-System mit neuem Mainboard...