Informationsarchiv.net > Foren-Übersicht > Computerprobleme > Online- und PC-Sicherheit
Warum kostenlos registrieren?

Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.

Login


MSFIREWALL.EXE / [TR/Spy.Flux.A ][W32/Sdbot-PU]

Warnungen vor Sicherheitslücken und Hilfe beim Enfernen von Viren, Würmern und Trojanern.
Thema gesperrt

MSFIREWALL.EXE / [TR/Spy.Flux.A ][W32/Sdbot-PU]

Beitragvon Geoanny am 05.11.2004, 23:03

oh man,ich bin hier echt am verzweifeln. vielleicht kann mir jemand helfen. bekomme immer die fehlermeldung:


D:\WINDOWS\SYSTEM32\MSFIREWALL.EXE

Ist das Trojanische Pferd TR/Spy.Flux.A

bei AntiVir.

kann dies weder löschen, noch umbenennen oder sonst was. habe mal nachgesehen, ob es ähnliche probleme gibt. konnte aber bisher nichts derartiges ableiten. hatte es mit diesem hijacking versucht, jedoch hat das nicht gefunzt. wäre dankbar wenn mir jmd weiterhelfen könnte. anbei mein hijacking logfile.

_____________________________________________________

Logfile of HijackThis v1.98.2
Scan saved at 21:29:32, on 05.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\WINDOWS\htpatch.exe
D:\WINDOWS\System32\RunDll32.exe
D:\Programme\Browser MOUSE\mouse32a.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Ahead\InCD\InCD.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Programme\AVPersonal\AVSched32.EXE
D:\Programme\Muiltmedia keyboard utility\1.3\KbdAp32A.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\avisynthEx.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe
D:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\http_tfd.exe
D:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\SYSTEM32\GEARSEC.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\eMule\emule.exe
D:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\DOKUME~1\FARCRY~1\LOKALE~1\Temp\mwavscan.com
D:\DOKUME~1\FARCRY~1\LOKALE~1\Temp\kavss.exe
C:\Eigene Dateien\Eigene Programme\Antiviren Programme\hijackthis_198\HijackThis.exe
D:\WINDOWS\System32\taskmgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\Programme\LogoViewer\MSDXM.OCX
O3 - Toolbar: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] D:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] D:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] D:\Programme\Muiltmedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [RoxioEngineUtility] "D:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [WinDSNX] D:\WINDOWS\System32\avisynthEx.exe
O4 - HKLM\..\Run: [Babylon Client] D:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSFirewall] D:\WINDOWS\System32\msfirewall.exe
O4 - HKLM\..\RunOnce: [*MSFirewall] D:\WINDOWS\System32\msfirewall.exe
O4 - HKCU\..\Run: [AIM] D:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSFirewall] D:\WINDOWS\System32\msfirewall.exe
O4 - HKCU\..\RunOnce: [*MSFirewall] D:\WINDOWS\System32\msfirewall.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O4 - Global Startup: TVG WebServer.lnk = ?
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoserver.info/ie2wk.php?hid=gdata1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: concept/design's onlineTV - {C9FC6A7A-09E6-4AA6-812B-C1C53CF2F649} - D:\Programme\onlineTV\onlineTV.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: D:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4620BC29-8B8E-4F4E-9D92-1DB6633D6793} (SurferNETWORK Plugin) - http://rd1.surfernetwork.com/urbanplugin.ocx
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/softwar ... launch.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25927B9C-0D4A-4B69-95E4-18FF682B28A6}: NameServer = 217.237.151.225 217.237.150.225
Geoanny
 
Beiträge: 1
Registriert: 05.11.2004, 22:50
Nach oben

avisynthEx.exe

Beitragvon Nikita am 06.11.2004, 22:40

Hallo@Geoanny

Gehe in die Registry
Start<Ausfuehren<regedit:

loesche rechts in der Registry alle Eintraege mit: MS FIREWALL
unter diesen Schluesseln:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\

W32/Sdbot-PU versucht alle 2 Minuten, die folgenden Registrierungseinträge zu erstellen:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"-->aendere in Y
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" -->aendere in 0

schliesse die Registry

Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924

#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten

O3 - Toolbar: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O4 - HKLM\..\Run: [WinDSNX] D:\WINDOWS\System32\avisynthEx.exe
O4 - HKLM\..\Run: [MSFirewall] D:\WINDOWS\System32\msfirewall.exe
O4 - HKLM\..\RunOnce: [*MSFirewall] D:\WINDOWS\System32\msfirewall.exe
O4 - HKCU\..\Run: [MSFirewall] D:\WINDOWS\System32\msfirewall.exe
O4 - HKCU\..\RunOnce: [*MSFirewall] D:\WINDOWS\System32\msfirewall.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/softwar ... launch.cab

neustarten

#oeffne das HijackThis.

HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
D:\WINDOWS\System32\msfirewall.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
D:\WINDOWS\System32\avisynthEx.exe
PC neustarten

#loesche manuell:
MSDIRECTX.SYS

Deinstalliere fuer 15 Tage deinen Free-Antivirus und lade:
#Testversion "Antivirus Personal 5.
http://www.kaspersky.com/trials?chapter=146481750

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und scanne mit dem Antivirus.

#ueberpruefe, ob die Eintraege in der Registry unter
korrekt sind:
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"-->aendere in Y
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" -->aendere in 0

Dann poste das Log noch mal.

mfg
Nikita
**
http://www.sophos.de/virusinfo/analyses/w32sdbotpu.html
**
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben
Thema gesperrt

Ähnliche Themen

Hilfe !!!!! Worm/Sdbot.39936.B ????
Forum: Online- und PC-Sicherheit
Autor: matrixol
Antworten:
Hilfe nochmal zu Worm/Sdbot.39936.B
Forum: Online- und PC-Sicherheit
Autor: matrixol
Antworten:
Hilfe!!! Trojan.Clicker.Delf.R und Backdoor.SDBot.IE
Forum: Online- und PC-Sicherheit
Autor: komet
Antworten:
sdbot / msconfg.exe :-(
Forum: Online- und PC-Sicherheit
Autor: apple-hh
Antworten:
Wurm SDBOT
Forum: Online- und PC-Sicherheit
Autor: sucker123
Antworten:
Nach oben

Zurück zu Online- und PC-Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO