sdbot / msconfg.exe :-(
3 Beiträge • Seite 1 von 1
sdbot / msconfg.exe :-(
von apple-hh am 29.07.2004, 21:50
Hallo, vielleicht kann mir ja hier im Forum jemand helfen ...
Die Situation:
Mein Virenscanner (Norman Virus Control, letztes Update gestern)
findet laufend in der Datei ...windows\system32\msconfg.exe den Wurm WS32/SDBot.AFS, scheitert dann allerdings an dem Löschen der Datei. Im Explorer kann ich die Datei übrigens auch nicht sehen.
Ohne genau zu wissen, was ich da tue, habe ich mehrfach bei deaktivierter Systemwiederherstellung und z.T auch im abgesicherten Modus alles laufen lassen, was ich in irgendeiner form zu dem thema gefunden habe: Search&Destroy, CWShredder, RegClean).
Aber nützt wohl alles nix
Offenbar können Fachleute mit dem Logfile von HijackThis etwas anfangen, ich habe bereits die Eintraege mit msconfg.exe markiert und fixen lassen, danach ist das Ding dann für einige Minuten verschwunden.
Kann mir jemand helfen, das Ding los zu werden?
Weiss jemand, welchen Schaden dieser Wurm eigentlich anrichtet bzw. potentiell bei mir bereits angerichtet hat?
Insbesondere interessiert mich dies im Zusammenhang mit solche sensiblen Geschichten wie Homebanking.
Logfile of HijackThis v1.98.0
Scan saved at 21:45:51, on 29.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Tools\CPUCool\CooLSrv.exe
C:\WINDOWS\system32\DVDRAMSV.EXE
E:\Programme\Antivirus\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\nvcoas.exe
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\nipsvc.exe
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\NVCSCHED.EXE
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\ZLH.EXE
E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\NYMSE.EXE
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\NIP.EXE
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\cclaw.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
E:\Programme\Netz\Modzilla\mozilla.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\System32\cmd.exe
E:\Programme\Tools\UltraEdit\UEDIT32.EXE
E:\Programme\Antivirus\Norman\NVC\BIN\Nvcod.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
F:\Downloads\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [Norman ZANDA] E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DEB8DCA-B417-4DE4-AF78-B49B83F10A4E}: NameServer = 213.191.74.19 213.191.92.86
O18 - Protocol: msencarta - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL
O18 - Protocol: msref - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL
O20 - AppInit_DLLs: NVDESK32.DLL
Naja, soeben will mein Virenscanner wieder etwas von mir ...
Danke und Gruss Thomas
Die Situation:
Mein Virenscanner (Norman Virus Control, letztes Update gestern)
findet laufend in der Datei ...windows\system32\msconfg.exe den Wurm WS32/SDBot.AFS, scheitert dann allerdings an dem Löschen der Datei. Im Explorer kann ich die Datei übrigens auch nicht sehen.
Ohne genau zu wissen, was ich da tue, habe ich mehrfach bei deaktivierter Systemwiederherstellung und z.T auch im abgesicherten Modus alles laufen lassen, was ich in irgendeiner form zu dem thema gefunden habe: Search&Destroy, CWShredder, RegClean).
Aber nützt wohl alles nix
Offenbar können Fachleute mit dem Logfile von HijackThis etwas anfangen, ich habe bereits die Eintraege mit msconfg.exe markiert und fixen lassen, danach ist das Ding dann für einige Minuten verschwunden.
Kann mir jemand helfen, das Ding los zu werden?
Weiss jemand, welchen Schaden dieser Wurm eigentlich anrichtet bzw. potentiell bei mir bereits angerichtet hat?
Insbesondere interessiert mich dies im Zusammenhang mit solche sensiblen Geschichten wie Homebanking.
Logfile of HijackThis v1.98.0
Scan saved at 21:45:51, on 29.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Tools\CPUCool\CooLSrv.exe
C:\WINDOWS\system32\DVDRAMSV.EXE
E:\Programme\Antivirus\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\nvcoas.exe
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\nipsvc.exe
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\NVCSCHED.EXE
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\ZLH.EXE
E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\NYMSE.EXE
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\NIP.EXE
E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\cclaw.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
E:\Programme\Netz\Modzilla\mozilla.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\System32\cmd.exe
E:\Programme\Tools\UltraEdit\UEDIT32.EXE
E:\Programme\Antivirus\Norman\NVC\BIN\Nvcod.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
F:\Downloads\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [Norman ZANDA] E:\PROGRAMME\ANTIVIRUS\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DEB8DCA-B417-4DE4-AF78-B49B83F10A4E}: NameServer = 213.191.74.19 213.191.92.86
O18 - Protocol: msencarta - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL
O18 - Protocol: msref - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL
O20 - AppInit_DLLs: NVDESK32.DLL
Naja, soeben will mein Virenscanner wieder etwas von mir ...
Danke und Gruss Thomas
- apple-hh
- Beiträge: 2
- Registriert: 29.07.2004, 21:23
PS
von apple-hh am 29.07.2004, 22:04
hat jemand einen guten tipp, wo ich in einer mehr oder weniger kompakten form ratschläge holen kann, wie man sein system einigermassen sichern kann, ohne dabei zwangsweise zum fachmann zu dem thema online-sicherheit werden zu müssen?
ich habe auf meinem rechner eine firewall (zone-alarm) und einen virenscanner (norman) laufen und benutze den IE nur, wenn ich mit dem Mozilla nicht weiter komme.
naja, hat wohl nicht wirklich genützt
ich habe auf meinem rechner eine firewall (zone-alarm) und einen virenscanner (norman) laufen und benutze den IE nur, wenn ich mit dem Mozilla nicht weiter komme.
naja, hat wohl nicht wirklich genützt
- apple-hh
- Beiträge: 2
- Registriert: 29.07.2004, 21:23
von Nikita am 29.07.2004, 23:37
Hallo apple-hh
ICH WUERDE AN DEINER STELLE, WENN DU WERT AUF SICHERES ONLINBANKING LEGST....NEU INSTALLIEREN
.............................................................................................................
fixe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
dann neustarten und in den abgesicherten Modus gehen
Start<Ausfuehren<regedit
loesche jeweils auf der rechten Seite :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update = "msconfg.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update = "msconfg.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update = "msconfg.exe"
Schliesse die Registry
#Loesche msconfg.exe und den Mutex 'rx01'
normal neustarten
Lade mwav.exe und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
Mache UNBEDINGT ALLE WINDOWSUPDATES !!!!!!!!!!!!!!!!!!!
www.windowsupdate.com
besonders diese
Microsoft Windows ntdll.dll buffer overflow vulnerability (WebDav vulnerability) (TCP port 80)
http://www3.ca.com/threatinfo/vulninfo/ ... px?ID=7287
http://www.microsoft.com/technet/securi ... 3-007.mspx
Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP ports 135, 445, 1025)
http://www3.ca.com/threatinfo/vulninfo/ ... x?ID=25454
http://www.microsoft.com/technet/securi ... 3-039.mspx (supersedes original bulletin MS03-026)
Microsoft Windows RPCSS malformed DCOM message buffer overflow vulnerabilities (TCP port 135)
http://www3.ca.com/threatinfo/vulninfo/ ... x?ID=25975
http://www.microsoft.com/technet/securi ... 3-039.mspx
Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP port 1433)
http://www3.ca.com/threatinfo/vulninfo/ ... px?ID=5705
http://support.microsoft.com/default.as ... us;Q321081
#Mache Onlinevirenscanns
Housecall or Bitdefender
http://www.bitdefender.com/scan/licence.php
http://housecall.trendmicro.com/
Solange du nicht regelmaessig Windows updates , nutzt dir auch der beste Firewall und der beste Virenscanner nicht viel.
MfG
Nikita
http://www3.ca.com/securityadvisor/viru ... x?id=39662
ICH WUERDE AN DEINER STELLE, WENN DU WERT AUF SICHERES ONLINBANKING LEGST....NEU INSTALLIEREN
.............................................................................................................
fixe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
dann neustarten und in den abgesicherten Modus gehen
Start<Ausfuehren<regedit
loesche jeweils auf der rechten Seite :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update = "msconfg.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update = "msconfg.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update = "msconfg.exe"
Schliesse die Registry
#Loesche msconfg.exe und den Mutex 'rx01'
normal neustarten
Lade mwav.exe und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
Mache UNBEDINGT ALLE WINDOWSUPDATES !!!!!!!!!!!!!!!!!!!
www.windowsupdate.com
besonders diese
Microsoft Windows ntdll.dll buffer overflow vulnerability (WebDav vulnerability) (TCP port 80)
http://www3.ca.com/threatinfo/vulninfo/ ... px?ID=7287
http://www.microsoft.com/technet/securi ... 3-007.mspx
Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP ports 135, 445, 1025)
http://www3.ca.com/threatinfo/vulninfo/ ... x?ID=25454
http://www.microsoft.com/technet/securi ... 3-039.mspx (supersedes original bulletin MS03-026)
Microsoft Windows RPCSS malformed DCOM message buffer overflow vulnerabilities (TCP port 135)
http://www3.ca.com/threatinfo/vulninfo/ ... x?ID=25975
http://www.microsoft.com/technet/securi ... 3-039.mspx
Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP port 1433)
http://www3.ca.com/threatinfo/vulninfo/ ... px?ID=5705
http://support.microsoft.com/default.as ... us;Q321081
#Mache Onlinevirenscanns
Housecall or Bitdefender
http://www.bitdefender.com/scan/licence.php
http://housecall.trendmicro.com/
Solange du nicht regelmaessig Windows updates , nutzt dir auch der beste Firewall und der beste Virenscanner nicht viel.
MfG
Nikita
http://www3.ca.com/securityadvisor/viru ... x?id=39662
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
3 Beiträge • Seite 1 von 1
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste