Ich hab ein Wurm (worm/alcra.b)!

Thema ist geschlossen!
Thema ist geschlossen!
07.10.2005, 12:50
...neu hier

Beiträge: 6
#31 Wenn du es sagst:

07.10.2005 11:57 31.767 vsconfig.xml
07.10.2005 10:46 2 cmd.com
07.10.2005 10:46 2 taskkill.com
07.10.2005 10:46 2 tasklist.com
07.10.2005 10:46 2 tracert.com
07.10.2005 10:46 2 regedit.com
07.10.2005 10:46 2 netstat.com
07.10.2005 10:46 2 ping.com
07.10.2005 09:02 62.464 bszip.dll
06.10.2005 21:10 2.177.024 TUKernel.exe
06.10.2005 19:54 13.646 wpa.dbl
06.10.2005 19:52 4.212 zllictbl.dat
06.10.2005 19:27 0 h323log.txt
06.10.2005 19:21 23.392 nscompat.tlb
06.10.2005 19:21 16.832 amcompat.tlb
06.10.2005 18:49 13.646 wpa.bak
06.10.2005 18:42 39.992 perfc009.dat
06.10.2005 18:42 48.156 perfc007.dat
06.10.2005 18:42 316.594 perfh007.dat
06.10.2005 18:42 311.604 perfh009.dat
06.10.2005 18:42 723.744 PerfStringBackup.INI
06.10.2005 18:33 25.065 wmpscheme.xml
06.10.2005 18:32 90.296 FNTCACHE.DAT
06.10.2005 18:31 386 $winnt$.inf
06.10.2005 18:30 2.951 CONFIG.NT
06.10.2005 18:29 488 logonui.exe.manifest
06.10.2005 18:29 488 WindowsLogon.manifest
06.10.2005 18:29 749 wuaucpl.cpl.manifest
06.10.2005 18:29 749 nwc.cpl.manifest
06.10.2005 18:29 749 ncpa.cpl.manifest
06.10.2005 18:29 749 sapi.cpl.manifest
06.10.2005 18:29 749 cdplayer.exe.manifest
06.10.2005 18:28 21.740 emptyregdb.dat
08.09.2005 21:36 2.006.368 MRT.exe



07.10.2005 12:09 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}11656.html
07.10.2005 12:05 107.106 EOFFRadio16443.m3u
07.10.2005 12:04 16.384 ~DF5E87.tmp
07.10.2005 12:04 512 ~DF2ABE.tmp
07.10.2005 12:04 16.384 ~DF2A97.tmp
07.10.2005 11:34 1.076 _isdelet.ini
07.10.2005 10:46 16.384 ~DF5839.tmp
07.10.2005 10:46 16.384 ~DFBD37.tmp
07.10.2005 10:46 16.384 ~DF7D7C.tmp
07.10.2005 10:08 919.931 tmp.xpi
07.10.2005 09:02 16.384 ~DF72FF.tmp
07.10.2005 09:02 16.384 ~DFD1BF.tmp
07.10.2005 09:02 16.384 ~DF819B.tmp
07.10.2005 09:00 50 kb.log
07.10.2005 08:55 16.384 ~DF3C3F.tmp
07.10.2005 07:44 16.384 ~DF7C82.tmp
07.10.2005 07:44 16.384 ~DF646A.tmp
07.10.2005 07:44 16.384 ~DFA22E.tmp
27.06.2005 19:17 1.198.280 Patch_MSN_Messenger.EXE



07.10.2005 12:18 358.905 WindowsUpdate.log
07.10.2005 12:12 25.776 iis6.log
07.10.2005 12:12 32.795 ntdtcsetup.log
07.10.2005 12:12 54.194 comsetup.log
07.10.2005 12:12 80.210 ocgen.log
07.10.2005 12:12 61.412 tsoc.log
07.10.2005 12:12 1.374 imsins.log
07.10.2005 12:12 5.512 ocmsn.log
07.10.2005 12:12 39.591 KB899587.log
07.10.2005 12:12 7.894 msgsocm.log
07.10.2005 12:12 160.749 FaxSetup.log
07.10.2005 12:12 73.281 setupapi.log
07.10.2005 12:12 7.996 updspapi.log
07.10.2005 12:12 38.701 KB896422.log
07.10.2005 12:12 1.374 imsins.BAK
07.10.2005 12:12 1.364 xpsp1hfm.log
07.10.2005 12:12 33.153 KB828741.log
07.10.2005 12:12 35.127 KB885835.log
07.10.2005 12:12 31.222 KB885836.log
07.10.2005 12:12 26.293 KB835732.log
07.10.2005 12:11 29.871 KB899591.log
07.10.2005 12:11 29.824 KB893756.log
07.10.2005 12:11 28.358 KB896423.log
07.10.2005 12:11 27.768 KB873339.log
07.10.2005 12:11 27.825 KB888113.log
07.10.2005 12:11 28.944 KB896358.log
07.10.2005 12:11 27.372 KB891781.log
07.10.2005 12:10 2.066 vminst.log
07.10.2005 12:10 28.345 KB890046.log
07.10.2005 12:10 27.180 KB893066.log
07.10.2005 12:10 26.790 KB873333.log
07.10.2005 12:10 22.984 KB901214.log
07.10.2005 12:10 22.178 KB888302.log
07.10.2005 12:10 23.057 KB899588.log
07.10.2005 12:10 13.442 KB896727-IE6SP1-20050719.165959.log
07.10.2005 12:09 18.400 KB893086.log
07.10.2005 12:09 14.952 KB896428.log
07.10.2005 12:09 18.265 KB890859.log
07.10.2005 11:58 0 0.log
07.10.2005 11:57 2.048 bootstat.dat
07.10.2005 11:56 2.180 SchedLgU.Txt
07.10.2005 11:56 155 winamp.ini
07.10.2005 11:44 6.763 KB842773.log
07.10.2005 11:44 4.510 setupact.log
07.10.2005 11:44 6.977 KB893803v2.log
07.10.2005 11:43 7.526 KB898461.log
07.10.2005 11:43 0 setuperr.log
07.10.2005 10:45 216 wiadebug.log
07.10.2005 10:40 50 wiaservc.log
07.10.2005 10:40 0 Sti_Trace.log
07.10.2005 10:08 3.251 mozver.dat
06.10.2005 19:25 231 system.ini
06.10.2005 19:23 0 nsreg.dat
06.10.2005 19:23 99.970 UninstallFirefox.exe
06.10.2005 19:21 487 win.ini
06.10.2005 19:20 316.640 WMSysPr9.prx
06.10.2005 18:58 737.280 iun6002.exe
06.10.2005 18:39 4.328 Ascd_tmp.ini
06.10.2005 18:32 8.192 REGLOCS.OLD
06.10.2005 18:30 0 control.ini
06.10.2005 18:30 299.552 WMSysPrx.prx
06.10.2005 18:30 4.161 ODBCINST.INI
06.10.2005 18:29 749 WindowsShell.Manifest
06.10.2005 18:28 36 vb.ini
06.10.2005 18:28 37 vbaddin.ini
26.05.2005 00:44 10.752 hh.exe



07.10.2005 12:48 0 sys.txt
07.10.2005 12:48 5.305 system.txt
07.10.2005 12:47 1.280 systemtemp.txt
07.10.2005 12:45 96.793 system32.txt
07.10.2005 11:57 805.306.368 pagefile.sys
06.10.2005 21:10 355 boot.ini
06.10.2005 18:30 0 AUTOEXEC.BAT
06.10.2005 18:30 0 IO.SYS
06.10.2005 18:30 0 MSDOS.SYS
06.10.2005 18:30 0 CONFIG.SYS
29.08.2002 14:00 4.952 bootfont.bin
Seitenanfang Seitenende
07.10.2005, 14:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#32

Zitat

07.10.2005 10:46 2 cmd.com
07.10.2005 10:46 2 taskkill.com
07.10.2005 10:46 2 tasklist.com
07.10.2005 10:46 2 tracert.com
07.10.2005 10:46 2 regedit.com
07.10.2005 10:46 2 netstat.com
07.10.2005 10:46 2 ping.com
07.10.2005 09:02 62.464 bszip.dll
mit der Killbox loeschen:
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\bszip.dll

Anleitung: (bebildert)
http://virus-protect.org/killbox.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.10.2005, 14:20
...neu hier

Beiträge: 6
#33 So ich habe gerade die von dir aufgezählten Dateien gelöscht.
Muss ich noch etwas machen, oder ist mein PC Würmerfrei?
Seitenanfang Seitenende
07.10.2005, 14:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34 wenn alles korrekt weg ist, scanne noch mal mit ewido und dann duerfte alles sauber sein.
und verzichte in Zukunft auf P2P.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.10.2005, 14:58
...neu hier

Beiträge: 6
#35 Es ist wirklich alles weg. Danke nochmal!
Seitenanfang Seitenende
10.10.2005, 10:16
...neu hier

Beiträge: 3
#36 HAllo ZUsammen
ich habe auch diesen WURM
Brauche somit dringend HIlfe
hier mal das gescannte
Logfile of HijackThis v1.99.1
Scan saved at 10:15:09, on 10.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ircomm2k.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\Uwe\Winamp\winampa.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
D:\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [servicewin] C:\WINNT\system32\diag.exe
O4 - HKLM\..\Run: [spooldiscx] C:\WINNT\system32\dirdiag.exe %srun%
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Uwe\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [3clickToDo] E:\3clickToDo\3clickToDo.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128761059714
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINNT\system32\ircomm2k.exe
Seitenanfang Seitenende
10.10.2005, 12:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 ajnom

bevor wir dem worm/alcra.b zu Leibe ruecken, muss erst mal der Sorber-Wurm weg.....

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [servicewin] C:\WINNT\system32\diag.exe
O4 - HKLM\..\Run: [spooldiscx] C:\WINNT\system32\dirdiag.exe %srun%

PC neustarten

poste hier alle 4 Logs (40 Tage, vom Datum her)
http://virus-protect.org/datfindbat.html

W32.Sober.D@mm (Removaltool)
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.d@mm.html?Open


Zitat

C:\WINNT\system32\diag.exe
%system%\Humgly.lkur
%system%\yfjq.yqwm
%system%\zmndpgwf.kxx
wintmpx33.dat - 46,426 bytes, base64 encoded zip file which contains the worm, MS-Q4632361791.exe.
temp32x.data - 46,244 byte, base64 encoded worm.
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=38525

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.10.2005, 13:45
...neu hier

Beiträge: 1
#38 Hi habe ein Problem habe mir einen wurm (worm/ALCRA.B) eingefangen und brauche Hilfe hoffe ihr könnt mir helfen danke im voraus Bitte Bitte Helft mir
Dieser Beitrag wurde am 10.10.2005 um 15:03 Uhr von Tupac editiert.
Seitenanfang Seitenende
10.10.2005, 16:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 Hallo@Tupac

KILLBOX
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\temp.zip
C:\x.txt
C:\z.txt
C:\z.tmp
C:\xz.exe
C:\Programme\winupdates\winupdates.exe
C:\Programme\winupdates
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\bszip.dll

PC neustarten

ueberpruefe, ob das hier geloescht ist:
C:\Programme\winupdates

ewido scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.10.2005, 01:42
...neu hier

Beiträge: 3
#40 Hallo ich habe mir auch leider den worm/alcra.b "eingefangen"
wäre nett wenn mir jemand von euch helfen könnte der Wurm befindet sich in einem archivierten Ordner den ich nicht finden kann
vielen Dank schonmal im voraus

Logfile of HijackThis v1.99.1
Scan saved at 01:41:55, on 12.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
D:\tools\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\tools\Winamp\winampa.exe
D:\tools\QuickTime\qttask.exe
D:\tools\D-Tools\daemon.exe
D:\tools\Babylon\Babylon.exe
D:\tools\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\tools\Yahoo!\Messenger\ypager.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\tools\Netscape\Netscape\Netscp.exe
D:\TOOLS\AVPERSONAL\AVGUARD.EXE
d:\tools\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
D:\tools\Opera\opera.exe
C:\Programme\Internet Explorer\iexplore.exe
d:\tools\WinRAR\WinRAR.exe
C:\DOKUME~1\the-hulk\LOKALE~1\Temp\Rar$EX00.921\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\tools\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\tools\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\tools\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\tools\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ICQ Lite] d:\tools\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] d:\tools\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\tools\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\tools\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [Babylon Client] d:\tools\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [AVGCtrl] "d:\tools\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "D:\tools\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\tools\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\tools\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\tools\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\tools\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\tools\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\tools\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\tools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\tools\ICQLite\ICQLite.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\tools\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\TOOLS\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\tools\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Seitenanfang Seitenende
12.10.2005, 11:01
...neu hier

Beiträge: 3
#41 hallo sabina
erstma l danke für deine hilfe :-)
hier die kopien
Datentr„ger in Laufwerk C: ist Hauptplatte
Datentr„gernummer: 3498-C233

Verzeichnis von C:\WINNT\system32

09.10.2005 19:20 760 ModemLog_ISDN Internet (PPP over ISDN).txt
09.10.2005 19:20 749 ModemLog_ISDN Custom Config.txt
09.10.2005 19:20 739 ModemLog_ISDN BTX.txt
09.10.2005 19:20 758 ModemLog_ISDN Analog Modem (V.32bis).txt
09.10.2005 19:20 744 ModemLog_ISDN FAX (G3).txt
09.10.2005 19:20 749 ModemLog_ISDN - ISDN (X.75).txt
09.10.2005 19:20 750 ModemLog_ISDN Mailbox (X.75).txt
09.10.2005 19:20 764 ModemLog_ISDN SoftCompression X.75-V.42bis.txt
09.10.2005 19:20 755 ModemLog_ISDN RAS (PPP over ISDN).txt
08.10.2005 10:09 120.544 FNTCACHE.DAT
07.10.2005 14:53 2 regedit.com
07.10.2005 14:53 2 cmd.com
07.10.2005 14:53 2 taskkill.com
07.10.2005 14:53 2 tasklist.com
07.10.2005 14:53 2 tracert.com
07.10.2005 14:53 2 ping.com
07.10.2005 14:53 2 netstat.com

07.10.2005 12:33 16.384 Perflib_Perfdata_564.dat
07.10.2005 12:32 16.384 Perflib_Perfdata_34c.dat
07.10.2005 12:27 16.384 Perflib_Perfdata_e8.dat
07.10.2005 12:24 16.384 Perflib_Perfdata_354.dat
07.10.2005 11:23 16.384 Perflib_Perfdata_61c.dat
12.09.2005 18:58 42.595 QuickTime.qtp
08.09.2005 21:36 2.006.368 MRT.exe
08.09.2005 17:36 62.464 bszip.dll
05.09.2005 13:55 19.040 ATMdeuxx.GID
29.08.2005 13:27 520.968 LegitCheckControl.DLL
29.08.2005 13:27 23.304 GWFSPidGen.DLL
17.08.2005 07:37 16.384 Perflib_Perfdata_418.dat
16.08.2005 02:17 768.272 KERNEL32.DLL
16.08.2005 02:17 505.616 NTDLL.DLL

Bitte hilf mir ;-)
Seitenanfang Seitenende
12.10.2005, 11:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42 ajnom

KILLBOX
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
...

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINNT\system32\regedit.com
C:\WINNT\system32\cmd.com
C:\WINNT\system32\taskkill.com
C:\WINNT\system32\tasklist.com
C:\WINNT\system32\tracert.com
C:\WINNT\system32\ping.com
C:\WINNT\system32\netstat.com
C:\WINNT\system32\bszip.dll

PC neustarten

loesche alle temporaeren Dateien (CCleaner)
http://virus-protect.org/temp.html

hast du den Remover angewendet ? wenn nicht, suche /loesche:

Zitat

W32.Sober.D@mm (Removaltool)
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.d@mm.html?Open
C:\WINNT\system32\diag.exe
C:\WINNT\system32\Humgly.lkur
C:\WINNT\system32\yfjq.yqwm
C:\WINNT\system32\zmndpgwf.kxx
wintmpx33.dat - 46,426 bytes, base64 encoded zip file which contains the worm, MS-Q4632361791.exe.
temp32x.data

ewido scanne und poste den scanreport
http://virus-protect.org/ewido.html

Kaspersky (poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.10.2005, 11:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 The_Hulk

dein PC hat noch nie ein WindowsUpdate gesehen...kein Wunder also, dass er voellig ungeschuetzt ist.....

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe

PC neustarten

loesche alle temporaeren Dateien (CCleaner)
http://virus-protect.org/temp.html

poste hier alle 4 Logs (40 Tage, vom Datum her)
http://virus-protect.org/datfindbat.html

Zitat

W32/Rbot-UB ist ein Netzwerkwurm und ein IRC-Backdoortrojaner für die Windows-Plattform.

W32/Rbot-UB verbreitet sich über verschiedene Methoden, u. a. nutzt er einfache Kennwörter auf Computern und SQL-Servern, Betriebssystem-Schwachstellen (darunter DCOM-RPC, LSASS, WebDAV und UPNP) sowie Backdoors aus, die von anderen Würmern und Trojanern hinterlassen wurden.

W32/Rbot-UB kann über IRC-Kanäle von einem remoten Angreifer gesteuert werden. Die Backdoor-Komponente von W32/Rbot-UB kann von einem remoten Anwender angewiesen werden, folgende Funktionen zu starten:

Starten eines FTP-Servers
Starten eines Proxyservers
Starten eines Webservers
Teilnehmen an Distributed-Denial-of-Service (DDoS)-Attacken
Speichern von Tastenfolgen
Erstellen von Bildschirm- und Webcam-Aufnahmen
Packet-Sniffing
Port-Scanning
Herunterladen und Ausführen beliebiger Dateien
Starten einer Remote-Shell (RLOGIN)

Der Wurm kopiert sich in eine Datei namens ntsf.exe im Windows-Systemordner und erstellt die folgenden Registrierungseinträge:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
NTSF MICROSOFT SYSTEM
"ntsf.exe"
http://www.sophos.de/virusinfo/analyses/w32rbotub.html
nach der Reinigung:

Patches für die Betriebssystem-Schwachstellen, die von W32/Rbot-UB ausgenutzt werden, stehen von Microsoft zur Verfügung unter:

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
http://www.microsoft.com/technet/security/bulletin/ms03-039.mspx
http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx
http://www.microsoft.com/technet/security/bulletin/ms01-059.mspx
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.10.2005, 17:09
...neu hier

Beiträge: 3
#44 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C439-65E3

Verzeichnis von C:\WINDOWS\system32

12.10.2005 16:42 26.324 nvapps.xml
11.10.2005 13:35 2.184 wpa.dbl
09.10.2005 17:59 2 cmd.com
09.10.2005 17:59 2 regedit.com
09.10.2005 17:59 2 taskkill.com
09.10.2005 17:59 2 tasklist.com
09.10.2005 17:59 2 tracert.com
09.10.2005 17:59 2 ping.com
09.10.2005 17:59 2 netstat.com
09.10.2005 13:42 62.464 bszip.dll
28.08.2005 13:25 28.672 f3PSSavr.scr


12.10.2005 16:54 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}4917.html
12.10.2005 16:53 65.536 ~DF5B4B.tmp
12.10.2005 16:43 16.384 ~DFA143.tmp
12.10.2005 16:43 16.384 Perflib_Perfdata_7b8.dat
12.10.2005 16:42 16.384 ~DFF6C8.tmp
12.10.2005 16:42 512 ~DFA2A0.tmp
12.10.2005 16:42 16.384 ~DF827A.tmp


12.10.2005 16:57 19.156 svcpack.log
12.10.2005 16:56 52.122 setupapi.log
12.10.2005 16:56 0 setuperr.log
12.10.2005 16:56 0 setupact.log
12.10.2005 16:48 2.050.498 WindowsUpdate.log
12.10.2005 16:43 512 win.ini
12.10.2005 16:42 54.156 QTFont.qfn
12.10.2005 16:42 2.048 bootstat.dat
12.10.2005 16:40 32.506 SchedLgU.Txt
12.10.2005 16:24 1.409 QTFont.for
12.10.2005 02:04 192 winamp.ini
09.10.2005 20:49 116 NeroDigital.ini
16.09.2005 15:46 101 CMMIXER.INI


12.10.2005 17:08 0 sys.txt
12.10.2005 17:08 3.799 system.txt
12.10.2005 17:08 650 systemtemp.txt
12.10.2005 17:08 94.046 system32.txt
12.10.2005 16:42 1.207.959.552 pagefile.sys
Seitenanfang Seitenende
12.10.2005, 20:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 The_Hulk

wegen dem Backdoor poste mir bitte die Daten von 2 Monaten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende