Win32.Sober.I@mm? |
||
---|---|---|
#0
| ||
07.12.2004, 23:27
Moderator
Beiträge: 6466 |
||
|
||
08.12.2004, 11:58
Ehrenmitglied
Beiträge: 29434 |
#32
1) lade rem.zip herunter
Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) 3) starte den rechner im abgesicherten modus. 4) starte die datei rem.bat, scannen lassen. 5) starte den rechner anschließend im normalen modus. 6) unter C:\ sollte nun eine datei namens log.txt zu finden sein. 7) markiere den inhalt und füge ihn hier ein. erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. wurde eine malware entfernt, sollten noch zusätzlich zur log.txt unter C:\ die Dateien bad.reg und bad.zip erstellt worden sein. Bitte diese Dateien zunächst so belassen, nicht öffnen ! HijackThis/1.98.2 : http://www.downloads.subratam.org/hijackthis.zip __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.12.2004 um 11:51 Uhr von Sabina editiert.
|
|
|
||
14.12.2004, 11:30
...neu hier
Beiträge: 2 |
#33
Zitat Sabina posteteHallo zusammen Ich bin neu hier, weil ich den Win32.Sober.I@mm auf meinem Rechner habe. @ Sabina Ich bin genau deinen Anweisungen gefolgt und folgendes ich herausgekommen: Logfile of HijackThis v1.98.2 Scan saved at 11:25:12, on 14.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe G:\Programme\iTunes\iTunesHelper.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\rundll32.exe G:\Programme\CursorXP\CursorXP.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\IEXPLORE.EXE G:\Programme\Mozilla Firefox\firefox.exe G:\Programme\WinAce\WinAce.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://telebank1.ubs.com/classic/g/?login&initiate O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off O4 - HKLM\..\Run: [RivaTuner] "G:\Programme\RivaTuner\RivaTuner.exe" /T O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "G:\Programme\RivaTuner\RivaTuner.exe" /S O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [iTunesHelper] G:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [CursorXP] G:\Programme\CursorXP\CursorXP.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://G:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://G:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://G:\Programme\LeechGet 2004\\Parser.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096643715232 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4413/mcfscan.cab Kannst du mir da vielleicht weiterhelfen?? mfg Tyler Durden |
|
|
||
14.12.2004, 11:47
Ehrenmitglied
Beiträge: 29434 |
#34
Hallo@Tyler Durden
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s PC neustarten Deinstallieren: -->>Start -> Einstellungen ->Systemsteuerung -> Software" -->New.Net/NewDotNet Lade: #LSPfix.exe http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm <"I know what I'm doing" bringe die newdotnet6_38.dll von der linken auf die rechte Seite und loesche sie. Lade und scanne: http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.i@mm.html Removal using the W32.Sober Removal Tool Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php Fuer den Fall, dass du keinen Virenscanner hast: #Antivirus (free) http://www.free-av.de/ konfiguriere den Scanner UND den Guuard: "alle Dateien" und "Heuristik: mittel" #Mache UNBEDINGT DIE WINDOWSUPDATES UND AKTUALISIERE DEN IE #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.12.2004 um 11:50 Uhr von Sabina editiert.
|
|
|
||
14.12.2004, 17:11
...neu hier
Beiträge: 2 |
||
|
||
Nicht Zugehöriges wird gelöscht.
__________
Durchsuchen --> Aussuchen --> Untersuchen