Win32.Sober.I@mm?

07.12.2004, 23:27

joschi

Moderator

Beiträge: 6466

#31 Beachtet bitte das Thema des Threads !
Nicht Zugehöriges wird gelöscht.
__________
Durchsuchen --> Aussuchen --> Untersuchen

08.12.2004, 11:58

Sabina

Ehrenmitglied

Beiträge: 29434

#32 1) lade rem.zip herunter
Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
3) starte den rechner im abgesicherten modus.
4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.
erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.
wurde eine malware entfernt, sollten noch zusätzlich zur log.txt unter C:\ die Dateien bad.reg und bad.zip erstellt worden sein.
Bitte diese Dateien zunächst so belassen, nicht öffnen !
HijackThis/1.98.2 :
http://www.downloads.subratam.org/hijackthis.zip
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 14.12.2004 um 11:51 Uhr von Sabina editiert.

14.12.2004, 11:30

Tyler Durden

...neu hier

Beiträge: 2

#33

Zitat

Sabina postete
Hallo@monti

Deaktiviere die Wiederherstellung, lade das Entfernungstool und scanne im abgesicherten Modus.

Symantec Security Response has developed a removal tool to clean the infections of W32.Sober.I@mm. Try this removal tool first, as it is the easiest way to remove this Thread.
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.i@mm.html
Removal using the W32.Sober Removal Tool

aktuelles HijackThis:
http://www.downloads.subratam.org/hijackthis.zip
1.Log
Lade das Tool HijackThis:-->Button "scan" --> Button "save" --> es öffnet sich das Notepad, nun das
KOMPLETTES Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"--> kopieren

mfg
Sabina

Hallo zusammen

Ich bin neu hier, weil ich den Win32.Sober.I@mm auf meinem Rechner habe.

@ Sabina
Ich bin genau deinen Anweisungen gefolgt und folgendes ich herausgekommen:

Logfile of HijackThis v1.98.2
Scan saved at 11:25:12, on 14.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
G:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\rundll32.exe
G:\Programme\CursorXP\CursorXP.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
G:\Programme\Mozilla Firefox\firefox.exe
G:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://telebank1.ubs.com/classic/g/?login&initiate
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [RivaTuner] "G:\Programme\RivaTuner\RivaTuner.exe" /T
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "G:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [iTunesHelper] G:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CursorXP] G:\Programme\CursorXP\CursorXP.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://G:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://G:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://G:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096643715232
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4413/mcfscan.cab

Kannst du mir da vielleicht weiterhelfen??

mfg
Tyler Durden

14.12.2004, 11:47

Sabina

Ehrenmitglied

Beiträge: 29434

#34 Hallo@Tyler Durden

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

PC neustarten

Deinstallieren:
-->>Start -> Einstellungen ->Systemsteuerung -> Software" -->New.Net/NewDotNet

Lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"

bringe die newdotnet6_38.dll
von der linken auf die rechte Seite und loesche sie.

Lade und scanne:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.i@mm.html
Removal using the W32.Sober Removal Tool

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

Fuer den Fall, dass du keinen Virenscanner hast:
#Antivirus (free)
http://www.free-av.de/
konfiguriere den Scanner UND den Guuard: "alle Dateien" und "Heuristik: mittel"

#Mache UNBEDINGT DIE WINDOWSUPDATES UND AKTUALISIERE DEN IE
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 14.12.2004 um 11:50 Uhr von Sabina editiert.

14.12.2004, 17:11

Tyler Durden

...neu hier

Beiträge: 2

#35 Vielen Dank für die schnelle Hilfe, der Virus ist nun gelöscht worden.

Danke!!!!

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

» Win32.Sober.Q@mm +Microsoft Update"="wystcl.exe
»
»
»
» smss.exe und Sober.i / Sober.k

Seite(n): 1 2 3