Win32.Sober.I@mm? |
||
---|---|---|
#0
| ||
25.11.2004, 10:41
Member
Beiträge: 35 |
||
|
||
25.11.2004, 12:29
Moderator
Beiträge: 7805 |
#2
Mcafees Stinger sollte es koennen:
http://vil.nai.com/vil/stinger/ Bitdefender hat auch eines: http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=310# unten auf der Seite. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.11.2004, 12:59
Member
Beiträge: 813 |
#3
@monti
Lief der Wächter von Bitdefender denn nicht? Der hätte den Wurm erkennen und blocken müssen... Oder hast du nur diesen kostenlosen On-Demand-Scanner von Bitdefender? __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
25.11.2004, 15:47
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@monti
Deaktiviere die Wiederherstellung, lade das Entfernungstool und scanne im abgesicherten Modus. Symantec Security Response has developed a removal tool to clean the infections of W32.Sober.I@mm. Try this removal tool first, as it is the easiest way to remove this threat. http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.i@mm.html Removal using the W32.Sober Removal Tool aktuelles HijackThis: http://www.downloads.subratam.org/hijackthis.zip 1.Log Lade das Tool HijackThis:-->Button "scan" --> Button "save" --> es öffnet sich das Notepad, nun das KOMPLETTES Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"--> kopieren mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.11.2004 um 15:51 Uhr von Sabina editiert.
|
|
|
||
25.11.2004, 21:03
Member
Themenstarter Beiträge: 35 |
#5
Hallo an alle,
erst einmal vielen Dank für eure schnelle Hilfe. Leider musste ich mit meinem Sohn zum Kieferchirurgen. Er ist operiert worden. Deshalb antworte ich so spät. Also, wir haben jetzt Hijackthis heruntergeladen und das Removaltool von bitdefender. Haben die Wiederherstellung ausgeschaltet und im Moment läuft ein scan über das Removaltool. Ich habe deshalb das Tool von bitdefender gewählt, weil er ja auch den Virenscanner von denen hat. Ich dachte, das verträgt sich besser , oder ?! Er hat noch den bitdefender 2.4, also eine ältere Version. Den Virus muss er sich am 17.11. eingefangen haben und bitdefender hat ihn erst am 19.11. entdeckt. Wenn der Scan nun durchgelaufen ist...kann ich dann wieder im normalen Modus Windows starten, um hijackthis durchzuführen und euch das Ergebnis hier einzufügen ? Ich hatte vorher schon probiert, von seinem PC mich hier im Forum einzuloggen, da hat er mir immer Fehler angezeigt. Muss sein PC eine extra Registrierung bekommen ? LG Monti |
|
|
||
25.11.2004, 21:48
Member
Themenstarter Beiträge: 35 |
#6
Hallo @ Sabina,
hier nun das komplette Log, nachdem wir hoffentlich erfolgreich das Entfernungstool eingesetzt hatten. Logfile of HijackThis v1.98.2 Scan saved at 21:46:10, on 25.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Softwin\Live\avxlive.exe C:\Programme\SOFTWIN\BDHome\lmgui.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\xcommsvr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Ingo\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ksk9.de/wbb2/hmportal.php?sid= O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [servicedir] C:\WINDOWS\System32\rundata.exe O4 - HKCU\..\Run: [crypt32logx] C:\WINDOWS\System32\cryptdata.exe %srun% O4 - Global Startup: BitDefender Live!.lnk = C:\Programme\Gemeinsame Dateien\Softwin\Live\avxlive.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Murphy Shield.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6B63FDCA-8213-4202-BDE7-FB3D1B6D41F3}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{7825783D-3C1E-493E-AEF8-FF8D479AD872}: NameServer = 192.168.1.1 LG Monti |
|
|
||
25.11.2004, 23:57
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@monti
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen vor diese zwei Eintraege -->> Button "Fix checked" -->> PC neustarten O4 - HKCU\..\Run: [servicedir] C:\WINDOWS\System32\rundata.exe O4 - HKCU\..\Run: [crypt32logx] C:\WINDOWS\System32\cryptdata.exe %srun% neustarten ueberpruefe bitte (und poste mir das Ergebnis: C:\WINDOWS\System32\rundata.exe C:\WINDOWS\System32\cryptdata.exe die cryptdata.exe sehe ich heute schon das 3. Mal und ich weiss nicht, was das ist. * http://virusscan.jotti.dhs.org/ - im Text wird zu * auf Durchsuchen klicken und die zu untersuchende Datei öffnen - jede Datei (max 10MB) einzeln scannen, keine Archive scannen! * auf Submit klicken - unterhalb des Textblocks wird jetzt der Status angezeigt, zunächst uploading file, please wait = Datei wird hochgeladen, bitte warten , danach inconclusive (scan still in progress) = Scan noch nicht abgeschlossen und letztendlich das Ergebnis des Scans, das laut Statistik (weiter unten auf der Seite) zu etwa 99% akkurat ist... <Das eScan AV Toolkit..Erkennungstool...loescht nicht (!) (mwav.exe) herunterladen, öffnen, aber nicht scannen http://www.mwti.net/antivirus/free_utilities.asp * danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die "kavupd.exe" suchen) und anklicken. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.11.2004 um 23:59 Uhr von Sabina editiert.
|
|
|
||
26.11.2004, 09:33
Member
Themenstarter Beiträge: 35 |
#8
Hallo @ Sabina,
vielen, vielen Dank !!! Ehe ich das alles machen kann, muss ich jetzt erst zur Arbeit. Ich werde erst heute Abend dazu kommen. Mein Sohn, dem ich das gezeigt habe, kommt damit nicht klar-deshalb mache ich das lieber. Eines müsste ich aber noch wissen: soll ich dazu die Systemwiederherstellung noch einmal abschalten ? Zwischenzeitlich habe ich sie nämlich wieder eingeschaltet gehabt, natürlich aber erst, nachdem vermeintlichen Entfernen. LG Monti |
|
|
||
26.11.2004, 10:48
Member
Themenstarter Beiträge: 35 |
#9
Ich komme damit schon klar.
Das Hijack ding habe ich durchgezogen. Die besagten dateien tauchen nicht mehr auf. Aber welche datei unter 10 mb soll ich testen, mit dem virusscan jotti. |
|
|
||
26.11.2004, 11:06
Member
Themenstarter Beiträge: 35 |
#10
So folgendes ist passiert ich hab den schritt mit dem virusscan jotti ausgelassen.
beim suchen der kavupd.exe als ich sie gefunden habe muss mein Explorer wegen Kritischer fehler beendet werden mein bit defender meldet sich wegen einer datei mit doppeltem anhang. Sie lautet:" C:windowsinstaller {a790beb1-bccf-4ec6-807b-5708b36e8a79}\ pros......da war das kästchin zuende und den rest konnte ich nicht lesen. Was ist das ich sage immer nein du darfst nicht darauf zugreifen, mit der meldung binn ich das erste mal misstrauisch geworden und hab meinen Vieren scan durchgeführt. Das ergebnis beseitigen wir nun oder wir versuchen es. Was soll ich tuhen? Nochmal versuchen? Den schritt mit virusscan jotti, unbedingt machen? wenn ja nach was für dateien soll ich suchen? |
|
|
||
26.11.2004, 12:20
Ehrenmitglied
Beiträge: 29434 |
#11
ueberpruefe bitte (und poste mir das Ergebnis:
C:\WINDOWS\System32\rundata.exe C:\WINDOWS\System32\cryptdata.exe * http://virusscan.jotti.dhs.org/ - File to upload & scan:--> cryptdata.exe und danach rundata.exe suchen und pruefen lassen <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml ------------------------------------------------------------------------------ und den Scanner (escan) mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.11.2004 um 12:23 Uhr von Sabina editiert.
|
|
|
||
26.11.2004, 12:31
Member
Themenstarter Beiträge: 35 |
#12
Hir erstmal die geposteten Vieren:
mC:\DOKUME~1\Ingo\LOKALE~1\TEMPOR~1\Content.IE5\G5U7WLYZ\demo[1].jar infected by "Trojan.Java.ClassLoader.j" Virus. Action Taken: No Action Taken. C:\DOKUME~1\Ingo\LOKALE~1\TEMPOR~1\Content.IE5\WXYZC1EF\classload[3].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken. C:\DOKUME~1\Ingo\LOKALE~1\TEMPOR~1\Content.IE5\WXYZC1EF\classload[2].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken. C:\DOKUME~1\Ingo\LOKALE~1\TEMPOR~1\Content.IE5\WXYZC1EF\classload[1].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken. Fri Nov 26 11:35:26 2004 => File C:\Dokumente und Einstellungen\Ingo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXYZC1EF\classload[3].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.Fri Nov 26 11:35:27 2004 => File C:\Dokumente und Einstellungen\Ingo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXYZC1EF\demo[1].jar infected by "Trojan.Java.ClassLoader.j" Virus. Action Taken: No Action Taken. Fri Nov 26 11:35:26 2004 => File C:\Dokumente und Einstellungen\Ingo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXYZC1EF\classload[2].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken. Fri Nov 26 11:35:26 2004 => File C:\Dokumente und Einstellungen\Ingo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXYZC1EF\classload[1].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken. Fri Nov 26 11:35:17 2004 => File C:\Dokumente und Einstellungen\Ingo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5U7WLYZ\demo[1].jar infected by "Trojan.Java.ClassLoader.j" Virus. Action Taken: No Action Taken. Fri Nov 26 11:29:35 2004 => Scanning File C:\Dokumente und Einstellungen\Ingo\Desktop\Save\emagic\Logic 5\Plug-In Settings\ES2\User Patches\069 Motions\035 VSequ-Infected_RyB.PST [**] Fri Nov 26 11:37:51 2004 => Scanning File C:\Programme\emagic\Logic 5\Plug-In Settings\ES2\User Patches\069 Motions\035 VSequ-Infected_RyB.PST [**] C:\DOKUME~1\Ingo\LOKALE~1\TEMPOR~1\Content.IE5\WXYZC1EF\demo[1].jar infected by "Trojan.Java.ClassLoader.j" Virus. Action Taken: No Action Taken. Fri Nov 26 11:44:14 2004 => Scanning Folder: C:\Programme\SOFTWIN\BDHome\Infected\*.* Fri Nov 26 12:12:53 2004 => Total Files Scanned: 91611 Fri Nov 26 12:12:53 2004 => Total Virus(es) Found: 10 Fri Nov 26 12:12:53 2004 => Total Disinfected Files: 0 Fri Nov 26 12:12:53 2004 => Total Files Renamed: 0 Fri Nov 26 12:12:53 2004 => Total Deleted Files: 0 Fri Nov 26 12:12:53 2004 => Total Errors: 2 Fri Nov 26 12:12:53 2004 => Time Elapsed: 00:49:15 Fri Nov 26 12:12:53 2004 => Virus Database Date: 2004/11/26 Fri Nov 26 12:12:53 2004 => Virus Database Count: 110568 Fri Nov 26 12:12:53 2004 => Scan Completed. |
|
|
||
26.11.2004, 12:36
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@monti
Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k dann scanne noch mal mit eScan und poste mir das Ergebnis der Ueberpruefung von : C:\WINDOWS\System32\rundata.exe C:\WINDOWS\System32\cryptdata.exe * http://virusscan.jotti.dhs.org/ - File to upload & scan:--> cryptdata.exe und danach rundata.exe suchen und pruefen lassen mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.11.2004, 12:42
Member
Themenstarter Beiträge: 35 |
#14
Nach dem ich den 1ten schritt gibt es keine rundata.exe und keine crypdata.exe mehr. Dann hab ich das schon richtig verstanden aber sie sind weg.
Was mach ich nun mit den mwav.log einträgen? Muss ich mein system neu aufsetzen? |
|
|
||
26.11.2004, 12:45
Ehrenmitglied
Beiträge: 29434 |
#15
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k dadurch werden die temporaeren Dateien geloescht. Dann scanne noch mal mit mwav.exe und berichte. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich hab doofer weise ne E-Mail geöffnet "Ihre neuen Accound daten" von irgent einer GMX adresse.
Schon beim öffnen hat mein Pc zulange gerappelt (für sone kleine mail),
also habe ich mit meinem Bitdefender einen Vierenscan gemacht.
Ganz toll Virus erkannt, aber mehr als Ignorieren konnte ich nicht machen.
Wenn ihr mir helfen könntet den Win32.sober.I@mm von meinem Rechner zu entfernen.
MfG
Ghils33@KsK9
(sohn von monti)