Probleme mit W32.Sober.I@mm!enc |
||
|---|---|---|
| #0
| ||
|
09.12.2004, 20:49
...neu hier
Beiträge: 5 |
||
 
|
|
|
|
09.12.2004, 22:06
Moderator
 Beiträge: 6466 |
#2
http://board.protecus.de/t13920.htm beantwortet teilweise deine Frage.
Du musst Dir nur mal die Beschriebung des Wurms auf den Seiten der AV-Hersteller durchlesen. http://www.viruslist.com/en/viruses/encyclopedia?virusid=66102 Zitat The harvested email addresses are stored in files named:Das ist der entscheidende Satz bzgl. deiner Frage. Fängt sich nur eine einzige Person, welche deine Email-Adresse in einer Datei (mit einer der erwähnten Dateiendungen) gespeichert hat ein, geht die Post im wahrsten Sinne des Wortes ab. Eines dieser Mails mit den gesammelten Adressen (u.a deiner Adresse) landet wieder auf einem Rechner. Kommt es zur Infektion geht dort das Spiel dort von neuem vor. Ist deine Adresse also nur einmal von dem Wurm erwischt worden ist es nicht mehr kontrollierbar, wohin sie sich weiterhin verbreitet. Im skurilsten Fall bekommst Du ein Mail mit deiner eigenen Mailadresse als Absender. ist mir mal passiert 
Ich behaupte mal: Nach einer Wurmepedemie bekommt man plötzlich Spam-Mails auf die eigene Mail-Adresse, auch wenn man es bis dahin geschafft hat diese penibel über viele, viele Monate "suaber zu halten". Hat mal jemand versucht, die folgenden Dateien auf (s)einem infizierten Rechner abzugreifen ? winexerun.dal winmprot.dal winroot64.dal winsend32.dal __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
10.12.2004, 00:30
...neu hier
Themenstarter Beiträge: 5 |
#3
Erstmal danke für die Antwort.
Das heißt mit anderen Worten, ich kann rein gar nichts machen? Was schätzt Du wann das ungefähr aufhört mit den Spammails? Das kann ja nicht ewig weiter gehen... |
|
|
|
|
|
|
10.12.2004, 13:34
Ehrenmitglied
 Beiträge: 29434 |
#4
Auf alle Faelle solltest du einer Datentraegerbereinigung durchfuehren.
C:\DOKUME~1\NN\LOKALE~1\Temp\CC5D.tmp Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip 1.Log Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" * http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.i@mm.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.12.2004 um 13:40 Uhr von Sabina editiert.
|
|
|
|
|
|
|
10.12.2004, 14:17
...neu hier
Themenstarter Beiträge: 5 |
#5
Danke für die Antwort.
Die Logfile lautet: Logfile of HijackThis v1.99.0 (BETA) Scan saved at 14:17:05, on 10.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\HotkeyApp.exe C:\Program Files\Launch Manager\CtrlVol.exe C:\Program Files\Launch Manager\OSDCtrl.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE C:\Dokumente und Einstellungen\NN\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [LaunchApp] LaunApp O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin /beta/vet_install_popup.pl?1&4&04.00.07.02&http://www.silhouette.com/3d/silhouette_3d.html?line=sun O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe Dieser Beitrag wurde am 11.12.2004 um 01:07 Uhr von Sabina editiert.
|
|
|
|
|
|
|
11.12.2004, 01:04
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@LNN
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http:// www.viewpoint.com/cgi-bin/beta/vet_install_popup.pl?1&4&04.00.07.02&http://www.silhouette.com/3d/silhouette_3d.html?line=sun O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab PC neustarten Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Loesche unter : #C:\Windows\Downloaded Programm Files\ was keine Sigantur hat, denn dort ist der Trojaner loader.cab (ich kenne leider die zugehoerige dll oder exe nicht) deshalb: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 Dann berichte (es ware nett, wenn du mir die infizierten Dateien aus dem eScan-Log hier posten wurdest, bevor du sie mit der Killbox loeschst. <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.12.2004 um 01:07 Uhr von Sabina editiert.
|
|
|
|
|
|
|
11.12.2004, 02:04
...neu hier
Themenstarter Beiträge: 5 |
#7
Also folgendes hat er gefunden:
Sat Dec 11 01:21:16 2004 => File C:\WINDOWS\system32\EGCOMSERVICE_1039.dll infected by "TrojanDownloader.Win32.Wintrim.bb" Virus. Action Taken: No Action Taken. Ich frage mich wie das auf mein System kommt, denn ich hab Norton Antivirus immer laufen. Noch merkwürdiger ist, dass ich gerade vor 2 Tagen einen kompletten Systemcheck mit Norton gemacht habe, aber nichts gefunden wurd... Ich habe die oben genannte DLL mit Killbox gelöscht, muss ich noch irgendwas in der Registry machen? Vielen Dank für Deine Hilfe, Du hast echt super viel Ahnung! Gruß LNN |
|
|
|
|
|
|
11.12.2004, 02:07
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@LNN
Nun du solltest die Wiederherstellung deaktivieren, booten, dann aktiviere sie wieder. Start<Ausfuehren<regedit: suche/loesche folgende Eintraege (rechts) in der Registry: HKEY_CLASSES_ROOT\clsid\{a1dc3241-b122-195f-b21a-000000000000} HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\Comload.loader.1 HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\Comload.loader HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\Comload.loader2.1 HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\Comload.loader2 HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\dctl HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\dctl\shell\open\command HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\dctl\shell\open\ddeexec HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\dctl\shell\open\ddeexec\Application HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\dctl\shell\open\ddeexec\Topic HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\DownloadInformation HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD}\InstalledVersion HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Fuck-site.com Hardcore Area HKEY_CURRENT_USER\\Software\Coulomb\FParam HKEY_CURRENT_USER\\Software\Coulomb\Fuck-site.com Hardcore Area ____________________________________________________________________ #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html ZITAT: TEST MS-IE 6, SP1 zeigt das Resultat eines einzigen Seiten-Aufrufs im Die Situation wurde in diesem Fall bewusst herbeigeführt. Die Seite aber ist nicht speziell für Testzwecke konstruiert, sondern ist nur ein unter vielen, die Schwachstellen des IE ausnutzen. Als Browser wurde ein • IE 5.0 (1. Test) • IE 6, SP1, gepatcht (2. Test) unter Win98 verwendet. • Das Bemerkenswerte ist, dass sich die Ergebnisse (Test1, Test2) im Grunde nicht unterscheiden ! Die Sicherheitsstufe war in beiden Versuchen auf "Mittel", also "Auslieferungszustand". Das Protokoll besteht aus 3 Teilen: • Modifikationen im System bei/durch den Seitenaufruf • HijackThis-Log (ausgewertet) • Virenscan (KAV) Ein erster Scan mit Ad-Aware nach einem Seitenaufruf lässt schon Böses erahnen: • 98 (!!) Objekte gefunden 1 Process • 32 Registry-Schlüssel • 53 Registry Werte • 11 Dateien • 1 Ordne Resumée: Der wunde Punkt ist die ActiveX-Technologie und Microsofts "JV Virtual Machine" für Java. Fast alle Malware, Parasiten, Backdoors, etc wurden hier mittels ActiveX auf das System geschleust, ein anderer Teil eben dadurch , dass "JV Virtual Machine" im Browser aktiviert ist. Ersetzt man sie durch Java von "SUN", findet zwar ebenfalls ein Download der Malware statt, jedoch keine Infektion. Generell Java deaktivieren und nur wenn benötigt zuschalten, ist auf jeden Fall ratsam; gänzlich unabhängig vom verwendeten Browser. In Anlehnung auf einen Browsertest in BILD, möchte ich bemerken, dass ist es eben nicht nur entscheidend ist, wieviele Klicks man benötigt um sein "Lieblings-Bookmark" abzuspeichern oder dergleichen völlig sekundären Dinge. Die Funktionalität der "Browserkonkurrenten" ist ohnehin bestechend gut. Der für mich aber erschreckenste Punkt ist, dass der Anzahl der schadhaftem Elemente, die durch einen Seitenaufruf mit dem IE auf den Rechner gelangen können, keine Grenzen gesetzt sind. Im Grunde reicht ein (falscher) Klick, um das komplette System zu ruinieren und sogar persönliche Daten in Gefahr zu bringen. Ein weiteres Problem ist, dass viele der installierten Elemente im Hindergrund arbeiten und weitere Malware auf den Rechner laden, bzw. Tür und Tor für Angreifer öffnen. ------------------------------------------------------------------------------------ Solche Downloader stecken in aktiven Skripten von Warez oder Pornoseiten-->>IE wenn ActiveX-Control aktiviert ist Das Skript versucht zunächst ein ActiveX-Control automatisch zu installieren, indem es eine CODEBASE angibt, die auf eine externe CAB-Datei verweist. Klappt das nicht (onerror), erscheint eine Meldung, dass man zur Installation des Spieles "Yes" klicken müsse, und das Skript versucht es erneut __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.12.2004 um 02:16 Uhr von Sabina editiert.
|
|
|
|
|
|
|
11.12.2004, 11:31
...neu hier
Themenstarter Beiträge: 5 |
#9
Hi,
von den aufgelisteten Registry Einträgen habe ich nur diesen gefunden: HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} und gelöscht. Die anderen waren nicht da. Das mit dem IE klingt ja wirklich recht beunruhigend, meinst Du das SP2, was es ja mittlerweile gibt, ändert daran irgendwas? Ich hab jetzt bei IE die ganzen Active X Sachen deaktiviert und auch Java. Hoffentlich kann man jetzt noch vernünftig surfen :-) Gruß LNN |
|
|
|
|
|
|
11.12.2004, 16:38
Ehrenmitglied
Beiträge: 29434 |
#10
#Alternativbrowser zum IE
Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.12.2004, 11:40
...neu hier
Beiträge: 1 |
#11
Hi,
ich habe auch ein Problem mit diesem Sober Virus. Norton erkennt und löscht den Virus, eine Meldung davon erscheint aber schon eine Sekunde später wieder mit gewechselter Endziffer im Dateinamen. Wenn ich einen kompletten Scan mache, findet Norton nix, und auch der Fixsober, sowie der Stinger bekommen das Problem nicht in den Griff. Habe mir Hijackthis runtergeladen und mal ein Logfile gesaved. Vielleicht kann mir jemand helfen?? PLLLLEEEAAASSSEE! Richard Logfile. Logfile of HijackThis v1.99.0 Scan saved at 11:31:47, on 15.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\stardock\TrayServer.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINNT\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINNT\system32\internat.exe C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe C:\Programme\Stardock\WinCustomize\Cursor\CursorXP.exe C:\Programme\a2\a2guard.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe C:\WINNT\system32\taskmgr.exe C:\WINNT\regedit.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [1A:Stardock TrayMonitor] "C:\Programme\Gemeinsame Dateien\stardock\TrayServer.exe" O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [WindowBlinds] C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe auto O4 - HKCU\..\Run: [CursorXP] C:\Programme\Stardock\WinCustomize\Cursor\CursorXP.exe O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - Startup: AWLAN_USB.lnk = C:\Programme\IEEE 802.11b WLAN Utility(USB)\AWLAN_USB.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AA4CA950-F5FA-4C55-A2AA-BEA2852C3356}: NameServer = 212.6.108.140 O17 - HKLM\System\CCS\Services\Tcpip\..\{F0F98260-D9FA-400B-80CD-52262CCF9316}: NameServer = 212.6.108.140 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe |
|
|
|
|
|
|
15.12.2004, 14:30
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@Richie1981
#Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.12.2004 um 14:32 Uhr von Sabina editiert.
|
|
|
|
|
|
|
15.12.2004, 20:17
...neu hier
Beiträge: 3 |
#13
Hallo.
Ich hab ein ähnliches Problem. jedes mal wenn ich emails abrufe bekomm ich von Norton eine Warnung, dass der W32.Sober.I@mm.!enc Wurm auf meinem Computer ist und gelöscht wurde. Ich hab verschiedene REmove-Tools laufen lassen, aber die finden ihn nicht. ich hab jetzt auch wie es hier drin steht, die ganzen temporary-dateien gelöscht und das hijackthis laufen lassen. jetzt hab ich folgenden log-file, aber ich komm nicht wirklich weiter. Logfile of HijackThis v1.99.0 Scan saved at 20:06:43, on 15.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\Programme\VMware\VMware GSX Server\vmware-authd.exe C:\WINDOWS\System32\vmnetdhcp.exe C:\Programme\VMware\VMware GSX Server\vmserverdWin32.exe C:\WINDOWS\SYSTEM32\vmnat.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\carpserv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Dell\AccessDirect\dadapp.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\DSentry.exe C:\Programme\Dell\AccessDirect\DadTray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\CLIPBO~1\CLIPBO~1.EXE C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Digital Line Detect\DLG.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\Programme\OnlineCounter 2002\OnlineCounter.exe C:\WINDOWS\explorer.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Miriam\LOKALE~1\Temp\Rar$EX01.465\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Messenger\msmsgs.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O2 - BHO: Adobe Acrobat Control for ActiveX - {CA8A9780-280D-11CF-A24D-444553540000} - C:\PROGRA~1\Adobe\ACROBA~2.0\Reader\ActiveX\pdf.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IPSetup] "D:\ipoint\Setup.exe" O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Clipboard Buddy] C:\PROGRA~1\CLIPBO~1\CLIPBO~1.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: OnlineCounter 2002-Autostart.lnk = C:\Programme\OnlineCounter 2002\OnlineCounter-Autostart.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103048571865 O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe O23 - Service: VMware Authorization Service - Unknown - C:\Programme\VMware\VMware GSX Server\vmware-authd.exe O23 - Service: VMware DHCP Service - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe O23 - Service: VMware Registration Service - VMware, Inc. - C:\Programme\VMware\VMware GSX Server\vmserverdWin32.exe O23 - Service: VMware NAT Service - Unknown - C:\WINDOWS\SYSTEM32\vmnat.exe Vielleicht kann mir ja jemand hier weiterhelfen. |
|
|
|
|
|
|
16.12.2004, 10:38
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo@mirilein
#Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.12.2004 um 10:38 Uhr von Sabina editiert.
|
|
|
|
|
|
|
16.12.2004, 16:42
...neu hier
Beiträge: 3 |
#15
also ich hab eScan laufen lassen udn im log-File nach "infected" gesucht, aber er findet nur disinfected...
Außerdem meldet er einen Fehler, aber keine Viren etc. Egal was ich mache sobald ich über Outlook EMails abrufe kommt ein nettes Pop-Up von Norton, das sagt, dass W32.Sober.I@mm.!enc gefunden und gelöscht wurde... |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Glücklicherweise erkennt Symantec Norton AntiVirus 2004 diesen Virus immer und löscht die E-Mail. Die Absender dieser Mail sind z.B.:
info@mytoys-mail.de
info@synaptics.com
info@yahoo.com
new_account@guema-caravan.de
um einige Beispiele zu nennen.
Das beunruhigt mich natürlich und beim Mails abholen ständig die Warnungen von Norton zu erhalten ist auch nicht gerade toll...
Hat jemand eine Ahnung woher diese Mails versand werden bzw. ob man da irgendwas gegen machen kann?
Danke für jede Hilfe,
Gruß LNN
P.S. dies ist die Logfile von Symantec:
,Bedrohungskategorie: VirusQuelle: C:\DOKUME~1\NN\LOKALE~1\Temp\CC5D.tmp,Beschreibung: Die Datei C:\DOKUME~1\NN\LOKALE~1\Temp\CC5D.tmp ist mit dem Virus W32.Sober.I@mm!enc infiziert.
und die erste Mail mit dem Virus:
,Bedrohungskategorie: VirusQuelle: message_text.txt .pif,
Beschreibung: Der E-Mail-Anhang message_text.txt .pif innerhalb von auto__mail.gmx.EML.zip ist mit dem Virus W32.Sober.I@mm infiziert.