service.exe nervt + "I-Worm.Sober.i" |
||
---|---|---|
#0
| ||
19.12.2004, 19:33
...neu hier
Beiträge: 5 |
||
|
||
19.12.2004, 22:15
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Nour
ueberpruefe bitte in der Registry, ob du folgende Eintraege in deiner Registry findest: http://www.sophos.de/virusinfo/analyses/trojremadmb.html Start<Ausfuehren<regedit ---> die Registry oeffnet sich _______________________________________________________________________ Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 deaktiviere im Taskamager: [runspool]C:\WINDOWS\system32\service.exe [datax]C:\WINDOWS\system32\sysservice.exe [MSOffice]C:\WINDOWS\system32\MSOffice\services.exe [smss32sysrunx] C:\WINDOWS\system32\sysservice.exe Lade die Killbox http://www.bleepingcomputer.com/files/killbox.php #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\system32\MSOffice\services.exe O4 - HKLM\..\Run: [runspool] C:\WINDOWS\system32\service.exe-->TrojanDropper.Win32.Delf.dk ???? O4 - HKLM\..\Run: [smss32sysrunx] C:\WINDOWS\system32\sysservice.exe %srun% -->Backdoor.Delf.Family O4 - HKCU\..\Run: [expoler] C:\WINDOWS\system32\service.exe O4 - HKCU\..\Run: [datax] C:\WINDOWS\system32\sysservice.exe %srun% Oeffne die Killbox: geh auf <Delete File on Reboot kopiere rein: C:\WINDOWS\System32\AdmDll.dll ---> falls es existiert (!) C:\WINDOWS\system32\service.exe C:\WINDOWS\system32\sysservice.exe C:\WINDOWS\system32\MSOffice\services.exe und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten #Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php #BitDefender Scan www.bitdefender.com/scan/Msie/index.php #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, bzw die Dateien im abgesicherten Modus loeschen ( dann poste das neue Log noch einmal. *** http://securityresponse.symantec.com/avcenter/venc/data/backdoor.delf.family.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.12.2004 um 22:42 Uhr von Sabina editiert.
|
|
|
||
21.12.2004, 15:20
...neu hier
Themenstarter Beiträge: 5 |
||
|
||
23.12.2004, 10:58
...neu hier
Themenstarter Beiträge: 5 |
#4
Hallo,
mein Norton AntiVirus 2002 macht mir keine mehr Live Update, warum keine Ahnung, wie kann ich meiner Rechner auf Vieren Überprüfen, im Taskamager sehe ich Prozesse, die ich nicht weiß was das ist, ob die von System sind oder Vieren, oder ................... z.B (IAMAPP.exe-NISSERV.exe-NISUM.exe...........) Gruß Nour |
|
|
||
23.12.2004, 11:00
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo@Nour
ich hab keine Glaskugel, ohne das HijackThis kann ich dir nicht helfen. arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, bzw die Dateien im abgesicherten Modus loeschen ( __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.12.2004 um 11:01 Uhr von Sabina editiert.
|
|
|
||
25.12.2004, 12:07
...neu hier
Themenstarter Beiträge: 5 |
#6
Hallo Sabina,
Hier sind die Hijack Logfile: Logfile of HijackThis v1.99.0 Scan saved at 12:05:03, on 25.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Norton Internet Security\IAMAPP.EXE C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\0190WA~1\w0svc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\SymProxySvc.exe C:\Programme\Norton Internet Security\NISSERV.EXE C:\WINDOWS\System32\alg.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Paul Hannah Bach\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{3F1077C3-4932-42B0-AA59-7F812AB35095}: NameServer = 195.50.140.252 145.253.2.75 O17 - HKLM\System\CCS\Services\Tcpip\..\{B813F78E-AEB4-4373-A31F-08C16B806C1C}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{F14DDEED-B702-49A7-B38C-BFDBBBC24049}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Service - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Norton Internet Security Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe Vielen Dank |
|
|
||
25.12.2004, 13:07
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@Nour
Nach dem Scann mit mwav.exe (Escan) nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten (es kann sein, dass die Viren den Symantec und das LivUpdate zerstoert haben) Vielleicht ideinstallierst du den Virenscanner und laedst ihn dann neu ? ) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.12.2004 um 13:08 Uhr von Sabina editiert.
|
|
|
||
25.12.2004, 15:44
...neu hier
Themenstarter Beiträge: 5 |
#8
Hallo Sabina,
File C:\WINDOWS\system32\sysservice.exe infected by "I-Worm.Sober.i" VirusAction Taken: No Action Taken. File C:\WINDOWS\system32\zippedsr.piz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken. File E:\kathrin\Audilex\uninstall.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\download\Neuer Ordner\CRACK[1].CD-Windows_XP_Home_Edition_French_Crack.zip infected by "TrojanDownloader.Win32.INService.i" Virus. Action Taken: No Action Taken. File E:\System Volume Information\_restore{CB8A0516-8DD9-45DF-9416-CF1B7021AF78}\RP50\A0014356.exe infected by "not-a-virus:AdWare.Gator.3202" Virus. Action Taken: No Action Taken. File E:\System Volume Information\_restore{625C7A3E-2FE4-4E3D-9F58-61E70DC6E5E6}\RP70\A0023094.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\System Volume Information\_restore{625C7A3E-2FE4-4E3D-9F58-61E70DC6E5E6}\RP89\A0029607.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\System Volume Information\_restore{625C7A3E-2FE4-4E3D-9F58-61E70DC6E5E6}\RP92\A0032078.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\System Volume Information\_restore{625C7A3E-2FE4-4E3D-9F58-61E70DC6E5E6}\RP92\A0032151.exe tagged as not-a-virus:Tool.DOS.Restart. No Action Taken. File E:\Spiele\daten\TUSetup710.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\HTMLKURS\WEB_\AGSETUP0609.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File J:\Neuer Ordner\Modem\AMR\PCtel-A\Win9x\ptsnoop.ex_ tagged as not-a-virus:Tool.Win16.PTSnoop. No Action Taken. File J:\Neuer Ordner\Modem\AMR\PCtel-B\Win9x\ptsnoop.ex_ tagged as not-a-virus:Tool.Win16.PTSnoop. No Action Taken. File J:\Neuer Ordner\Utility\Recovery Genius\Eng\RecoveryGenius\SIMCOM.DLL infected by "Trojan.Win32.LaSta" Virus. Action Taken: No Action Taken. Sat Dec 25 15:00:00 2004 => ***** Checking for specific ITW Viruses ***** Sat Dec 25 15:00:00 2004 => Checking for Welchia Virus... Sat Dec 25 15:00:00 2004 => Checking for LovGate Virus... Sat Dec 25 15:00:00 2004 => Checking for CodeRed Virus... Sat Dec 25 15:00:01 2004 => Checking for OpaServ Virus... Sat Dec 25 15:00:01 2004 => Checking for Sobig.e Virus... Sat Dec 25 15:00:01 2004 => Checking for Winupie Virus... Sat Dec 25 15:00:01 2004 => Checking for Swen Virus... Sat Dec 25 15:00:01 2004 => Checking for JS.Fortnight Virus... Sat Dec 25 15:00:01 2004 => Checking for Novarg Virus... Sat Dec 25 15:00:01 2004 => Checking for Pagabot Virus... Sat Dec 25 15:00:01 2004 => Checking for Parite.b Virus... Sat Dec 25 15:00:01 2004 => Checking for Parite.a Virus... Sat Dec 25 15:00:01 2004 => ***** Scanning complete. ***** Sat Dec 25 15:00:01 2004 => Total Files Scanned: 120155 Sat Dec 25 15:00:01 2004 => Total Virus(es) Found: 53 Sat Dec 25 15:00:01 2004 => Total Disinfected Files: 0 Sat Dec 25 15:00:01 2004 => Total Files Renamed: 0 Sat Dec 25 15:00:01 2004 => Total Deleted Files: 0 Sat Dec 25 15:00:01 2004 => Total Errors: 6 Sat Dec 25 15:00:01 2004 => Time Elapsed: 02:42:19 Sat Dec 25 15:00:01 2004 => Virus Database Date: 2004/12/22 Sat Dec 25 15:00:01 2004 => Virus Database Count: 113231 Gruß Nour |
|
|
||
25.12.2004, 15:51
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo@Nour
W32.Sober.I@mm http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.i@mm.html -------------------------------------------------------------------------------------------- Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 KillBox http://www.bleepingcomputer.com/files/killbox.php geh auf <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\sysservice.exe C:\WINDOWS\system32\zippedsr.piz J:\Neuer Ordner\Utility\Recovery Genius\Eng\RecoveryGenius\SIMCOM.DLL VERSUCHE AUCH folgendes in die Killbox zu kopieren: C:\WINDOWS\system32\nonzipsr.noz C:\WINDOWS\system32\clonzips.ssc C:\WINDOWS\system32\clsobern.isc C:\WINDOWS\system32\sb2run.dii C:\WINDOWS\system32\winsend32.dal C:\WINDOWS\system32\winroot64.dal C:\WINDOWS\system32\winexerun.dal C:\WINDOWS\system32\winmprot.dal C:\WINDOWS\system32\dgssxy.yoi C:\WINDOWS\system32\cvqaikxt.apk C:\WINDOWS\system32\sysmms32.lla C:\WINDOWS\system32\Odin-Anon.Ger PC neustarten Loesche manuell: E:\download\Neuer Ordner\CRACK[1].CD-Windows_XP_Home_Edition_French_Crack.zip #Symantec Online Scan [nur mit IE moeglich] http://security.symantec.com/SSC/GetBrowser.asp?pkj=HHIVBMRSJRFSKLUKUMX&langid=ie&venid=sym&plfid=00&from=/ssc/lunavbrk.asp #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml dann scanne noch mal mit eScan und berichte. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.12.2004 um 16:18 Uhr von Sabina editiert.
|
|
|
||
ich habe Problem mit service.exe, es nervt, wie kann ich los werden??
Bitte Helfen!!!!!!!! was sollte ich machen.
Hier sind die Hijack Logfile:
Logfile of HijackThis v1.99.0
Scan saved at 19:27:37, on 19.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\system32\MSOffice\services.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\service.exe
C:\WINDOWS\system32\sysservice.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Paul Hannah Bach\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\system32\MSOffice\services.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [runspool] C:\WINDOWS\system32\service.exe
O4 - HKLM\..\Run: [smss32sysrunx] C:\WINDOWS\system32\sysservice.exe %srun%
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [expoler] C:\WINDOWS\system32\service.exe
O4 - HKCU\..\Run: [datax] C:\WINDOWS\system32\sysservice.exe %srun%
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B813F78E-AEB4-4373-A31F-08C16B806C1C}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F14DDEED-B702-49A7-B38C-BFDBBBC24049}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Norton Internet Security Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe
Vielen Dank
Nour