Habe einen Wurm; verursacht das Schließen von Anwendungen |
||
---|---|---|
#0
| ||
04.01.2005, 15:26
Member
Beiträge: 19 |
||
|
||
04.01.2005, 21:30
Moderator
Beiträge: 7805 |
#2
Schaust du hier:
Name: [Kernel32] Status: X File: Kernel32.win Added as a result of the http://securityresponse.symantec.com/avcenter/venc/data/vbs.gaggle.d.html GAGGLE.D VIRUS! http://castlecops.com/startuplist-1772.html Also das fixen: F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\winmgd.win F1 - win.ini: run=C:\WINDOWS\system32\mouse_configurator.win O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\system32\Kernel32.win O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Vieleicht solltest du mal VBS deaktivieren: http://www.symantec.com/avcenter/venc/data/win.script.hosting.html __________ MfG Ralf SEO-Spam Hunter |
|
|
Dieser Wurm ist eine HTML-Application und öffnet sich hin und wieder automatisch. In diesem Fenster wird auf Spanisch oder Portugiesisch oder einer verwandten Sprache irgendwas von Peru und einem Studio (wahrscheinlich des Erfinders, des Wurms) gesagt.
Im Startmenü ist jedesmal ein Häkchen bei "Israfel" So nennt sich der Wurm scheinbar in MsConfig....
Auch wenn ich den Wurm jedesmal nach dem Systemstart aus dem Autostart entferne, so ist er beim nächsten Systemstart mit Haken versehen.
Anbei ist die HijackThis-Logfile:
Logfile of HijackThis v1.99.0
Scan saved at 16:55:03, on 03.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Ahead\NeroNET\NeroNET.exe
C:\WINDOWS\system32\sendi.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\LENAKU~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\winmgd.win
F1 - win.ini: run=C:\WINDOWS\system32\mouse_configurator.win
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\system32\Kernel32.win
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: NeroNET - Ahead Software AG - C:\Programme\Ahead\NeroNET\NeroNET.exe
Ich hoffe, mir kann jemand weiterhelfen!