Habe einen Wurm; verursacht das Schließen von Anwendungen

#0
04.01.2005, 15:26
Member

Beiträge: 19
#1 Meine Schwester hat sich irgendwie diesen Wurm eingefangen und ich weiß nicht, wie ich ihn entfernen kann, da er (wie die meisten Viren/Würmer etc) nicht manuell zu löschen sind...
Dieser Wurm ist eine HTML-Application und öffnet sich hin und wieder automatisch. In diesem Fenster wird auf Spanisch oder Portugiesisch oder einer verwandten Sprache irgendwas von Peru und einem Studio (wahrscheinlich des Erfinders, des Wurms) gesagt.
Im Startmenü ist jedesmal ein Häkchen bei "Israfel" So nennt sich der Wurm scheinbar in MsConfig....
Auch wenn ich den Wurm jedesmal nach dem Systemstart aus dem Autostart entferne, so ist er beim nächsten Systemstart mit Haken versehen.

Anbei ist die HijackThis-Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 16:55:03, on 03.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Ahead\NeroNET\NeroNET.exe
C:\WINDOWS\system32\sendi.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\LENAKU~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\winmgd.win
F1 - win.ini: run=C:\WINDOWS\system32\mouse_configurator.win
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\system32\Kernel32.win
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: NeroNET - Ahead Software AG - C:\Programme\Ahead\NeroNET\NeroNET.exe

Ich hoffe, mir kann jemand weiterhelfen!
Seitenanfang Seitenende
04.01.2005, 21:30
Moderator

Beiträge: 7804
#2 Schaust du hier:

Name: [Kernel32]
Status: X
File: Kernel32.win

Added as a result of the http://securityresponse.symantec.com/avcenter/venc/data/vbs.gaggle.d.html GAGGLE.D VIRUS!
http://castlecops.com/startuplist-1772.html

Also das fixen:

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\winmgd.win
F1 - win.ini: run=C:\WINDOWS\system32\mouse_configurator.win
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\system32\Kernel32.win
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Vieleicht solltest du mal VBS deaktivieren:
http://www.symantec.com/avcenter/venc/data/win.script.hosting.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: