Riesenärger mit W32.Sober.l@amm!enc

#0
05.01.2005, 08:09
...neu hier

Beiträge: 3
#1 Hallo zusammen

Riesenärger! Hab schon die halbe Nacht alles ausprobiert, will ned!

Das Teil wütet wie die Sau! Er kreiert jede Menge TMP- Dateien, vor allem im Norton Antivirus- Ordner unter Quarantine entstehen permanent Dateien. Im Incoming macht er Dateien mit AP0.tmp, AP1.tmp aufwärts bis auf AP998.tmp.

Löschen bringt nichts, werden gleich wieder hergestellt. Norton öffnet gleich nach dem Start ein Pop-off, Viruswarnmeldung und nennt die oben genannten Daten. Habe auch schon alle 999 durchgeklickt, dann beginnt er wieder von vorne.

Da dieser Virus dauernd etwas macht, ist die Leistung im Keller. Nur schon zum sich hier anmelden konnte ich mir wieder ein Kaffee rauslassen. Habe Antivir noch drüber gelassen, hat 20x angeschlagen.

Da er im Norton hockt, soll ich den mal löschen? Symantec`s Fixsober hat übrigens nix gebracht.

Hier nun meine log:

Logfile of HijackThis v1.98.0
Scan saved at 08:04:08, on 05.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Benno\LOKALE~1\Temp\Rar$EX01.245\HijackThis.exe
C:\program files\InterMute\SpySubtract\CWShredder.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ricardo.ch/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MaxtorCombo] "C:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab


Danke für die Hilfe
Seitenanfang Seitenende
05.01.2005, 13:52
Member

Beiträge: 45
#2 lade dir mal das hier runter http://vil.nai.com/vil/stinger/
und lasse es im Abgesicherten Modus durchlaufen.
__________
Mfg
Helpman
Seitenanfang Seitenende
06.01.2005, 00:46
...neu hier

Themenstarter

Beiträge: 3
#3 So, glaub es geht wieder. Kann mal einer die Log anschauen?

Logfile of HijackThis v1.98.0
Scan saved at 23:39:55, on 06.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\Benno\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ricardo.ch/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MaxtorCombo] "C:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab




Ist da noch was verdächtig?
Dieser Beitrag wurde am 06.01.2005 um 23:44 Uhr von Birri editiert.
Seitenanfang Seitenende
06.01.2005, 23:50
...neu hier

Themenstarter

Beiträge: 3
#4 Ich wäre wirklich froh, wenn das jemand anschauen kann! Das ist nun bereits der dritte Abend, an dem der Virus wieder wütet. Hab ihn vorhin entfernt und obenstehende Log von vorgestern ersetzt durch die heutige.

Surfen geht, Norton meldet zwar zwischendurch mittels kleinem Fenster unten rechts, das irgendeine TMP- Datei geprüft werden sollte, aber surfen und andere Anwendungen öffnen gehen.

Das Nachrichtenfenster, das sich nicht mehr schliessen lässt, kommt aber erst, wenn ich das Outlook öffne und meine Mails runterziehe. Dann kann ich wieder von vorne beginnen (was ich mittlerweile schon mehrmals gemacht habe)!

Nun, was muss ich tun, damit entlich ruhe einkehrt??
Seitenanfang Seitenende
07.01.2005, 12:27
Moderator

Beiträge: 7805
#5 Also dein Log sieht sauber aus. vieleicht wirst du ja gerade "nur" mit Sobermails zugeschuettet und Norton prueft deine eingehenden Mails und blockt diese gleich. Zumindest der zusatz "enc" laesst das vermuten:
http://securityresponse.symantec.com/avcenter/venc/data/enc.detection.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: