Riesenärger mit W32.Sober.l@amm!enc |
||
---|---|---|
#0
| ||
05.01.2005, 08:09
...neu hier
Beiträge: 3 |
||
|
||
05.01.2005, 13:52
Member
Beiträge: 45 |
#2
lade dir mal das hier runter http://vil.nai.com/vil/stinger/
und lasse es im Abgesicherten Modus durchlaufen. __________ Mfg Helpman |
|
|
||
06.01.2005, 00:46
...neu hier
Themenstarter Beiträge: 3 |
#3
So, glaub es geht wieder. Kann mal einer die Log anschauen?
Logfile of HijackThis v1.98.0 Scan saved at 23:39:55, on 06.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Dantz\Retrospect\retrorun.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\DOKUME~1\Benno\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ricardo.ch/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [MaxtorCombo] "C:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Ist da noch was verdächtig? Dieser Beitrag wurde am 06.01.2005 um 23:44 Uhr von Birri editiert.
|
|
|
||
06.01.2005, 23:50
...neu hier
Themenstarter Beiträge: 3 |
#4
Ich wäre wirklich froh, wenn das jemand anschauen kann! Das ist nun bereits der dritte Abend, an dem der Virus wieder wütet. Hab ihn vorhin entfernt und obenstehende Log von vorgestern ersetzt durch die heutige.
Surfen geht, Norton meldet zwar zwischendurch mittels kleinem Fenster unten rechts, das irgendeine TMP- Datei geprüft werden sollte, aber surfen und andere Anwendungen öffnen gehen. Das Nachrichtenfenster, das sich nicht mehr schliessen lässt, kommt aber erst, wenn ich das Outlook öffne und meine Mails runterziehe. Dann kann ich wieder von vorne beginnen (was ich mittlerweile schon mehrmals gemacht habe)! Nun, was muss ich tun, damit entlich ruhe einkehrt?? |
|
|
||
07.01.2005, 12:27
Moderator
Beiträge: 7805 |
#5
Also dein Log sieht sauber aus. vieleicht wirst du ja gerade "nur" mit Sobermails zugeschuettet und Norton prueft deine eingehenden Mails und blockt diese gleich. Zumindest der zusatz "enc" laesst das vermuten:
http://securityresponse.symantec.com/avcenter/venc/data/enc.detection.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
Riesenärger! Hab schon die halbe Nacht alles ausprobiert, will ned!
Das Teil wütet wie die Sau! Er kreiert jede Menge TMP- Dateien, vor allem im Norton Antivirus- Ordner unter Quarantine entstehen permanent Dateien. Im Incoming macht er Dateien mit AP0.tmp, AP1.tmp aufwärts bis auf AP998.tmp.
Löschen bringt nichts, werden gleich wieder hergestellt. Norton öffnet gleich nach dem Start ein Pop-off, Viruswarnmeldung und nennt die oben genannten Daten. Habe auch schon alle 999 durchgeklickt, dann beginnt er wieder von vorne.
Da dieser Virus dauernd etwas macht, ist die Leistung im Keller. Nur schon zum sich hier anmelden konnte ich mir wieder ein Kaffee rauslassen. Habe Antivir noch drüber gelassen, hat 20x angeschlagen.
Da er im Norton hockt, soll ich den mal löschen? Symantec`s Fixsober hat übrigens nix gebracht.
Hier nun meine log:
Logfile of HijackThis v1.98.0
Scan saved at 08:04:08, on 05.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Benno\LOKALE~1\Temp\Rar$EX01.245\HijackThis.exe
C:\program files\InterMute\SpySubtract\CWShredder.exe
C:\Programme\Messenger\msmsgs.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ricardo.ch/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MaxtorCombo] "C:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
Danke für die Hilfe