wie entfernt man w32.spybot.worm?

Thema ist geschlossen!
Thema ist geschlossen!
#0
20.03.2005, 00:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#136 Hallo@Bobi

Trojan.Webus.D
Opens a backdoor by connecting to one of the following predefined IRC servers on TCP port 1088:
* serv.gigaset.org
* gimp.robobot.org

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
<--Trojan.Webus.D
O17 - HKLM\System\CCS\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A424F32-C9FE-499C-A339-B82A11438125}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B89786E-F34B-4454-94B2-B7C352A8EFDA}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1650842-12A5-4267-9788-20BC0C65FE6D}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CS2\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CS3\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Windows\system32\dllhost32.exe
C:\WINDOWS\system\lsvchost.exe
C:\WINDOWS\System32\userinit32.exe

PC neustarten

download the trial version of tds-3 anti trojan from here:
http://www.diamondcs.com.au/tds/downloads/tds3setup.exe
install it, but do not launch it yet

update it: right click the link below, select "save as"
http://www.diamondcs.com.au/tds/radius.td3

save it to the directory where you installed tds-3, overwriting the previous radius.td3.

then launch tds-3. in the top bar of tds window click system testing> full system scan.
detections will appear in the lower pane of tds window. after the scan is finished ( it'll take a while ) right click the list> select save as txt. save it and post the contents of the scandump.txt here
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.03.2005, 01:58
...neu hier

Beiträge: 4
#137 Hallo @Sabina

Hier das Ergebniss von tds-3
das Programm hat was gefunden:

Scan Control Dumped @ 01:55:06 20-03-05
Positive identification: Riskware.Tool.Destart
File: c:\windows\system32\tools\restart.exe
Seitenanfang Seitenende
20.03.2005, 11:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#138 Hallo@Bobi

Der Trojaner Webus.D hat einen Mutex:
"3586E64A-W323-121E-BFC6-083C2BF2S511", to ensure that only one instance of the Trojan is running on the compromised system.
Leider hat das Tool ihn nicht angezeigt. Also musst du weiter suchen.....

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten modus und scanne dort !!!
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

und nun alles rauskopieren, was angezeigt wird-->

http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/

berichte von den Onlinescanns und poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.03.2005, 12:06
...neu hier

Beiträge: 4
#139 Hallo Sabina

Hab den unteren Text geschrieben bevor ich dein geändertes posting gelesen habe.
Heisst das dieser Wurm ist noch immer auf meinem Rechner ?

Ich werde jetzt die Schritte durchgehen die Du oben geschrieben hast


*********************************************************
Hallo @Sabina

Zuerst mal vielen Dank für Deine Hilfe .....

Ich habe heute früh die Datei
File: c:\windows\system32\tools\restart.exe
gelöscht.

Seid dem wird nichts mehr angezeigt,
habe meinen Norton drübergelassen und die Onlinescans,
es wurde nichts mehr erkannt.

Hier meine LogFiles:
Logfile of HijackThis v1.99.1
Scan saved at 12:01:41, on 20.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explore


r v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\R&C-Trading\Eigene Dateien\Programme\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B89786E-F34B-4454-94B2-B7C352A8EFDA}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1650842-12A5-4267-9788-20BC0C65FE6D}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CS2\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CS3\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Ist in den LogFiles noch was zu erkennen ?


Sabina, welche Software könnte ich noch installieren damit der PC in Zukunft sicher bleibt, oder zumindestens die Sicherheit erhöht wird.


Danke
Dieser Beitrag wurde am 20.03.2005 um 12:15 Uhr von Bobi editiert.
Seitenanfang Seitenende
20.03.2005, 13:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#140 Bobi

Alles noch da:

Gehe in die Registry

Start<Ausfuehren<regedit

bearbeiten--> suchen--> userinit32.exe

loesche mit rechtsklick: userinit32.exe , was du findest, aber nur das, nichts anderes (!)

zum Beispiel:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = loesche diesesn Eintrag mit rechtsklick:"C:\Windows\system32\userinit32.exe"

schliesse die Registry

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B89786E-F34B-4454-94B2-B7C352A8EFDA}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1650842-12A5-4267-9788-20BC0C65FE6D}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CS2\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CS3\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35

NEUstarten

loeschen: C:\Windows\System32\userinit32.exe

suchen--> ob es das gibt:

c:\funny.exe
C:\Windows\System32\bsfirst2.log
C:\Windows\System32\mmsystem.dll

•Beispiel HOSTFILE:
öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->save Log
lösche alles , lasse nur stehen:
127.0.0.1 localhost

•Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

•L2mfix
Laden Sie L2mfix von hier herunter:
http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe

• Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.

• Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.

• Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix

• Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1[/] und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.

• Kopieren Sie den Inhalt (oder einfach mit der Maus abkopieren)
oder:
durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden![/color]

• Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> Enter[].

• Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.

• Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.

• L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

• Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].

• Dies stellt die Winlogon Standardeinstellungen wieder her.

• Posten Sie einen aktuellen HijackThis Log erneut in Ihren Thread ein.



•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten modus und scanne dort !!!
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

und nun alles rauskopieren, was angezeigt wird-->

________________________________________________________________-

Wird Worm/MSN.Funner ausgeführt, kopiert dieser sich nach

\%SystemDIR%\IEXPLORE.EXE

\%SystemDIR%\EXPLORE.EXE

\%SystemDIR%\userinit32.exe

\%WinDIR%\rundll32.exe

c:\funny.exe
und erstellt eine LOG Datei unter

\%System%DIR\bsfirst2.log
Worm/MSN.Funner legt folgende Registry Einträge an:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon\
"Userinit"="userinit32.exe,"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\
"MMSystem"="%WinDIR%\rundll32.exe "%SystemDIR%\mmsystem.dll"", RunDll32"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce\
"MMSystem"="%WinDIR%\rundll32.exe "%SystemDIR%\mmsystem.dll"", RunDll32"

HKEY_CURRENT_USER\Software\Microsoft\W indows\CurrentVersion\Run\
"MMSystem"="%WinDIR%\rundll32.exe "%SystemDIR%\mmsystem.dll"", RunDll32"
Ebenfalls erstellt er folgenden Eintrag in der SYSTEM.INI von Windows an, damit er beim nächsten automatisch Systemstart ausgeführt wird.

Shell = %SystemDIR%\explorer.exe
Worm/MSN.Funner sendet die im C:\ Root abgelegte Datei FUNNY.EXE an alle im Windows Messenger aufgeführten Kontakte. Der Wurm ist in der Lage von der Webseite www.78p.com ausgewählte Komponenten downzuloaden und nachzuladen.
Er fügt folgende Einträge in die Windows Hosts Datei hinzu:
http://www.hbedv-antivirus.com/ken/vireninfos/msn_funner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.03.2005, 13:42
...neu hier

Beiträge: 3
#141 Hallo Sabina,

es hat nun zwar einige Zeit gedauert deine Anweisungen durchzuführen, hier nun das Ergebnis:

Habe eScan durchgeführt, jedoch anschließend die mwav.txt nirgendswo gefunden. Anstatt dessen habe ich aus dem scan alle infected rauskopiert und diese mit der killbox gelöscht. Diese waren:

Thu Mar 17 20:23:21 2005 => File C:\WINDOWS\system32\syshost.exe infected by "Exploit.Win32.DCom.dt" Virus. Action Taken: No Action Taken.
Thu Mar 17 20:39:28 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Mar 17 21:13:25 2005 => File D:\Programme\Navnt\Quarantine\15793C7A.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken.
Thu Mar 17 21:13:25 2005 => File D:\Programme\Navnt\Quarantine\16C46389.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Thu Mar 17 21:13:25 2005 => File D:\Programme\Navnt\Quarantine\4AD73200.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken.
Thu Mar 17 21:13:25 2005 => File D:\Programme\Navnt\Quarantine\62633CF4.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken.
Thu Mar 17 21:13:26 2005 => File D:\Programme\Navnt\Quarantine\6327141C.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken.
Thu Mar 17 21:13:26 2005 => File D:\Programme\Navnt\Quarantine\6337660A.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken.
Thu Mar 17 21:13:26 2005 => File D:\Programme\Navnt\Quarantine\637259C9.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken.
Thu Mar 17 21:13:26 2005 => File D:\Programme\Navnt\Quarantine\63C71D6C.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken.
Thu Mar 17 21:13:27 2005 => File D:\Programme\Navnt\Quarantine\669C064E.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken.
Thu Mar 17 21:16:38 2005 => File D:\Software\gozilla.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken.
Thu Mar 17 21:45:59 2005 => File E:\Programme\GETRIGHT_45\GETRIGHT_45A\GETRIGHT_45A.EXE infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken.
Thu Mar 17 21:46:03 2005 => File E:\Programme\GETRIGHT_45\GETRIGHT_45B\GETRT45B.EXE infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken.
Thu Mar 17 21:46:08 2005 => File E:\Programme\GETRIGHT_45\GETRIGHT_45C\GETRT45C.EXE infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken.

Thu Mar 17 22:21:31 2005 => ***** Scanning complete. *****

Thu Mar 17 22:21:31 2005 => Total Files Scanned: 70984
Thu Mar 17 22:21:31 2005 => Total Virus(es) Found: 16
Thu Mar 17 22:21:31 2005 => Total Disinfected Files: 0
Thu Mar 17 22:21:31 2005 => Total Files Renamed: 0
Thu Mar 17 22:21:31 2005 => Total Deleted Files: 0
Thu Mar 17 22:21:31 2005 => Total Errors: 41
Thu Mar 17 22:21:31 2005 => Time Elapsed: 01:56:19
Thu Mar 17 22:21:31 2005 => Virus Database Date: 2005/03/11
Thu Mar 17 22:21:31 2005 => Virus Database Count: 121166

Thu Mar 17 22:21:31 2005 => Scan Completed.


Anschließend habe ich wie Du beschrieben hast, versucht, online-scans durchzuführen. Mit meinem Modem war dies jedoch fast nicht möglich. Zudem wurde der Computer 2-mal automatisch heruntergefahren und neu gestartet. Diesen Vorgang konnte ich auch nicht unterbinden. Nach 3 Stunden gab ich auf.
Während den 3 Stunden kam von meiner firewall 2 mal die Meldung, dass eine Windows-Teilkomponente versucht auf das Internet zuzugreifen. Dies habe ich auf Empfehlung meiner firewall zugelassen.

Anschließend updatete ich Norton und Antivir.
Antivir hat dann auch gleich folgende Viren gefunden:

syshost.exe und Micro-128(C)-Virus

Beide wurden von Antivir im abgesicherten Modus entfernt.
Der Norton scan hat nichts mehr gefunden.

Als ich den Rechner nun neu gestartet und versucht habe eScan nochmals upzudaten erkennt doch Norton schon wieder den w32.spybot.worm und kann Ihn nicht löschen. Habe dann mit e-Scan nochmals gescannt und bekam folgende Meldung:

File C:\WINDOWS\system32\syshost.exe infected by "Exploit.Win32.DCom.dt" Virus. Action Taken: No Action Taken.

File E:\Programme\DivXPro5GAINBundle.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Programme\vnc-3.3.6-x86_win32.zip tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.

Anschließend habe ich wieder syshot.exe mit der killbox gelöscht und mit hijack das logfile generiert:

Logfile of HijackThis v1.99.1
Scan saved at 12:12:05, on 20.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\Navnt\navapsvc.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
D:\PROGRA~1\Navnt\npssvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Norton Personal Firewall\SymProxySvc.exe
D:\Programme\Norton Personal Firewall\NISSERV.EXE
D:\PROGRA~1\Navnt\alertsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
D:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\FotoNation\EvLstnr.exe
D:\Programme\Real\RealPlayer\RealPlay.exe
D:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Programme\Navnt\navapw32.exe
D:\Programme\Norton Personal Firewall\ATRACK.EXE
D:\Programme\WinRAR\WinRAR.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\DOKUME~1\Kristina\LOKALE~1\Temp\Rar$EX87.433\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O1 - Hosts: 72.36.130.226 ibank.barclays.co.uk
O1 - Hosts: 72.36.130.226 online-business.lloydstsb.co.uk
O1 - Hosts: 72.36.130.226 online.lloydstsb.co.uk
O1 - Hosts: 72.36.130.226 www.halifax-online.co.uk
O1 - Hosts: 72.36.130.226 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 72.36.130.226 www.nwolb.com
O1 - Hosts: 72.36.130.226 banesnet.banesto.es
O1 - Hosts: 72.36.130.226 extranet.banesto.es
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EVENTLISTENER] C:\Programme\Gemeinsame Dateien\FotoNation\EvLstnr.exe
O4 - HKLM\..\Run: [RealTray] D:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [NPS Event Checker] D:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = ?
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = D:\Programme\Navnt\navapw32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C143B4A-AAB0-46F4-99B3-9C62C30F4BEE}: NameServer = 195.71.231.99 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NAV Alert - Symantec Corporation - D:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - D:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - D:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - D:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Program Scheduler - Symantec Corporation - D:\PROGRA~1\Navnt\npssvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - D:\Programme\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Bis jetzt bekomme ich noch keine Meldung von Norton, warte jedoch darauf, dass dies wieder passiert.

Was soll ich nun machen?
Ist es am besten, den kompletten Rechner neu zu installieren ? (darauf habe ich eigentlich keine Lust)
Seitenanfang Seitenende
20.03.2005, 13:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#142 sigi73

öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)
lösche alles , lasse nur stehen:
127.0.0.1 localhost

W32.Francette.Worm
W32.Francette.Worm is a worm that exploits the DCOM RPC vulnerability (described in Microsoft Security Bulletin MS03-026) using TCP port 135, as well as the Microsoft IIS Web Server Folder Traversal vulnerability (described in Microsoft Security Bulletin MS00-078). The existence of the file syshost.exe is an indication of a possible infection.
http://securityresponse.symantec.com/avcenter/venc/data/w32.francette.worm.html


Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen


http://www.firewallleaktester.com/wwdc.htm

DCOM--> schliessen



Laden Sie die Trial Version von tds-3 anti trojan von hier runter:

http://www.diamondcs.com.au/tds/downloads/tds3setup.exe
tds-3 anti trojan. Installieren Sie es, aber starten Sie es noch nicht.

#Machen Sie ein Update.
http://www.diamondcs.com.au/tds/radius.td3

#Um das Update durchzuführen --> [Rechts-klick] --> speichern
unter speichern Sie es in den Zielpfad in dem Sie tds-3 zuvor
installiert haben. Uppdate radius.td3
(Die vorherige Datei radius.td3.wird so ueberschrieben )

#Starten Sie dann tds-3. In dem oberstem Balkem im tds Fenster,
klicken Sie auf System testing --> full system scan

#Eventuelle Malware werden in dem unteren Abschnitt des tds Fensters erscheinen.
Wenn der Scan beendet wurde (es wird eine Weile dauern), [Rechts-klick] auf der Liste und speichern Sie es alst *.txt Datei (Text Datei).
#Posten Sie den Inhalt der scandump.txt Datei in Ihrem begonnenen Thread mit post reply.
____________________________________________________________________

Gehe in die Rgistry

Start<Ausfuehren<<regedit

bearbeiten--> suchen-->

syshost.exe

loesche alle Eintraege mit rechtsklick, die du dazu findest (aber nur die)

schliesse die Registry

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten --> falls es noch vorhanden ist.....

O1 - Hosts: 72.36.130.226 ibank.barclays.co.uk
O1 - Hosts: 72.36.130.226 online-business.lloydstsb.co.uk
O1 - Hosts: 72.36.130.226 online.lloydstsb.co.uk
O1 - Hosts: 72.36.130.226 www.halifax-online.co.uk
O1 - Hosts: 72.36.130.226 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 72.36.130.226 www.nwolb.com
O1 - Hosts: 72.36.130.226 banesnet.banesto.es
O1 - Hosts: 72.36.130.226 extranet.banesto.es
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe

neustarten

öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)
lösche alles , lasse nur stehen:
127.0.0.1 localhost

•Aktuelle Version der Shareware von F-PROT (DOS)
Lade von dieser Seite:
http://www.f-prot.com/products/corporate_users/dos/


Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt.


loesche mit der Killbox:
C:\WINDOWS\system32\syshost.exe
und was tds-3 angezeigt hat (ich hoffe, das Tool findet den Rootkit)

öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)
lösche alles , lasse nur stehen:
127.0.0.1 localhost

dann berichte....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.03.2005, 17:38
...neu hier

Beiträge: 4
#143 Hallo @Sabina

Start<Ausfuehren<regedit
bearbeiten--> suchen--> userinit32.exe

Konnte michts gefunden werden


suchen--> ob es das gibt:
c:\funny.exe
C:\Windows\System32\bsfirst2.log
C:\Windows\System32\mmsystem.dll


Es konnten diese 2 Dateien gefunden werden:
C:\Windows\System32\mmsystem.dll
C:\Windows\System\MMSYSTEM.DDL



Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml


Hat das gefunden:
C:\WINDOWS\system32\lassa32f.exe
Trojan-Proxy.Win32.Agent.cw



•eScan-Erkennungstool
Hat das gefunden:
Sun Mar 20 15:26:02 2005 => File C:\WINDOWS\system32\lassa32f.exe infected by "Trojan-Proxy.Win32.Agent.cw" Virus. Action Taken: No Action Taken.
Sun Mar 20 15:08:35 2005 => File C:\WINDOWS\system32\lassa32f.exe infected by "Trojan-Proxy.Win32.Agent.cw" Virus. Action Taken: No Action Taken.
Sun Mar 20 14:52:47 2005 => File C:\System Volume Information\_restore{DA04842F-F8AD-46A3-9242-8637EF7FC837}\RP2\A0000090.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Sun Mar 20 14:52:46 2005 => File C:\System Volume Information\_restore{DA04842F-F8AD-46A3-9242-8637EF7FC837}\RP2\A0000089.exe infected by "Trojan-Proxy.Win32.Agent.cw" Virus. Action Taken: No Action Taken.
Sun Mar 20 14:31:54 2005 => File C:\WINDOWS\System32\lassa32f.exe infected by "Trojan-Proxy.Win32.Agent.cw" Virus. Action Taken: No Action Taken.




Sabina hat das ganze noch einen Sinn ?

Erst war irgend ein w32.spybot.worm drauf dann
Trojan.Webus.D und jetzt
Trojan-Proxy.Win32.Agent.cw


MfG
Seitenanfang Seitenende
20.03.2005, 18:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#144 Hallo@Bobi

loesche mit der Killbox:

----------------------------------------------------------------------------------------------------------------------------------------
c:\funny.exe
C:\Windows\System32\userinit32.exe
C:\Windows\System32\bsfirst2.log
C:\System Volume Information\_restore{DA04842F-F8AD-46A3-9242-8637EF7FC837}\RP2\A0000089.exe
C:\System Volume Information\_restore{DA04842F-F8AD-46A3-9242-8637EF7FC837}\RP2\A0000090.exe
C:\Windows\System32\mmsystem.dll
C:\Windows\System\MMSYSTEM.DDL
C:\WINDOWS\system32\lassa32f.exe

neustarten

•L2mfix
Laden Sie L2mfix von hier herunter:
http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe

• Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.

• Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.

• Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix

• Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1[/] und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.

• Kopieren Sie den Inhalt (oder einfach mit der Maus abkopieren)
oder:
durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden![/color]

• Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> Enter[].

• Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.

• Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.

• L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

• Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].

• Dies stellt die Winlogon Standardeinstellungen wieder her.

• Posten Sie einen aktuellen HijackThis Log erneut in Ihren Thread ein.



scanne noch mal mit escan ;) + poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.03.2005, 00:00
...neu hier

Beiträge: 6
#145 Hallo zusammen, hallo Sabina,

mein PC spinnt auch seit einigen Tagen. Ich hab mittlerweile auch schon wieder alles neu aufgesetzt, aber irgend eine KLeinigkeit scheint immer noch auf meinem rechner vorhanden zu sein, was mich nur Weißglut bringt.

Hier mein Log:
Logfile of HijackThis v1.99.1
Scan saved at 00:02:43, on 21.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\PowerDVD\PDVDServ.exe
C:\Programme\CpuIdle\cpuidle.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Dokumente und Einstellungen\Enrico\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111098999312
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{52415816-5B11-4C03-B0EF-EDF523FD3FDE}: NameServer = 195.50.140.250 145.253.2.174
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


DANKE schonmal vorab für die hilfe!!
Seitenanfang Seitenende
21.03.2005, 10:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#146 Hallo@enrique

das HijackTHis zeigt nichts an (das will jedoch nichts besagen)

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten modus und scanne dort !!!
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.03.2005, 22:08
...neu hier

Beiträge: 6
#147 So, folgendes hat das ganze ergeben:

Mon Mar 21 21:14:12 2005 => Scanning File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000765.dll
Mon Mar 21 21:14:12 2005 => File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000765.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken.

Mon Mar 21 21:14:12 2005 => Scanning File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000766.exe
Mon Mar 21 21:14:12 2005 => File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000766.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken.

Mon Mar 21 21:14:12 2005 => Scanning File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000767.dll
Mon Mar 21 21:14:12 2005 => File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000767.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken.

Mon Mar 21 21:14:12 2005 => Scanning File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000768.exe
Mon Mar 21 21:14:12 2005 => File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000768.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken.

Mon Mar 21 21:14:12 2005 => Scanning File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000769.dll
Mon Mar 21 21:14:12 2005 => File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000769.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken.

Scheint doch gar nicht sooo wild zu sein, oder?


Folgendes stand im eScan-Virus Log Information-Fenster noch:
File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000765.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000766.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000767.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000768.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000769.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.

Danke mal wieder!!
Dieser Beitrag wurde am 21.03.2005 um 22:09 Uhr von enrique editiert.
Seitenanfang Seitenende
21.03.2005, 23:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#148 Hallo@enrique

es reicht, dass du die Systemwiederherstellung deaktivierst, dann wieder aktivieren ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2005, 09:16
...neu hier

Beiträge: 3
#149 Hallo Sabina,

habe deine Anweisungen zu 80% umsetzen können.

Nun komme ich jedoch nicht mehrs ins Internet( sitze gerade an einem anderen Rechner).

Denke mal dass das Problem an dem löschen aller Einträge mit HijackThis im file Manager zusammenhängt. Bei mir gab es den Eintrag 127.0.0.1 localhost gar nicht. Habe demzufolge alles was dort stand gelöscht.

Ich kann mich nun zwar noch mit dem smartsurfer ins Internet einwählen, jedoch gibt mir mein firefox ständig folgende Meldung:

Beim Versuch ..... zu kontaktieren, wurde die Verbindung zurückgesetzt.

Was soll ich machen?



Habe nun alle Datei
Seitenanfang Seitenende
22.03.2005, 10:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#150 Hallo@sigi73

# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 10.54.9x.97 rhino.acme.com # Quellserver
# 38.2x.6.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

das darf man nicht loeschen !

Gehe auf "Config"-->Backups--> restore (im HijackThis)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: