Wurmbefall, sehr hartnäckig.... |
||
|---|---|---|
| #0
| ||
|
22.04.2005, 20:58
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
22.04.2005, 21:31
Moderator
 Beiträge: 6466 |
#2
C:\WINDOWS\System\mssecure.exe mal unter http://virusscan.jotti.org/ prüfen ! Ergebnis hier posten. Logfile-Auswertung unter www.hijackthis.de möglich. Selbst mal versuchen :o)
__________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
22.04.2005, 22:01
Member
Beiträge: 1132 |
#3
Ist eigentlich nicht nötig.
mssecure.exe = Troj/Boxed-M (Sophos) http://www.sophos.de/virusinfo/analyses/trojboxedm.html Aber einmal davon abgesehen. Wenn Du den Agobot-Wurm (=W32/Gaobot) auf Deinem Rechner hattest, dann bitte lies einmal die Beschreibung bei Sophos durch http://www.sophos.de/virusinfo/analyses/w32agobotev.html Agobot ist ein Wurm mit Backdoor-Funktionalität, d.h. Dein System ist kompromittiert und Du musst davon ausgehen, dass Deine Passwörter und Deine Daten öffentlich sind! Nimm Deine Windows-CD in die Hand, mache Format c: und setze Dein System neu auf. Lies hierzu die hervorragende Anleitung von Malkesh http://board.protecus.de/t16317.htm Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 25.04.2005 um 13:52 Uhr von Heron editiert.
|
|
|
|
|
|
|
22.04.2005, 22:01
Ehrenmitglied
 Beiträge: 6028 |
||
|
|
|
|
|
25.04.2005, 12:33
...neu hier
Themenstarter Beiträge: 3 |
#5
Hallo,
vielen Dank dafür, dass Ihr Euch bemüht mir zu helfen, Joschi, Hero, Arnold. Hero ist der Meinung, es sei sinnvoll den PC neu aufzusetzen. Ich glaube das auch. Doch in diesem Fall gehen mir die gespeicherten Mails verloren. Weiß einer von Euch wie ich die speichern und dann wieder im neu installierten Outlook einfügen kann? Viele Grüße Hugo |
|
|
|
|
|
|
25.04.2005, 16:29
Member
Beiträge: 1132 |
#6
Hallo Hugoy,
Lies Dir die Beschreibung von Ex-/Import von Mails bei Outlook Express mal in folgendem Link durch http://www.directron.com/movmail.html Oder versuche es mit dem Shareware Tool OEMaster (Kenne das Tool selbst nicht. Habe es beim Googlen gefunden. Also, Vorsicht bei der Installation! Virenprüfung!) http://www.oemaster.de/features.html Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 25.04.2005 um 16:30 Uhr von Heron editiert.
|
|
|
|
|
|
|
25.04.2005, 17:23
...neu hier
Themenstarter Beiträge: 3 |
#7
Hallo,
Danke Heron. Ich möchte es aber trotzdem noch einmal auf dem analytischen Weg versuchen. Ich bin dabei zu lernen. Die verantwortliche Datei habe ich gefunden. Sie liegt im Windows Systemordner und läßt sich nicht löschen. Ich habe gelesen, man sollte mit Stg./Alt/Entfernen die aktiven Prozesse aufrufen und den entsprechenden Prozeß anhalten. Danach könne man die Datei löschen. Doch wie finde ich den aktuellen Prozeß. Meine zu löschende Datei heißt mssecure.exe. Wie kann ich die Datei dennoch löschen. Viele Grüße Hugoy |
|
|
|
|
|
|
25.04.2005, 18:39
Member
Beiträge: 1132 |
#8
Ich würde es nicht tun! Aber auf Deine Verantwortung:
Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) O4 - HKLM\..\Run: [.mssecure] C:\WINDOWS\System\mssecure.exe O4 - HKCU\..\Run: [.mssecure] C:\WINDOWS\System\mssecure.exe Rechner neu starten Lade folgende Programme herunter und update sie AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html CWShredder http://www.majorgeeks.com/download3019.html Weiterhin herunterladen KillBox http://www.bleepingcomputer.com/files/killbox.php Öffne die Killbox => Delete File on Reboot => und kopiere die nachfolgende Datei mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "yes" C:\WINDOWS\System\mssecure.exe Führe mit AdAware, Spybot S&D und CWShredder (in dieser Reihenfolge) jeweils einen vollständigen Systemscan im abgesicherten (F8 drücken beim booten) und im Normalmodus durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken, CWShredder "Fix" drücken) Halte Dich dabei an die sehr gute Anleitung von Malkesh http://board.protecus.de/t16317.htm AdAware-VX2 Cleaner VX2 Cleaner downloaden http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml Installieren => AdAware starten => Add-ons => VX2 Cleaner => Tool ausführen => System reinigen. PC neu starten => Scan mit Ad-Aware und alle VX2-Objekte entfernen PC neu starten und erneut mit AdAware scannen, um zu überprüfen, dass alle Dateien entfernt wurden. eScan Erkennungstool http://www.mwti.net/antivirus/free_utilities.asp Lade Dir das Programm in einen leeren Ordner herunter. Mit KAVUPD.EXE das Programm updaten. Drücke Start => Ausführen => und gib %temp% in das Fenster ein => OK. Dann öffnet sich Dein Temp-Ordner. Suche die KAVUPD.EXE und doppelklicke sie => eScan wird upgedated Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten) http://www.tu-berlin.de/www/software/virus/savemode.shtml Das Programm mit "mwav.exe" starten. Überall die Häkchen setzen bei: All Files, Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories => und dann "Scan" klicken. Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten. Poste ein aktuelles HJT Log. Werte Dein Log bei www.hijackthis.de aus und überprüfe die dort als "unbekannt" angezeigten Einträge, ob Du sie kennst. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 25.04.2005 um 18:41 Uhr von Heron editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
- »
- » Wurmbefall: WORM/RBot.80503
- »
- »
- »
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich habe/hatte einen Wurmbefall: W32/Gaobot.worm.gen.j
McAfee hat den Virus erkannt und gelöscht.
Ich selbst habe die Systemwiederherstellungspunkte gelöscht. Ohne Erfolg.
Der Virenscaner kann keinen Virus mehr feststellen und doch versucht der Rechner
unentwegt Mails zu senden: z.B. Senden an: dbss79@earthlink.net
Betreff: Re: WALIUM CIAllis Vi-agra.
oder an istian@syncho.com und viele, viele solcher Adressen mehr.
hier hänge ich den Logfile von Hijackthis an.
Bitte, schaut Euch das an. Vielleicht kann mir jemand helfen?
Viele Grüsse Hugoy
Logfile of HijackThis v1.99.1
Scan saved at 20:09:36, on 22.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programme\QuickTime\qttask.exe
c:\programme\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System\mssecure.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ACD Systems\ImageFox\ImageFox.exe
D:\NkbMonitor.exe
C:\Programme\Wacom\TabUserW.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
E:\V I R E N\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.mcafee.com/root/support.asp?affid=0-9
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxAssistant] C:\Program Files\Common Files\Roxio Shared\Upgrade\RoxAssist.exe /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FRYMXINS] "C:\Programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl"
O4 - HKLM\..\Run: [FRYHIGHRES] rundll32 "C:\Programme\ATI Technologies\Fire GL Control Panel\atipmogl.dll",DetectHighResMonitor
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [.mssecure] C:\WINDOWS\System\mssecure.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SIA7] "C:\Programme\Steganos Internet Anonym 7\SIA7.exe" -boot
O4 - HKCU\..\Run: [.mssecure] C:\WINDOWS\System\mssecure.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe\Reader\reader_sl.exe
O4 - Global Startup: ImageFox.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Office XP\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = D:\NkbMonitor.exe
O4 - Global Startup: TabUserW.lnk = C:\Programme\Wacom\TabUserW.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,76/mcinsctl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4453/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA8BBF89-C6A3-4071-A2D4-9E7A0928A4C9}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{C45E2FDA-598A-4C65-821D-A412E7604CDA}: NameServer = 195.3.96.67,195.3.96.68
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: FGLRYUTIL (FGLRYUtil) - ATI Technologies, Inc. - C:\Programme\ATI Technologies\Fire GL Control Panel\atiisrgl.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: OmniForm Printer - Unknown owner - C:\WINDOWS\System32\ofps.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: V2i Protector - PowerQuest Corporation - D:\DriveImage\Agent\PQV2iSvc.exe