w32.sober.0@mm macht Norton2004 Probleme

#0
20.05.2005, 10:04
...neu hier

Beiträge: 10
#1 Hallo Leute,

habe den Sober-Virus, der seit 2.05.2005 im Netz unterwegs ist über eine E-Mail bekommen. Norton hat es erkannt und auch geköscht, aber wie immer kommt ständig die Warnmeldung auch nachdem der Virus angeblich gelöscht wurde. Der Pfad liegt in der TEMP von Windows. Nach Virenscan von Symantec FixSober-Tool wurde keiner gefunden.
Deshalb hier meine HijackThis-Logfile. Könnt Ihr mir bitte sagen, was ich fixen muss oder sonst noch machen muss.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 21:42:40, on 19.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\fast.exe
C:\WINDOWS\System32\TTTimer.exe
C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\wampp2\mysql\bin\mysqld-nt.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\Programme\TerraTec\Cinergy 600 TV\TTTVRC.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\mqsvc.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Norton Utilities\SYSDOC32.EXE
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
D:\Macromedia\Flash MX 2004\Flash.exe
C:\DOKUME~1\TRINHA~1\LOKALE~1\Temp\~e5d141.tmp
C:\DOKUME~1\TRINHA~1\LOKALE~1\Temp\~e5d141.tmp
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
D:\WEBDE\SmartSurfer2.31\SmartSurfer.exe
C:\WINDOWS\system32\slrundll.exe
D:\Macromedia\Deamweaver MX 2004\Dreamweaver MX 2004\Dreamweaver.exe
C:\DOKUME~1\TRINHA~1\LOKALE~1\Temp\~e5d141.tmp
D:\Thunderbird 0.9\thunderbird.exe
C:\DOKUME~1\TRINHA~1\LOKALE~1\Temp\~e5d141.tmp
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Dokumente und Einstellungen\Tri Nhan\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Dokumente und Einstellungen\Tri Nhan\Eigene Dateien\Internet\test ordner\test\phpweb\apachecon\template\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0 Pro\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat 6.0 Pro\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat 6.0 Pro\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINDOWS\System32\TTTimer.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\TerraTec\Cinergy 600 TV\TTTVRC.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Registry Repair Pro] D:\ Registry Repair Pro\RegistryRepairPro.exe 4
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Startup: Norton System Doctor.LNK = C:\Programme\Norton Utilities\SYSDOC32.EXE
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\WINDOWS\System32\shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E2DC076-F3FE-40A2-937B-7E836DF877B3}: NameServer = 62.52.50.195 193.189.244.205
O20 - Winlogon Notify: MCPClient - C:\Programme\Common files\Stardock\MCPStub.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: MySql - Unknown owner - C:\wampp2\mysql\bin\mysqld-nt (file missing)
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Schon mal danke für eure Hilfe.
Seitenanfang Seitenende
20.05.2005, 13:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@tschifu

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.05.2005, 15:46
...neu hier

Themenstarter

Beiträge: 10
#3 Hallo Sabina,

ich habe mit CCleaner alle TEMPs gelöscht. Das Problem besteht trotzdem.
Bringt die Log von HijackThis nix? Hoffe du kannst mir weiter helfen.
Vielen Dank.

Nach mehrmaligen Neustart hat es dann funktioniert. Keine Virus-Detection von NA2004.
Danke für deine Hilfe.
Dieser Beitrag wurde am 23.05.2005 um 09:06 Uhr von tschifu editiert.
Seitenanfang Seitenende
22.05.2005, 13:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Sober-Removal-Tool runterladen und laufen lassen;)im Normalmodus+ abgesichertem Modus)
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: