Win32.Sober.Q@mm +Microsoft Update"="wystcl.exe

#0
26.05.2005, 13:07
...neu hier

Beiträge: 3
#1 Mein computer weisst eine sehr instabile sicherheit bzw. leistung auf!

was kann ich tun?

das log file sieht so aus:
Logfile of HijackThis v1.99.1
Scan saved at 13:06:33, on 26.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\System32\msclient32.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Programme\iPod\bin\iPodService.exe
C:\programme\180solutions\sais.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\System32\msxct.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msclient32.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\Run: [Client for Microsoft Networks] msclient32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\RunServices: [Microsoft Help System] mshelp32.exe
O4 - HKLM\..\RunServices: [Win32 Secure Updates] spoolvsc.exe
O4 - HKLM\..\RunServices: [*Microsoft Update] wystcl.exe
O4 - HKLM\..\RunServices: [Client for Microsoft Networks] msclient32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Help System] mshelp32.exe
O4 - HKCU\..\Run: [Win32 Secure Updates] spoolvsc.exe
O4 - HKCU\..\Run: [*Microsoft Update] wystcl.exe
O4 - HKCU\..\Run: [_WinStart] C:\WINDOWS\Connection Wizard\Status\services.exe
O4 - HKCU\..\Run: [Client for Microsoft Networks] msclient32.exe
O4 - HKCU\..\RunServices: [Microsoft Help System] mshelp32.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E38B1D49-5B56-4355-9C5D-B06C9F81949E}: NameServer = 195.3.96.68 213.33.98.136
O23 - Service: *Microsoft Update - Unknown owner - C:\WINDOWS\System32\wystcl.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

danke für die hilfe im voraus


mfg

citystar
Seitenanfang Seitenende
26.05.2005, 17:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Citystar

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\Run: [Client for Microsoft Networks] msclient32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\RunServices: [Microsoft Help System] mshelp32.exe
O4 - HKLM\..\RunServices: [Win32 Secure Updates] spoolvsc.exe
O4 - HKLM\..\RunServices: [*Microsoft Update] wystcl.exe
O4 - HKLM\..\RunServices: [Client for Microsoft Networks] msclient32.exe
O4 - HKCU\..\Run: [Microsoft Help System] mshelp32.exe
O4 - HKCU\..\Run: [Win32 Secure Updates] spoolvsc.exe
O4 - HKCU\..\Run: [*Microsoft Update] wystcl.exe
O4 - HKCU\..\Run: [_WinStart] C:\WINDOWS\Connection Wizard\Status\services.exe
O4 - HKCU\..\Run: [Client for Microsoft Networks] msclient32.exe
O4 - HKCU\..\RunServices: [Microsoft Help System] mshelp32.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O23 - Service: *Microsoft Update - Unknown owner - C:\WINDOWS\System32\wystcl.exe (file missing)

PC neustarten

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

*Microsoft Update

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:

wystcl.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

c:\program files\180solutions\sais.exe
c:\windows\otixeh.exe
c:\program files\180solutions\sais.log
c:\program files\180solutions\saisau.dat
c:\program files\180solutions\saishook.dll
c:\program files\180solutions\sais_gdf.dat
c:\program files\180solutions\sais_kyf.dat
C:\WINDOWS\System32\mshelp32.exe
C:\WINDOWS\System32\msclient32.exe
C:\WINDOWS\System32\spoolvsc.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Media Access\Info.txt
C:\Program Files\Media Access\MediaAccC.dll
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\System32\msxct.exe
C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
C:\Program Files\Windows AdStatus\WinStat.exe
C:\Program Files\Windows AdStatus\WinStatComm.dll
C:\Program Files\Windows AdStatus\WinStatKeep.exe
C:\Program Files\AdTools Service\AdTools.exe
C:\Program Files\AdTools Service\AdToolsKeep.exe
C:\Program Files\AdTools Service\AdTools.dll
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\Downloaded Program Files\istactivex.dll
C:\WINDOWS\Downloaded Program Files\ISTactivex.inf
C:\Programme\SideFind\sfbho.dll
C:\Programme\SideFind\sfbho13.dll
C:\Programme\SideFind\sidefind.dll
C:\Programme\SideFind\update\sidefind.exe
C:\Programme\SideFind\sidefind.dll
C:\WINDOWS\System32\wystcl.exe


PC neustarten

loeschen:
C:\programme\180solutions
C:\Programme\SideFind
C:\Program Files\Windows AdStatus\
C:\Program Files\AdTools Service
C:\WINDOWS\EliteToolBar
C:\Programme\BullsEye Network
C:\Program Files\Media Access\

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



#TuneUp2004 (30 Tage free)
http://virus-protect.org/reinigungstoolsregistry.html
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

•Ad-aware SE Personal 1.05 Updated

http://virus-protect.org/antispywaretools.html
Laden--> Updaten-->Konfigurieren
http://virus-protect.org/adaware.html
#VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

mache einen Onlinescan mit panda (mit dem IE) und poste, was angezeigt wird
http://virus-protect.org/onlinescan.html
+
das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.05.2005, 08:39
...neu hier

Themenstarter

Beiträge: 3
#3 REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "*Microsoft Update" 28.05.2005 08:37:24

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000]
"Service"="*Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000]
"DeviceDesc"="*Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*Microsoft Update]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*Microsoft Update]
"DisplayName"="*Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*Microsoft Update\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*Microsoft Update\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000]
"Service"="*Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000]
"DeviceDesc"="*Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\*Microsoft Update]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\*Microsoft Update]
"DisplayName"="*Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\*Microsoft Update\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000]
"Service"="*Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000]
"DeviceDesc"="*Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*Microsoft Update]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*Microsoft Update]
"DisplayName"="*Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*Microsoft Update\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*Microsoft Update\Enum]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\S-1-5-21-1957994488-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\S-1-5-21-1957994488-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"*Microsoft Update"="wystcl.exe"+

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "wystcl.exe" 28.05.2005 08:39:44

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\S-1-5-21-1957994488-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\S-1-5-21-1957994488-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"*Microsoft Update"="wystcl.exe"



Logfile of HijackThis v1.99.1
Scan saved at 09:12:44, on 28.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
c:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at/
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Help System] mshelp32.exe
O4 - HKCU\..\Run: [Win32 Secure Updates] spoolvsc.exe
O4 - HKCU\..\Run: [*Microsoft Update] wystcl.exe
O4 - HKCU\..\Run: [_WinStart] C:\WINDOWS\Connection Wizard\Status\services.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. – C

Logfile of HijackThis v1.99.1
Scan saved at 09:15:29, on 28.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at/
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Help System] mshelp32.exe
O4 - HKCU\..\Run: [Win32 Secure Updates] spoolvsc.exe
O4 - HKCU\..\Run: [*Microsoft Update] wystcl.exe
O4 - HKCU\..\Run: [_WinStart] C:\WINDOWS\Connection Wizard\Status\services.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Dieser Beitrag wurde am 28.05.2005 um 09:17 Uhr von Citystar editiert.
Seitenanfang Seitenende
28.05.2005, 15:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Citystar

Worm/Sober.gen, W32/Sober.q@MM, Win32.Sober.Q@mm,
Der Trojaner versendet rechtsradikale Spam-Emails. Der Wurm hat ein internes Triggerdatum vom 11.05.2005. Am 15.05.2005 0:00h fängt er seine Spamroutine an. 12 Tage ab Triggerdatum lädt er eine weitere Variante von sich nach. Folgend die vom Sober.Q versandten Spam-Emails:
http://www.antivir-pe.de/de/vireninfos/virenlexikon/index.html?show=1&no_cache=1&tx_ideaavviruslex_pi2[showUid]=841

Gehe in die Registry
Start-->Ausfuehren-->regedit

fettgeschriebenes loeschen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Run]
" WinStart"="C:\WINDOWS\Connection Wizard\Status\services.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Window s\CurrentVersion\Run]
" WinStart"="C:\WINDOWS\Connection Wizard\Status\services.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*Microsoft Update
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\*Microsoft Update
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*Microsoft Update

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\S-1-5-21-1957994488-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\S-1-5-21-1957994488-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"*Microsoft Update"="wystcl.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"*Microsoft Update"="wystcl.exe"+

Sollte man Probleme haben, die Einträge zu löschen,


Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.



öffne den Editor und kopiere rein:


del c:\*.tmp
del %temp%\*.tmp /f
del %windir%\prefetch\*.*
del %windir%\temp\*.* /f
del C:\dokumente und Einstellungen\*\lokale Einstellungen\temp\*.* /f


"Speichern unter" -- auf dem Desktop als: clean.bat als: "alle Dateien". Doppelklick aud die "clean.bat" file .

------------------------------

Fixe mit dem HijackThis:

O4 - HKCU\..\Run: [Microsoft Help System] mshelp32.exe
O4 - HKCU\..\Run: [Win32 Secure Updates] spoolvsc.exe
O4 - HKCU\..\Run: [*Microsoft Update] wystcl.exe
O4 - HKCU\..\Run: [_WinStart] C:\WINDOWS\Connection Wizard\Status\services.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

PC neustarten


•Antivirus (free)
http://virus-protect.org/antivirenfree.html
Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

TR/Spam.Sober.Q ist mit dem Laufzeitpacker UPX gepackt und hat eine Dateigröße 53.801 Bytes. Er wurde von AntiVir im Vorfeld mit einer generischen Signatur als Worm/Sober.gen erkannt.
TR/Spam.Sober.Q ausgeführt, erstellt er folgende Dateien:

C:\WINDOWS\Help\Help\services.exe
C:\WINDOWS\Help\Help\csrss.exe
C:\WINDOWS\Help\Help\smss.exe
C:\WINDOWS\Help\Help\sacri1.ggg (Emailadressen)
C:\WINDOWS\Help\Help\sacri2.ggg (Emailadressen)
C:\WINDOWS\Help\Help\sacri3.ggg (Emailadressen)
C:\WINDOWS\Help\Help\voner1.von (Emailadressen)
C:\WINDOWS\Help\Help\voner2.von (Emailadressen)
C:\WINDOWS\Help\Help\voner3.von (Emailadressen)
C:\WINDOWS\Help\Help\fastso.ber (0 Bytes)
C:\WINDOWS\System32\Spammer.ReadMe

mache einen Komplettscan mit dem Antivirus--> poste mir dann den Report vom Scan+ das neue Log vom HijackThis
(falls dein pc sehr langsam wird, deaktiviere die anderen Virenscanner)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: