WinExplorer und Arbeitsplatz außer Gefecht -- W32/Sober.G.worm

#0
02.08.2005, 00:18
...neu hier

Beiträge: 4
#1 Hallo!
Mein Win Explorer und der direkte Zugriff auf den Arbeitsplatz sind irgendwie versperrt!
Ich weiß überhaupt nicht was ich noch machen soll!
Ich habe bereits 2 Programme drüber laufen lassen ( erst Antivir , das das gelöscht und dann free AVG ) und keins von beiden hat etwas gefunden !
Aber sobald ich versuche auf den Arbeitsplatz etwas anzuklicken ( oder auch im Explorer!) dann schließt sich nach ca. 1 min der ganze Schei... und ich steh da!
Ich kann auf keine Dateien zugreifen und finde nichts!
Bitte helft mir!

Danke!
Seitenanfang Seitenende
02.08.2005, 11:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo.lynn1977

schaffst du es, mir dieses Log zu posten????

HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2005, 16:43
...neu hier

Themenstarter

Beiträge: 4
#3 Logfile of HijackThis v1.99.1
Scan saved at 16:46:30, on 02.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\IncrediMail\bin\IncMail.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jessica\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Mercora] "C:\Programme\Mercora\MercoraClient.exe" -startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: Yahoo! Canasta - http://download.games.yahoo.com/games/clients/y/yt1_x.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/games/clients/y/mat3_x.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1632d3079600b989ff05/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122934013151
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {AD8D3C68-0C60-4B53-8A9E-BC654BBB36FE} (download_35mb_com.applet) - http://www.35mb.com/downloadapplet.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp01.photoprintit.de/microsite/customers/2363/live/activex/XUpload.ocx
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe





Ich hoffe das war jetzt richtig!
Seitenanfang Seitenende
02.08.2005, 17:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 was ist das fuer ein Programm ???????????
O4 - HKLM\..\Run: [Mercora] "C:\Programme\Mercora\MercoraClient.exe" -startup

Microsoft Windows Antispyhttp://virus-protect.org/ms.html

Schaffst du es auch noch, einen Onlinescan mit panda zu machen?(wenn der Antivirus meckert...nicht beachten)
http://virus-protect.org/onlinescan.html

dann berichte bitte, seit wann die probleme auftreten und was zu diesem Zeitpunkt eventuell am PC veraendert wurde
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2005, 18:22
...neu hier

Themenstarter

Beiträge: 4
#5 Ich habe keine Ahnung was das ist!
Unter Software ist das Ding nicht zu finden!
Lasse gerade Panda laufen! Und werde dann versuchen diese Teil zu löschen!
Seitenanfang Seitenende
02.08.2005, 18:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6

Zitat

dann berichte bitte, seit wann die probleme auftreten und was zu diesem Zeitpunkt eventuell am PC veraendert wurde

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2005, 21:50
...neu hier

Themenstarter

Beiträge: 4
#7 Seit wann das ist kann ich nicht sagen und es wurde nichts geändert!
Und dieses panda hat folgendes gefunden!
cident Status Location

Adware:adware/savenow No disinfected Windows Registry
Adware:Adware/Gator No disinfected C:\WINDOWS\Downloaded Program Files\HDPlugin1101.dll
Virus:W32/Sober.G.worm Disinfected C:\WINDOWS\system32\datsobex.wwr
Virus:W32/Sober.G.worm Disinfected C:\WINDOWS\system32\xdatxzap.zxp[xdatxzap.zip][p-zipped_file_data .pif]


Aber ich bekomme die nicht weg!
Was soll ich denn nur tun?
Seitenanfang Seitenende
02.08.2005, 21:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@lynn1977

es ist /war der Sober-G-Wurm.......
er wurde aber geloescht.
der Gator ist nicht so schlimm.

Man darf nicht alle Mails oeffnen, die so eintrudeln....... Achtung!
wie steht es? Kannst du wieder arbeiten?

Start-->Ausfuehren-->regedit

Suche unter HKEY_LOCAL_MACHINE den Eintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
logcrypt = <Pfad_zur_exe>\<exename>.exe %1

Lösche den Eintrag, sofern er existiert.
Schließe den Registrierungseditor.

PC neustarten


findest du solche Dateien???
bcegfds.lll
cvqaikxt.apk
winexpoder.dats
winzweier.dats
zhcarxxi.vvx
wincheck32.dats
datsobex.wwr

Zitat

C:\WINDOWS\system32\datsobex.wwr
xdatxzap.zxp

Zitat

C:\WINDOWS\system32\xdatxzap.zxp[xdatxzap.zip][p-zipped_file_data .pif]

Zitat

W32/Sober-G ist ein Massmailing-Wurm, der sich an E-Mail-Adressen sendet, die er auf dem infizierten Computer aufgespürt hat. Wenn er gestartet wird, kopiert er sich in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, so dass er bei der Benutzeranmeldung automatisch gestartet wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
logcrypt = <Pfad_zur_exe>\<exename>.exe %1

Wenn er erstmals ausgeführt wird, erstellt der Wurm eine TXT-Datei im Temp-Ordner und zeigt den Inhalt dieser Datei mit Hilfe von NOTEPAD.EXE an. Die Textdatei beginnt mit dem Text:

File not found
Special -UnZip Data- Module is missing
Open with Notepad?
Converted_
notepad

Der Wurm kopiert sich als EXE-Datei in den Windows-Systemordner mit einem Namen, der aus Folgenden zusammengesetzt ist:

sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32

W32/Sober-G erstellt außerdem die folgenden Dateien, um die aufgespürten Daten im Windows-Systemordner zu speichern:

bcegfds.lll
cvqaikxt.apk
datsobex.wwr
wincheck32.dats
winexpoder.dats
winzweier.dats
xdatxzap.zxp
zhcarxxi.vvx

W32/Sober-G spürt E-Mail-Adressen in Dateien auf, die folgende Erweiterungen haben:

PMR, STM, SLK, INBOX, IMB, CSV, BAK, IMH, XHTML, IMM, IMH, CMS, NWS, VCF, CTL, DHTM, CGI, PP, PPT, MSG, JSP, OFT, VBS, UIN, LDB, ABC, PST, CFG, MDW, MBX, MDX, MDA, ADP, NAB, FDB, VAP, DSP, ADE, SLN, DSW, MDE, FRM, BAS, ADR, CLS, INI, LDIF, LOG, MDB, XML, WSH, TBB, ABX, ABD, ADB, PL, RTF, MMF, DOC, ODS, NCH, XLS, NSF, TXT, WAB, EML, HLP, MHT, NFO, PHP, ASP, SHTML, DBX

Die von dem Wurm versendeten E-Mails haben folgende Merkmale:

Betreffzeilen:

hi there
hey dude!
wazzup!!!
yeah dude :p
Details
Oh God i'ts
damn!
#
Registration confirmation
Confirmation
Your Password
Your mail account
Delivery failure notice
Faulty mail delivery
Mail delivery failed
Mailing Error
Illegal signs in E-Mail
Invalid mail length
Mail Delivery failure
mail delivery status
Warning!
error in dbase
DBase Error
ups, i've got your mail
Sorry, that's your mail
why do you do that?

Texte:

I was surprised, too! :-( Who could suspect something like that?

All OK ;) see, what i've found!

hi its me i've found a shity virus on my pc. check your pc, too! follow the
steps in this article. bye

I 've told you!:-) sometime I grab your passwords!

I hope you accept the result! Follow the instructions to read the message.
Please read the document

Registration confirmation
Confirmation
Your Password
Your mail account
Your password was changed successfully.
Protected message is attached.
++++ Service: http://www.
++++ Mail To: User-info

*** Auto Mail Delivery System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said
:_554_delivery_error:_dd_Sorry_your_message_cannot_be_delivered.
_This_account_has_been_disabled_ or_discontinued_[#102]._-_mta134.mail.dcn.com
** End of Transmission The original message is a separate attachment.
--- Web: http://www.
--- Mail To: UserHelp

Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of +++ http://www. Mail

Die angehängte Datei hat einen zufällig erzeugten Namen und eine ZIP-Erweiterung.

http://www.sophos.de/virusinfo/analyses/w32soberg.html


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: