Habe Worm/Ider.A.RkitThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
29.01.2006, 19:29
...neu hier
Beiträge: 3 |
||
|
||
30.01.2006, 00:04
Ehrenmitglied
Beiträge: 29434 |
#2
st3rn
wo hast du dir das eingefangen ? Kannst du dich erinnern? stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 2 Monate ab) http://virus-protect.org/datfindbat.html Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.01.2006, 19:30
...neu hier
Themenstarter Beiträge: 3 |
#3
Ohje gute Frage... ich weiß nur noch, dass ich Emule am Laufen hatte und als sich meinen Bildschirmschoner entfernt hatte..tadaa..alles voller Werbefensterchen und Warnungen.
Also CleanUp hab' ich nun so eingestellt wie du's gesagt hattest mehr musst ich ja nicht machen.(?) Die 4 Textdateien wären: Verzeichnis von C:\WINDOWS\system32 31.01.2006 19:12 5.048 ncompat.tlb 31.01.2006 19:10 5.120 msvol.tlb 31.01.2006 19:10 10.239 hpE521.tmp 31.01.2006 18:49 10.239 hp3B52.tmp 31.01.2006 18:49 15.360 nvctrl.exe 31.01.2006 18:49 9.196 mssearchnet.exe 31.01.2006 18:49 4.286 ot.ico 31.01.2006 18:49 4.286 ts.ico 31.01.2006 18:47 21.513 ld6A79.tmp 31.01.2006 18:46 2.206 wpa.dbl 28.01.2006 23:47 102.400 replmap.dll 28.01.2006 23:45 13.885 mscornet.exe 30.10.2005 17:08 311.740 perfh009.dat 30.10.2005 17:08 40.128 perfc009.dat 30.10.2005 17:08 316.924 perfh007.dat 30.10.2005 17:08 48.354 perfc007.dat 30.10.2005 17:08 723.744 PerfStringBackup.INI Verzeichnis von C:\WINDOWS 31.01.2006 18:47 0 0.log 31.01.2006 18:46 159 wiadebug.log 31.01.2006 18:46 50 wiaservc.log 31.01.2006 18:46 2.048 bootstat.dat 29.01.2006 17:57 271 dellstat.ini 28.01.2006 21:21 95 winamp.ini 27.01.2006 21:32 54.156 QTFont.qfn 20.11.2005 20:13 17.771 wmsetup.log Verzeichnis von C:\DOKUME~1\Silvana\LOKALE~1\Temp 31.01.2006 19:10 31.692 SSLanguage.ini 27.01.2006 01:50 125 3FCA41B8.TMP 2 Datei(en) 31.817 Bytes 0 Verzeichnis(se), 5.505.208.320 Bytes frei Verzeichnis von C:\ 31.01.2006 19:15 0 sys.txt 31.01.2006 19:15 7.996 system.txt 31.01.2006 19:15 347 systemtemp.txt 31.01.2006 19:14 92.124 system32.txt 31.01.2006 18:46 402.653.184 pagefile.sys 05.02.2005 13:43 168 setupfax.log Das Ergebnis von Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 19:29:12, on 31.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\mssearchnet.exe C:\WINDOWS\System32\nvctrl.exe C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\SpywareStrike\SpywareStrike.exe C:\Programme\Dell AIO Printer A920\dlbkbmon.exe C:\WINDOWS\System32\lexpps.exe C:\Programme\ICQPlus\vplus.exe C:\Programme\SpywareStrike\SpywareStrike.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Silvana\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpE521.tmp O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F54F} (Flatcast Viewer 4.13) - http://www.flatcast.com/objects/NpFv413.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: FSMA - Unknown owner - C:\Programme\Personal Security Service\Common\FSMA32.EXE (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE Danke für die Hilfe schonmal im Voraus. MfG st3rn |
|
|
||
01.02.2006, 00:13
Ehrenmitglied
Beiträge: 29434 |
#4
st3rn
Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) SpywareStrike in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. -------------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\hpE521.tmp C:\WINDOWS\system32\hp3B52.tmp C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\ld6A79.tmp C:\DOKUME~1\Silvana\LOKALE~1\Temp\SSLanguage.ini C:\WINDOWS\system32\replmap.dll C:\WINDOWS\system32\mscornet.exe pc neustarten nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell arbeite das ab...und berichte http://virus-protect.org/artikel/bfu/spyaxebfu.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.02.2006, 00:17
...neu hier
Themenstarter Beiträge: 3 |
#5
Hey...ich glaub' die Plage is tatsächlich weg ;-)
...also das Ergebnis von RegSearch: REGEDIT4 ; Registry Search by Bobbi Flekman © 2005 ; Version: 1.0.2.4 ; Results at 01.02.2006 19:43:13 for strings: ; 'spywarestrike' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpywareStrike.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}] @="SpywareStrike" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ED9F5C8F-C607-4928-9D6C-47484E9A0FEE}\1.0] @="SpywareStrike 1.0 Type Library" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ED9F5C8F-C607-4928-9D6C-47484E9A0FEE}\1.0\0\win32] @="C:\\Programme\\SpywareStrike\\SpywareStrike.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ED9F5C8F-C607-4928-9D6C-47484E9A0FEE}\1.0\HELPDIR] @="C:\\Programme\\SpywareStrike\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareStrike.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareStrike.exe] @="C:\\Programme\\SpywareStrike\\SpywareStrike.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpywareStrike"="C:\\Programme\\SpywareStrike\\SpywareStrike.exe /h" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike] "DisplayName"="SpywareStrike 2.5" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike] "UninstallString"="C:\\Programme\\SpywareStrike\\uninst.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike] "DisplayIcon"="C:\\Programme\\SpywareStrike\\SpywareStrike.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike] "NSIS:StartMenuDir"="SpywareStrike" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike] "URLInfoAbout"="http://www.spywarestrike.com" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike] "Publisher"="SpywareStrike" [HKEY_LOCAL_MACHINE\SOFTWARE\SpywareStrike] [HKEY_USERS\S-1-5-21-1606980848-1563985344-1202660629-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\SpywareStrike] ; End Of The Log... Den Rest hab ich so befolgt wies geschrieben hattest. Als ich am Ende nochmal Etrust durchscannen hab lassen, hats noch zwei Viren gefunden, die ich aber nun gelöscht hab und ich nun hoffe, dass alles weg ist. Jedenfalls danke nochmal..wenn ich mal wieder so ein Problem habe, weiß ich ja an wen ich mich wenden kann..hehe. MfG st3rn |
|
|
||
AntiVir hat heute beim Start gemeldet, dass der Worm/Ider.A.Rkit gefunden wurde. Zusätzlich wurde plötzlich schon so n'Programm namens SpywareStrike installiert, das mich nun ständig nervt und in der Teakleiste blinkt.
Was kann ich denn dagegen tun???
Wäre für eure Hilfe wirklich dankbar!
MfG st3rn