Habe Worm/Ider.A.Rkit

Thema ist geschlossen!
Thema ist geschlossen!
#0
29.01.2006, 19:29
...neu hier

Beiträge: 3
#1 Hallihallo...
AntiVir hat heute beim Start gemeldet, dass der Worm/Ider.A.Rkit gefunden wurde. Zusätzlich wurde plötzlich schon so n'Programm namens SpywareStrike installiert, das mich nun ständig nervt und in der Teakleiste blinkt.
Was kann ich denn dagegen tun???

Wäre für eure Hilfe wirklich dankbar!
MfG st3rn
Seitenanfang Seitenende
30.01.2006, 00:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 st3rn

wo hast du dir das eingefangen ? Kannst du dich erinnern?

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien
. Sie sind nach Datum geordnet. (kopiere nur die letzten 2 Monate ab)
http://virus-protect.org/datfindbat.html

Hijackthis

http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.01.2006, 19:30
...neu hier

Themenstarter

Beiträge: 3
#3 Ohje gute Frage... ich weiß nur noch, dass ich Emule am Laufen hatte und als sich meinen Bildschirmschoner entfernt hatte..tadaa..alles voller Werbefensterchen und Warnungen.

Also CleanUp hab' ich nun so eingestellt wie du's gesagt hattest mehr musst ich ja nicht machen.(?)

Die 4 Textdateien wären:

Verzeichnis von C:\WINDOWS\system32

31.01.2006 19:12 5.048 ncompat.tlb
31.01.2006 19:10 5.120 msvol.tlb
31.01.2006 19:10 10.239 hpE521.tmp
31.01.2006 18:49 10.239 hp3B52.tmp
31.01.2006 18:49 15.360 nvctrl.exe
31.01.2006 18:49 9.196 mssearchnet.exe
31.01.2006 18:49 4.286 ot.ico
31.01.2006 18:49 4.286 ts.ico
31.01.2006 18:47 21.513 ld6A79.tmp
31.01.2006 18:46 2.206 wpa.dbl
28.01.2006 23:47 102.400 replmap.dll
28.01.2006 23:45 13.885 mscornet.exe
30.10.2005 17:08 311.740 perfh009.dat
30.10.2005 17:08 40.128 perfc009.dat
30.10.2005 17:08 316.924 perfh007.dat
30.10.2005 17:08 48.354 perfc007.dat
30.10.2005 17:08 723.744 PerfStringBackup.INI


Verzeichnis von C:\WINDOWS

31.01.2006 18:47 0 0.log
31.01.2006 18:46 159 wiadebug.log
31.01.2006 18:46 50 wiaservc.log
31.01.2006 18:46 2.048 bootstat.dat
29.01.2006 17:57 271 dellstat.ini
28.01.2006 21:21 95 winamp.ini
27.01.2006 21:32 54.156 QTFont.qfn
20.11.2005 20:13 17.771 wmsetup.log


Verzeichnis von C:\DOKUME~1\Silvana\LOKALE~1\Temp

31.01.2006 19:10 31.692 SSLanguage.ini
27.01.2006 01:50 125 3FCA41B8.TMP
2 Datei(en) 31.817 Bytes
0 Verzeichnis(se), 5.505.208.320 Bytes frei


Verzeichnis von C:\

31.01.2006 19:15 0 sys.txt
31.01.2006 19:15 7.996 system.txt
31.01.2006 19:15 347 systemtemp.txt
31.01.2006 19:14 92.124 system32.txt
31.01.2006 18:46 402.653.184 pagefile.sys
05.02.2005 13:43 168 setupfax.log




Das Ergebnis von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:29:12, on 31.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\nvctrl.exe
C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\SpywareStrike\SpywareStrike.exe
C:\Programme\Dell AIO Printer A920\dlbkbmon.exe
C:\WINDOWS\System32\lexpps.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\SpywareStrike\SpywareStrike.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Silvana\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpE521.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F54F} (Flatcast Viewer 4.13) - http://www.flatcast.com/objects/NpFv413.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: FSMA - Unknown owner - C:\Programme\Personal Security Service\Common\FSMA32.EXE (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Danke für die Hilfe schonmal im Voraus.

MfG st3rn
Seitenanfang Seitenende
01.02.2006, 00:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 st3rn

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpywareStrike

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

--------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hpE521.tmp
C:\WINDOWS\system32\hp3B52.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ld6A79.tmp
C:\DOKUME~1\Silvana\LOKALE~1\Temp\SSLanguage.ini
C:\WINDOWS\system32\replmap.dll
C:\WINDOWS\system32\mscornet.exe

pc neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

arbeite das ab...und berichte
http://virus-protect.org/artikel/bfu/spyaxebfu.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.02.2006, 00:17
...neu hier

Themenstarter

Beiträge: 3
#5 Hey...ich glaub' die Plage is tatsächlich weg ;-)

...also das Ergebnis von RegSearch:

REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 01.02.2006 19:43:13 for strings:
; 'spywarestrike'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpywareStrike.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}]
@="SpywareStrike"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ED9F5C8F-C607-4928-9D6C-47484E9A0FEE}\1.0]
@="SpywareStrike 1.0 Type Library"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ED9F5C8F-C607-4928-9D6C-47484E9A0FEE}\1.0\0\win32]
@="C:\\Programme\\SpywareStrike\\SpywareStrike.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ED9F5C8F-C607-4928-9D6C-47484E9A0FEE}\1.0\HELPDIR]
@="C:\\Programme\\SpywareStrike\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareStrike.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareStrike.exe]
@="C:\\Programme\\SpywareStrike\\SpywareStrike.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpywareStrike"="C:\\Programme\\SpywareStrike\\SpywareStrike.exe /h"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"DisplayName"="SpywareStrike 2.5"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"UninstallString"="C:\\Programme\\SpywareStrike\\uninst.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"DisplayIcon"="C:\\Programme\\SpywareStrike\\SpywareStrike.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"NSIS:StartMenuDir"="SpywareStrike"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"URLInfoAbout"="http://www.spywarestrike.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"Publisher"="SpywareStrike"

[HKEY_LOCAL_MACHINE\SOFTWARE\SpywareStrike]

[HKEY_USERS\S-1-5-21-1606980848-1563985344-1202660629-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\SpywareStrike]

; End Of The Log...

Den Rest hab ich so befolgt wies geschrieben hattest.

Als ich am Ende nochmal Etrust durchscannen hab lassen, hats noch zwei Viren gefunden, die ich aber nun gelöscht hab und ich nun hoffe, dass alles weg ist.

Jedenfalls danke nochmal..wenn ich mal wieder so ein Problem habe, weiß ich ja an wen ich mich wenden kann..hehe.

MfG st3rn
Seitenanfang Seitenende