Lovegate.ad habe einen Wurm

Thema ist geschlossen!
Thema ist geschlossen!
#0
23.02.2006, 19:51
...neu hier

Beiträge: 5
#1 hallo

ich hab folgendes problem ich habe einen wurm namens lovegate.ad und weiß nicht wie ich den entfernen kann vielleicht kann mir wer helfen?

lg
nicki
Seitenanfang Seitenende
24.02.2006, 16:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Doofal023

scanne mit kaspersky und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
+
hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.02.2006, 17:05
...neu hier

Themenstarter

Beiträge: 5
#3 hier mein hijackthis report....

Logfile of HijackThis v1.99.1
Scan saved at 16:59:42, on 24.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Desktop Sidebar\dsidebar.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\system32\wscntfy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.chello.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.chello.at/autoconfig/deat.ins
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0765310F-34D3-47AE-A21E-0AC9D83C01BB} - C:\windows\system32\lz3232.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\windows\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.chello.at/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136916801953
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.180.109.233/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\windows\system32\lxcccoms.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

und mein kaspersky scan report...

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, February 24, 2006 4:58:16 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 24/02/2006
Kaspersky Anti-Virus database records: 167499
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\windows
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\

Scan Statistics:
Total number of scanned objects: 11809
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 00:19:40

Infected Object Name / Virus Name / Last Action
C:\windows\system32\lz3232.dll Infected: Trojan-Downloader.Win32.Small.cgu skipped

Scan process completed.
Seitenanfang Seitenende
24.02.2006, 17:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Doofal023

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked

O2 - BHO: (no name) - {0765310F-34D3-47AE-A21E-0AC9D83C01BB} - C:\windows\system32\lz3232.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylomgames.com/activex/zylomgamesplayer.cab


KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html

von hier aus reinkopieren:

C:\windows\system32\lz3232.dll

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes

PC neustarten

deinstallieren
C:\Programme\Desktop Sidebar

dann muesste wieder alles in Ordnung sein...dennoch, scanne noch mit panda und berichte
http://virus-protect.org/onlinescan.html

-------------------------------

wenn alles abgearbeitet ist, laden den browser Firefox und surfe nur noch mit ihm
http://virus-protect.org/firefox.html
(der IE bleibt fuer die Onlinescans+ die Windowsupdates)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2006, 00:24
...neu hier

Themenstarter

Beiträge: 5
#5 So ich habe jetzt das was du gesagt hast gemacht ich habe ja gestern schon den online scan symantech durchrennen lassen und dabei ist ja das raus gekommen:

C:\WINDOWS\system32\lz3232.dll is infected with Downloader.Trojan
C:\WINDOWS\system32\rk.exe is infected with Spyware.Marketscore
C:\WINDOWS\system32\rlls.dll is infected with Spyware.Marketscore


Dann habe ich ja das was du alles gsagt hast gemacht und habe den symantech jetzt noch mal durchrennen lassen und dabei hat er noch die 2 anderen von gestern gefunden wie bekomm ich denn die noch weg auch mit der killbox? Und beim panda wie ich denn jetzt durchrennen lassen habe hat er mit angezeigt das ich 39 spyware habe und 2 hacking tools and potentially unwanted tools wie beseitige ich die noch?

Hier der scan report vom panda

Incident Status Location

Adware:adware/wupd Not disinfected C:\WINDOWS\SYSTEM32\ide21201.vxd
Spyware:spyware/marketscore Not disinfected C:\WINDOWS\SYSTEM32\rk.exe
Spyware:spyware/new.net Not disinfected C:\WINDOWS\NDNuninstall6_38.exe
Adware:adware/surfaccuracy Not disinfected C:\PROGRAMME\SurfAccuracy
Potentially unwanted tool:application/mywebsearch Not disinfected HKEY_CLASSES_ROOT\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}
Adware:adware/powerscan Not disinfected Windows Registry
Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a8ciri4v.default\cookies.txt[]
Spyware:Cookie/HotLog Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@hotlog[2].txt
Potentially unwanted tool:Application/FunWeb Not disinfected C:\Programme\backups\backup-20050827-104713-776.inf
Adware:Adware/Redswoosh Not disinfected C:\Programme\backups\backup-20050827-104714-527.dll
Spyware:Spyware/New.net Not disinfected C:\WINDOWS\NDNuninstall6_38.exe
Adware:Adware/Redswoosh Not disinfected C:\WINDOWS\RSEDNClientUninstaller.exe
Spyware:Spyware/MarketScore Not disinfected C:\WINDOWS\system32\rk.exe
Und dann habe ich noch den anti virus durchrennen lassen der hat mir wieder angezeigt...

C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\TMP1450.TMP
Enthält Signatur des Wurmes WORM/Lovgate.ad

Was mach ich nur das ich das los werde?
Seitenanfang Seitenende
25.02.2006, 00:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Start-->Ausfuehren--> regedit

Bearbeiten --> suchen --> red swoosh / rsnet edn

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rsnet edn <--loeschen

--------------------------------------------------------------------------

Wende CleanUp an
http://virus-protect.org/cleanup.html

loesche mit der killbox:
C:\WINDOWS\SYSTEM32\ide21201.vxd
C:\WINDOWS\SYSTEM32\rk.exe
C:\WINDOWS\system32\rlls.dll
C:\WINDOWS\system32\lz3232.dll
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\TMP1450.TMP
C:\WINDOWS\SYSTEM32\sporder.dll
C:\WINDOWS\NDNuninstall6_38.exe

PC neustarten

deinstalliere
C:\PROGRAMME\SurfAccuracy
C:\Programme\RSSoft\RSEDNClient.exe
C:\Programme\RSSoft

manuell loeschen:
C:\installer.txt
C:\WINDOWS\RSEDNClientUninstaller.exe

counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2006, 03:07
...neu hier

Themenstarter

Beiträge: 5
#7 hier der scan vom CounterSpy

Anhang: C.doc
Seitenanfang Seitenende
25.02.2006, 10:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 LDoofal023

oesche bitte den gesamten Muell, der sich auf dem PC befindet .....Messenger Plus! --> Adware Bundler, KaZaA P2P ... ..usw....

Zitat

MyWebSearch Toolbar Potentially Unwanted Software more information...
Details: MyWebSearch Toolbar is a customizable Internet Explorer search toolbar with various other tools.
Status: Ignored

Zitat

Details: WindUpdates is responsible for downloading adware.
Status: Quarantined
scanne noch mal und ...bitte.....
Ignore
*Remove !!
*Quarantaine
---------------------------------------------------------------------------

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.02.2006, 15:51
...neu hier

Themenstarter

Beiträge: 5
#9 danke es hat geklappt es ist alles weg!

danke nochmals :-)

gruß nicki
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: