Entfernen der doc.pif-Datei - W32/Netsky-P Virus |
||
---|---|---|
#0
| ||
18.03.2006, 17:32
...neu hier
Beiträge: 7 |
||
|
||
18.03.2006, 20:36
Ehrenmitglied
Beiträge: 29434 |
#2
Hijackthis --
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2006, 16:04
...neu hier
Themenstarter Beiträge: 7 |
#3
Hi,
das sind nun meine ausführenden Dateien. Welche soll ich jetzt löschen? Logfile of HijackThis v1.99.1 Scan saved at 15:53:16, on 23.03.06 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\FVProtect.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\WTablet\TabUserW.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Tablet.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Opera\Opera.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Steven\Desktop\Hi-jack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe Gruß Dieser Beitrag wurde am 23.03.2006 um 16:11 Uhr von Smoothguy editiert.
|
|
|
||
23.03.2006, 16:07
Ehrenmitglied
Beiträge: 29434 |
#4
Smoothguy
Einzelne Dateien scannen Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten--> Ergebnis hier posten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\FVProtect.exe ------------------------------------------------------------------------- stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2006, 16:24
...neu hier
Themenstarter Beiträge: 7 |
#5
Und das sind meine 4 Textdateien:
Verzeichnis von c:\ 23.03.06 15:35 0 dirdat.txt 23.03.06 15:28 805.306.368 pagefile.sys 04.03.06 14:23 12.670.368 RealPlayer10-5GOLD_bb.exe 06.02.06 14:18 3.843.584 Opera-ow32enen851.exe Verzeichnis von C:\WINDOWS\system32 23.03.06 15:28 12.735 tablet.dat 23.03.06 15:28 7.883 nvapps.xml 22.03.06 19:59 2.184 wpa.dbl 08.03.06 16:52 3.147 qtplugin.log 04.03.06 14:25 176.167 rmoc3260.dll 04.03.06 14:25 5.632 pndx5032.dll 04.03.06 14:25 6.656 pndx5016.dll 04.03.06 14:25 278.528 pncrt.dll 18.02.06 14:03 216.064 FNTCACHE.DAT 15.02.06 09:31 39.992 perfc009.dat 15.02.06 09:31 311.604 perfh009.dat 15.02.06 09:31 316.594 perfh007.dat 15.02.06 09:31 48.156 perfc007.dat 15.02.06 09:31 723.744 PerfStringBackup.INI Verzeichnis von C:\WINDOWS 23.03.06 15:28 0 0.log 23.03.06 15:28 159 wiadebug.log 23.03.06 15:28 50 wiaservc.log 23.03.06 15:28 40.886 zip3.tmp 23.03.06 15:28 40.894 zip2.tmp 23.03.06 15:28 29.834 zipped.tmp 23.03.06 15:28 40.882 zip1.tmp 23.03.06 15:28 40.520 base64.tmp 23.03.06 15:28 26.624 userconfig9x.dll 23.03.06 15:28 2.048 bootstat.dat 23.03.06 14:59 439 system.ini 22.03.06 19:22 32.562 SchedLgU.Txt 21.03.06 20:55 107.019 wmsetup.log 18.03.06 13:47 29.568 FVProtect.exe 17.03.06 02:44 2.919 FORGXP32.INI 16.03.06 20:19 408.078 setupapi.log 16.03.06 18:14 116 NeroDigital.ini 15.03.06 07:58 338 Muma60.INI 10.03.06 02:48 1.116 Ulead32.ini 08.03.06 16:05 26 dswplug.log 08.03.06 16:05 112 dswplug.ini 07.03.06 22:31 2.102 Windows Update.log 18.02.06 15:33 259 vidwiz.ini 18.02.06 15:32 0 vstudio.INI 17.02.06 20:11 0 nsrex.INI 17.02.06 20:11 4.837 nsotools.log 17.02.06 20:10 49 Msdevctl.ini 15.02.06 11:03 47.972 Aware40.mch 15.02.06 10:58 35 A4W.INI Verzeichnis von C:\DOKUME~1\Steven\LOKALE~1\Temp 23.03.06 15:47 16.384 ~DF496F.tmp 23.03.06 15:28 204 jusched.log |
|
|
||
23.03.2006, 16:43
Ehrenmitglied
Beiträge: 29434 |
#6
Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten--> Ergebnis hier posten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\FVProtect.exe C:\WINDOWS\userconfig9x.dll C:\WINDOWS\base64.tmp __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2006, 16:50
...neu hier
Themenstarter Beiträge: 7 |
#7
Tja,
ich war auf virustotal.com und hab meine Files durchchecken lassen, aber es wurde kein Virus gefunden:-( Soll ich deine 3 angegebenen Exe´s löschen? Die Protect Exe war mir auch schon verdächtig...bald hab ich euch...hehe.. Soll ich löschen? |
|
|
||
23.03.2006, 18:20
Ehrenmitglied
Beiträge: 29434 |
#8
Zitat Process File: FVProtect or FVProtect.exeKILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\WINDOWS\zip3.tmp C:\WINDOWS\zip2.tmp C:\WINDOWS\zipped.tmp C:\WINDOWS\zip1.tmp C:\WINDOWS\base64.tmp C:\WINDOWS\userconfig9x.dll C:\WINDOWS\FVProtect.exe PC neustarten öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe pc neustarten removal-tool http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.netsky@mm.removal.tool.html mache einen Onlinescan mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.03.2006, 02:31
...neu hier
Themenstarter Beiträge: 7 |
#9
Hi,
ich habe die Dateien mit der Killbox soweit gelöscht und konnte dann anschließend die MS-Dos Verknüpfung löschen. Das removal-tool habe ich deswegen nicht mehr in Anspruch genommen. Der Onlinecan mit Kaspersky hat leider nicht funktioniert, weil mein IE 6.0 immer ein Problem feststellt. Der Opera-Browser kann die Seite zwar darstellen, nur wird der Onlinescan leider nicht ausgeführt, da dieser ja nur für den IE-Browser konzipiert ist. Gibt es noch einen anderen zuverlässigen Online-Scan Anbieter?? Ich denke jedoch, dass der Virus jetzt besiegt ist:-) Vielen vielen Dank für die Hilfe Smoothguy Nachtrag: ********************************************** Hallo, es hätte sich beinahe um einen Folgeschweren Fehler gehandelt, wenn ich das Removal-Tool nicht gestartet hätte, wie ich es vorerst nicht vor hatte (siehe oben). Der Wurm hat nämlich inzwischen hervorragende Arbeit geleistet und sich in zahlreichen dafür extra ausgesuchten Ordnern mit jeweils verschiedenen Dateinamen selbst vervielfältigt. Selbst vor meinem Laufwerk F hat er nicht Halt gemacht. Zudem hat er sich ziemlich gut versteckt. Ich kann allen nur *DRINGENST* empfehlen, nach der Entfernung der Hauptdateien sich nicht (wie ich) direkt aufs Sofa zu schmeissen und die Sektkorken knallen zu lassen, denn die Schlacht ist noch nicht zu Ende. Denn ihr müsst mit dem Removal-Tool alle geclonten Viren ausfindig und löschen lassen. Erst dann seid Ihr befreit, wie ich jetzt...Puhh... Vergesst nicht die 12 Punkte zu beachten (z. B. die Systemwiederherstellung zeitweise zu deaktivieren, sonst habt Ihr wohlmöglich wieder ein paar Viren wiederhergestellt). Auf in den Kampf:-) Smoothguy Dieser Beitrag wurde am 24.03.2006 um 04:22 Uhr von Smoothguy editiert.
|
|
|
||
24.03.2006, 14:46
Ehrenmitglied
Beiträge: 29434 |
#10
Trend-Micro/HouseCall soll wohl auch mit anderen Browsern als dem IE funktionieren. Berichte bitte vom scan http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich habe dummerweise das attachment geöffnet, weil ich nicht wusste, dass die Endung pif bereits eine ausführende Datei ist. Die Datei verhält sich genauso wie in diesem Thread:
http://board.protecus.de/t112.htm
Erstellt also auch eine MS-DOS Verknüpfung - Mein Norton Antivir lässt sich nich aktivieren und eine pq-remove Antivir Anwendung, die ich mir runtergeladen hab, hat zwar alles durchsucht aber die Verknüpfung ist immer noch da:-(
Wie kann ich denn den Virus manuell mit dem MS-DOS löschen - hat jemand ne Anleitung, wie man das macht oder kennt jemand ein zuverlässiges und kostenloses Antivir-Programm das dies kann?
Wäre euch sehr dankbar.[/url]