Entfernen der doc.pif-Datei - W32/Netsky-P Virus

#1 Hallo,

ich habe dummerweise das attachment geöffnet, weil ich nicht wusste, dass die Endung pif bereits eine ausführende Datei ist. Die Datei verhält sich genauso wie in diesem Thread:

http://board.protecus.de/t112.htm

Erstellt also auch eine MS-DOS Verknüpfung - Mein Norton Antivir lässt sich nich aktivieren und eine pq-remove Antivir Anwendung, die ich mir runtergeladen hab, hat zwar alles durchsucht aber die Verknüpfung ist immer noch da:-(

Wie kann ich denn den Virus manuell mit dem MS-DOS löschen - hat jemand ne Anleitung, wie man das macht oder kennt jemand ein zuverlässiges und kostenloses Antivir-Programm das dies kann?

Wäre euch sehr dankbar.[/url]

#2 Hijackthis --

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html


http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi,

das sind nun meine ausführenden Dateien. Welche soll ich jetzt löschen?

Logfile of HijackThis v1.99.1
Scan saved at 15:53:16, on 23.03.06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Steven\Desktop\Hi-jack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Gruß

#4 Smoothguy

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten--> Ergebnis hier posten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\FVProtect.exe

-------------------------------------------------------------------------
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Und das sind meine 4 Textdateien:

Verzeichnis von c:\

23.03.06 15:35 0 dirdat.txt
23.03.06 15:28 805.306.368 pagefile.sys
04.03.06 14:23 12.670.368 RealPlayer10-5GOLD_bb.exe
06.02.06 14:18 3.843.584 Opera-ow32enen851.exe



Verzeichnis von C:\WINDOWS\system32

23.03.06 15:28 12.735 tablet.dat
23.03.06 15:28 7.883 nvapps.xml
22.03.06 19:59 2.184 wpa.dbl
08.03.06 16:52 3.147 qtplugin.log
04.03.06 14:25 176.167 rmoc3260.dll
04.03.06 14:25 5.632 pndx5032.dll
04.03.06 14:25 6.656 pndx5016.dll
04.03.06 14:25 278.528 pncrt.dll
18.02.06 14:03 216.064 FNTCACHE.DAT
15.02.06 09:31 39.992 perfc009.dat
15.02.06 09:31 311.604 perfh009.dat
15.02.06 09:31 316.594 perfh007.dat
15.02.06 09:31 48.156 perfc007.dat
15.02.06 09:31 723.744 PerfStringBackup.INI



Verzeichnis von C:\WINDOWS

23.03.06 15:28 0 0.log
23.03.06 15:28 159 wiadebug.log
23.03.06 15:28 50 wiaservc.log
23.03.06 15:28 40.886 zip3.tmp
23.03.06 15:28 40.894 zip2.tmp
23.03.06 15:28 29.834 zipped.tmp
23.03.06 15:28 40.882 zip1.tmp
23.03.06 15:28 40.520 base64.tmp
23.03.06 15:28 26.624 userconfig9x.dll
23.03.06 15:28 2.048 bootstat.dat
23.03.06 14:59 439 system.ini
22.03.06 19:22 32.562 SchedLgU.Txt
21.03.06 20:55 107.019 wmsetup.log
18.03.06 13:47 29.568 FVProtect.exe
17.03.06 02:44 2.919 FORGXP32.INI
16.03.06 20:19 408.078 setupapi.log
16.03.06 18:14 116 NeroDigital.ini
15.03.06 07:58 338 Muma60.INI
10.03.06 02:48 1.116 Ulead32.ini
08.03.06 16:05 26 dswplug.log
08.03.06 16:05 112 dswplug.ini
07.03.06 22:31 2.102 Windows Update.log
18.02.06 15:33 259 vidwiz.ini
18.02.06 15:32 0 vstudio.INI
17.02.06 20:11 0 nsrex.INI
17.02.06 20:11 4.837 nsotools.log
17.02.06 20:10 49 Msdevctl.ini
15.02.06 11:03 47.972 Aware40.mch
15.02.06 10:58 35 A4W.INI

Verzeichnis von C:\DOKUME~1\Steven\LOKALE~1\Temp

23.03.06 15:47 16.384 ~DF496F.tmp
23.03.06 15:28 204 jusched.log

#6 Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten--> Ergebnis hier posten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\FVProtect.exe
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\base64.tmp
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Tja,

ich war auf virustotal.com und hab meine Files durchchecken lassen, aber es wurde kein Virus gefunden:-(

Soll ich deine 3 angegebenen Exe´s löschen? Die Protect Exe war mir auch schon verdächtig...bald hab ich euch...hehe..

Soll ich löschen?

#8

Zitat

Process File: FVProtect or FVProtect.exe
Process Name: W32/Netsky-P Virus
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.netsky.p@mm.html

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\zip3.tmp
C:\WINDOWS\zip2.tmp
C:\WINDOWS\zipped.tmp
C:\WINDOWS\zip1.tmp
C:\WINDOWS\base64.tmp
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\FVProtect.exe

PC neustarten

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe

pc neustarten

removal-tool
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.netsky@mm.removal.tool.html

mache einen Onlinescan mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi,

ich habe die Dateien mit der Killbox soweit gelöscht und konnte dann anschließend die MS-Dos Verknüpfung löschen.

Das removal-tool habe ich deswegen nicht mehr in Anspruch genommen.

Der Onlinecan mit Kaspersky hat leider nicht funktioniert, weil mein IE 6.0 immer ein Problem feststellt.

Der Opera-Browser kann die Seite zwar darstellen, nur wird der Onlinescan leider nicht ausgeführt, da dieser ja nur für den IE-Browser konzipiert ist.

Gibt es noch einen anderen zuverlässigen Online-Scan Anbieter??

Ich denke jedoch, dass der Virus jetzt besiegt ist:-)

Vielen vielen Dank für die Hilfe

Smoothguy


Nachtrag: **********************************************

Hallo,

es hätte sich beinahe um einen Folgeschweren Fehler gehandelt, wenn ich das Removal-Tool nicht gestartet hätte, wie ich es vorerst nicht vor hatte (siehe oben).

Der Wurm hat nämlich inzwischen hervorragende Arbeit geleistet und sich in zahlreichen dafür extra ausgesuchten Ordnern mit jeweils verschiedenen Dateinamen selbst vervielfältigt.

Selbst vor meinem Laufwerk F hat er nicht Halt gemacht. Zudem hat er sich ziemlich gut versteckt.

Ich kann allen nur *DRINGENST* empfehlen, nach der Entfernung der Hauptdateien sich nicht (wie ich) direkt aufs Sofa zu schmeissen und die Sektkorken knallen zu lassen, denn die Schlacht ist noch nicht zu Ende.

Denn ihr müsst mit dem Removal-Tool alle geclonten Viren ausfindig und löschen lassen. Erst dann seid Ihr befreit, wie ich jetzt...Puhh...

Vergesst nicht die 12 Punkte zu beachten (z. B. die Systemwiederherstellung zeitweise zu deaktivieren, sonst habt Ihr wohlmöglich wieder ein paar Viren wiederhergestellt).

Auf in den Kampf:-)

Smoothguy

#10

Trend-Micro/HouseCall soll wohl auch mit anderen Browsern als dem IE funktionieren.
Berichte bitte vom scan
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit