WORM/Warezov.BG.4 und mehr.. |
||
---|---|---|
#0
| ||
25.10.2006, 19:53
...neu hier
Beiträge: 6 |
||
|
||
26.10.2006, 00:03
Ehrenmitglied
Beiträge: 29434 |
#17
quizzard87
C:\WINDOWS\system32\confatt.dll war aber im Avenger vorhanden ..nun ja, der Antivirus findet auch manchmal was Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.10.2006, 13:20
...neu hier
Beiträge: 6 |
#18
Logfile of HijackThis v1.99.1
Scan saved at 13:19:05, on 26.10.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\MATCO\BuzzSawService.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WZCBDL Service\WZCBDLS.exe C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe C:\Programme\D-Link\Air Utility\AirCFG.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\DU Meter\DUMeter.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\DAP\DAP.EXE C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IexploreOmea - {09628AAA-66AD-4FA2-82E2-698185B66463} - C:\Programme\JetBrains\Omea Reader\IexploreOmeaW.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Omea - {35402C01-1777-4159-9ABA-3480BA70D90A} - C:\Programme\JetBrains\Omea Reader\IexploreOmeaW.dll O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programme\D-Link\Air Utility\AirCFG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DU Meter.lnk = C:\Programme\DU Meter\DUMeter.exe O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm O8 - Extra context menu item: Clip and Edit - res://C:\Programme\JetBrains\Omea Reader\IexploreOmeaW.dll/1000 O8 - Extra context menu item: Clip and Save - res://C:\Programme\JetBrains\Omea Reader\IexploreOmeaW.dll/1001 O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Subscribe to Feed - res://C:\Programme\JetBrains\Omea Reader\IexploreOmeaW.dll/1002 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {35402C01-1777-4159-9ABA-3480BA70D901} - C:\Programme\JetBrains\Omea Reader\IexploreOmeaW.dll (HKCU) O9 - Extra 'Tools' menuitem: Omea Add-on Options… - {35402C01-1777-4159-9ABA-3480BA70D901} - C:\Programme\JetBrains\Omea Reader\IexploreOmeaW.dll (HKCU) O9 - Extra button: Subscribe to Feed - {35402C01-1777-4159-9ABA-3480BA70D903} - C:\Programme\JetBrains\Omea Reader\IexploreOmeaW.dll (HKCU) O9 - Extra button: Clip and Edit - {35402C01-1777-4159-9ABA-3480BA70D905} - C:\Programme\JetBrains\Omea Reader\IexploreOmeaW.dll (HKCU) O9 - Extra button: Clip and Save - {35402C01-1777-4159-9ABA-3480BA70D907} - C:\Programme\JetBrains\Omea Reader\IexploreOmeaW.dll (HKCU) O9 - Extra button: Annotate - {35402C01-1777-4159-9ABA-3480BA70D909} - C:\Programme\JetBrains\Omea Reader\IexploreOmeaW.dll (HKCU) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128780836857 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D98618CC-F2FC-4A13-A31E-2F915E2F81A8}: NameServer = 10.0.0.138 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Buzzsaw_Defragmentation - SpyderComm, Inc. - C:\Programme\MATCO\BuzzSawService.exe O23 - Service: DirMS_Defragmentation - Unknown owner - C:\Programme\MATCO\DirmsService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe |
|
|
||
26.10.2006, 14:49
Ehrenmitglied
Beiträge: 29434 |
#19
quizzard87
gehe in die registry Start - Ausfuehren - regedit klicke dich durch zum Schluessel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU du kannst auch oben links auf "exportieren" klicken und die Datei als txt-Datei abspeichern - hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.10.2006, 18:20
...neu hier
Beiträge: 6 |
#20
Sabina:
den key gibt es leider in meiner registry nicht. der unterordner "windows update" im order windows existiert nicht. |
|
|
||
27.10.2006, 00:51
Ehrenmitglied
Beiträge: 29434 |
#21
es kann sei, dass diese prozedur nicht notwenig ist, da du eh keine Windowsupdates, also SP2 geladen hast - der Virus loescht naemlich diese Eintraege aus der Registry...
------------------------------------------------------------------------------- gehe in die registry rechtsklick auf Windows - erstelle mit "neu" den schluessel WindowsUpdate HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ rechtsklick auf WindowsUpdate - erstelle "neu" - AU HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU « starte den rechner neu «« klicke wieder zum schluessel .........WindowsUpdate\AU oben links: exportieren - nenne die txt Datei - neu.txt - abspeichern - und poste den text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2006, 01:15
...neu hier
Beiträge: 4 |
#22
Hallo,
Mir werden auch seit einiger Zeit Virenmeldungen von AntiVir angezeigt. Da steht was von "WORM/warezov..." und "WORM/stration..." hab die nötigen daten als .txt-datei angehängt. Ich hoffe Ihr könnt mir helfen. Danke schonmal im Vorraus Anhang: Virenerkennung.txt
|
|
|
||
30.10.2006, 09:02
Ehrenmitglied
Beiträge: 29434 |
#23
Walde
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to replace with dummy:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** lösche das backup vom Avenger unter C:\Avenger\backup.zip + Papierkorb leeren ________________________________________________________________ berichte, ob die WibdowsUpdates funktionieren http://virus-protect.org/artikel/spyware/warezov_1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2006, 14:09
...neu hier
Beiträge: 4 |
#24
Hallo Sabina,
erstmal danke für die schnelle Hilfe! aber leider hat sich bei mir nichts verändert.. ich krieg immernoch die Meldungen von AntiVir und weiss nicht was ich jetzt machen soll. Hast du vielleicht noch nen Tip? MfG Walde |
|
|
||
30.10.2006, 14:18
Ehrenmitglied
Beiträge: 29434 |
#25
ich denke mal, dass du den Avenger nicht angewendet hast.
kopiere das script noch mal laut Anweisungen rein, klicke die gruene Ampel, und poste nach neustart das log vom avenger, was erscheinen sollte. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2006, 18:47
...neu hier
Beiträge: 4 |
#26
doch hab ich,
aber jetzt kommt noch ne andere Meldung von AntiVir C:\WINDOWS\system32\drivers\jmexcgut.sys Ist das trojanische Pferd TR/Drop.Avenger.A.1 und dann kommt bei Avenger, dass er keine .zip-datei speichern kann |
|
|
||
30.10.2006, 23:52
Ehrenmitglied
Beiträge: 29434 |
#27
solange du die reinigung durchfuehrst, deaktiviere den antivirus, damit du den Avenger laden kannst
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.10.2006, 04:24
...neu hier
Beiträge: 4 |
#28
ahh danke, guter tipp
ich hab bisher keine warnung mehr bekommen, hab trotzdem nochmal das logfile angehängt. Falls du noch was findest, kannst ja bescheid sagen Vielen lieben Dank nochmal!! MfG Walde Anhang: avenger.txt
|
|
|
||
31.10.2006, 10:32
Ehrenmitglied
Beiträge: 29434 |
#29
Walde
poste noch mal die 6 logs von datfindbat http://virus-protect.org/datfindbat.html + berichte, ob die Windowsupdates funktionieren - der Virus loescht normaerweise dessen Eintraege aus der Registry, deshalb meine Frage. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
AntiVir hat leider wieder was gefunden. Hier ist die Logfile:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 25. Oktober 2006 18:46
Es wird nach 532471 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Benutzername: Besitzer
Computername: CHRISTIAN
Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 25.09.2006 11:23:11
AVSCAN.DLL : 7.0.0.45 41000 25.09.2006 11:23:11
LUKE.DLL : 7.0.0.47 118824 25.09.2006 11:23:12
LUKERES.DLL : 7.0.0.47 9256 25.09.2006 11:23:12
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 18:52:47
ANTIVIR1.VDF : 6.36.0.89 1745920 02.10.2006 15:07:38
ANTIVIR2.VDF : 6.36.0.132 138752 17.10.2006 15:46:45
ANTIVIR3.VDF : 6.36.0.177 67072 24.10.2006 19:25:27
AVEWIN32.DLL : 7.2.0.32 1880576 24.10.2006 19:25:27
AVPREF.DLL : 7.0.0.2 23080 25.09.2006 11:23:10
AVREP.DLL : 6.36.0.144 876584 18.10.2006 15:46:31
AVRPBASE.DLL : 7.0.0.0 2162728 09.05.2006 09:05:57
AVPACK32.DLL : 7.2.0.0 368680 25.09.2006 11:23:13
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:47
NETNW.DLL : 7.0.0.0 9768 25.09.2006 11:23:12
RCIMAGE.DLL : 7.0.0.74 1642536 25.09.2006 11:23:05
RCTEXT.DLL : 7.0.1.4 77864 27.09.2006 18:03:32
Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Festplatten
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Bootsektoren..................: C
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 4098
Sekundäre Aktion..............: 4
Beginn des Suchlaufs: Mittwoch, 25. Oktober 2006 18:46
Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 8 Prozesse durchsucht
Es wird begonnen die Bootsektoren zu durchsuchen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 14 Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Besitzer\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Besitzer\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\qkxt3rrc.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CONFATT.DLL.vir
[FUND] Enthält Signatur des Wurmes WORM/Warezov.DQ.9
[INFO] Eine Sicherungskopie wurde unter dem Namen 458da10c.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd3821.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\Perflib_Perfdata_70c.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Ende des Suchlaufs: Mittwoch, 25. Oktober 2006 19:41
Benötigte Zeit: 54:21 min
Der Suchlauf wurde vollständig durchgeführt.
8217 Verzeichnisse wurden überprüft
255210 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1562 Archive wurden durchsucht
28 Warnungen
0 Hinweise