Hartnäckige Malware

Thema ist geschlossen!
Thema ist geschlossen!
#0
16.11.2006, 13:40
Member

Beiträge: 32
#1 Hallo,
habe diesen Malware erwischt und kann es nicht mehr beseitigen.
Habt Ihr eine Idee wie ich das löschen kann??

O4 - HKLM\..\Run: [NI.UERSU_9999_N91S2009] "c:\dokumente und einstellungen\dinos\anwendungsdaten\errorsafegermannewreleaseinstall[1].exe" -nag

Habe schon mit "CCleaner,HijackThis,Ewido,Mc-Afee,Internet Cleanup,Spybot und Symantec Security Check" ausprobiert, aber er ist immer noch da.

IE 6
WIN XP

Gruss
Scorpione
Seitenanfang Seitenende
16.11.2006, 14:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 scorpione

arbeite das ab und poste die Logs hier, dann reinigen wir das ;)
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2006, 16:15
Member

Themenstarter

Beiträge: 32
#3 Hallo Sabina,
es ist zu Kompliziert für mich und habe Angst das ich was falsch mache.Hast Du was einfacheres ? Tud mir Leid !!!
Seitenanfang Seitenende
16.11.2006, 16:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 fangen wir also damit an: (man kann nichts falsch machen ;)

combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren - mit rechtem mausklick - "kopieren" -> hier "einfuegen" und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2006, 16:27
Member

Themenstarter

Beiträge: 32
#5 Kann Combofix nicht Laden! Der schwarze Fenster erscheint für 3 Sekunden und dann verschwindet wieder.
Seitenanfang Seitenende
16.11.2006, 16:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ja, dann warte ab, waehrend die Combofix scannt - dann , nach einiger Zeit sollte sich der Texteditor oeffnen.

aber poste erst mal hier das log vom HijackThis, ich weiss ja nicht mal, was fuer ein Betriebssystem du verwendest
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2006, 17:26
Member

Themenstarter

Beiträge: 32
#7 Logfile of HijackThis v1.99.1
Scan saved at 17:24:55, on 16.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\VIVANCO\Primary Optical Mouse\4.0\lwbwheel.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Dinos\LOKALE~1\Temp\Temporäres Verzeichnis 11 für hijackthis_199[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wetter.ch/city.asp?COUNTRY=&STATIONID=06621001
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ICHlprObj Class - {1f0c8547-2639-4c91-b8aa-c7eca24c3163} - C:\Programme\Aladdin Systems\Internet Cleanup\IC3hlpr.dll
O2 - BHO: PopupFilter Class - {1F2E844B-8211-46ff-8262-772F03295CF4} - C:\Programme\Aladdin Systems\Internet Cleanup\PopFiltr.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\VIVANCO\Primary Optical Mouse\4.0\lwbwheel.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NI.UERSU_9999_N91S2009] "c:\dokumente und einstellungen\dinos\anwendungsdaten\errorsafegermannewreleaseinstall[1].exe" -nag
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O12 - Plugin for ôå: C:\Programme\Internet Explorer\PLUGINS\npvmidi.dll
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe

Gruss
Scorpione
Seitenanfang Seitenende
17.11.2006, 01:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere laut Anleitung rein:

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|NI.UERSU_9999_N91S2009

Files to delete:
c:\dokumente und einstellungen\dinos\anwendungsdaten\errorsafegermannewreleaseinstall[1].exe
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste hier das log vom avewnger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 06:23
Member

Themenstarter

Beiträge: 32
#9 Hallo Sabina,
um sicher zu sein wollte ich Dich fragen ob ich alles reinkopieren muss im Avenger (aus HijackThis ?)

Scorpione
Seitenanfang Seitenende
17.11.2006, 09:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 du musst reinkopieren: - das ist ein script fuer den Avenger, so wird geloescht, was ich erstellt habe
-------------------------


Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|NI.UERSU_9999_N91S2009

Files to delete:
c:\dokumente und einstellungen\dinos\anwendungsdaten\errorsafegermannewreleaseinstall[1].exe




----------------------------

das hat nichts mit dem HijackThis zu tun ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 12:09
Member

Themenstarter

Beiträge: 32
#11 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\uwvyndcd

*******************

Script file located at: \??\C:\Documents and Settings\yniryfbq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\dokumente und einstellungen\dinos\anwendungsdaten\errorsafegermannewreleaseinstall[1].exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|NI.UERSU_9999_N91S2009 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Das ist im Avenger Fenster erschienen nach dem neustart.
Seitenanfang Seitenende
17.11.2006, 12:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 gut gemacht ;)

mache einen Onlinescan mit panda und poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 14:20
Member

Themenstarter

Beiträge: 32
#13 Hallo Sabina,
ich wollte den Onlinescan mit Panda machen und wo es angefangen hat zu Scannen,mein AntiVir hat einen Virus gefunden wo ich zum Glück Löschen konnte.

MFG Scorpione
Seitenanfang Seitenende
17.11.2006, 15:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 nun, das ist kein Virus, ist auch auf der Seite erklaert, wo du den Panda laden solltest, erlaube den Download, zur Not deaktiviere den antivirus zwischenzeitlich ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 16:39
Member

Themenstarter

Beiträge: 32
#15 Ich habe nochmals neugestartet un der Malware ist weg.SUPER und vielen Dank auch für deine Geduld mit mir.

MFG
Scorpione
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »