Worm. Win 32. Netsky loswerden |
||
---|---|---|
#0
| ||
27.12.2009, 23:02
Member
Beiträge: 14 |
||
|
||
28.12.2009, 12:55
Member
Beiträge: 3716 |
#17
kannst mal die funde raus suchen und posten? das wort infected sollte ein gutes suchkriterium sein.
|
|
|
||
28.12.2009, 22:00
Member
Beiträge: 14 |
#18
Ok, ich hab jetzt mal hoffentlich alles beieinander:
============================================================================= Dr.Web Scanner für Windows v5.00.10 (5.00.10.11260) © Doctor Web, Ltd., 1992-2009 Log erstellt am: 2009-12-27, 18:07:24 [Hans] Kommandozeile: "C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\y2bqnXP.exe" /lng:de-scan /ini:setup_XP.ini /fast Betriebssystem: Windows XP Home Edition x86 (Build 2600), Service Pack 3 ============================================================================= DwShield gestartet Engine-Version: 5.00 (5.00.1.12222) API-Version: 2.02 [Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\93d6ad5f - 881 Virensignaturen [Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\7fbb37fd - 17644 Virensignaturen [Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\fc406e9f - 872 Virensignaturen [Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\cbbcfd54 - 142240 Virensignaturen [Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\1700aa31 - 66726 Virensignaturen [Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\215ff01c - 24512 Virensignaturen [Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\55325f85 - 82762 Virensignaturen [Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\f983c76b - 514157 Virensignaturen [Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\225599e1 - 823 Virensignaturen [Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\0a19acec - 2800 Virensignaturen [Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\8fa1e15a - 6197 Virensignaturen [Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\27d470dc - 28348 Virensignaturen Gesamtzahl der Virensignaturen: 887962 [Selbstüberprüfung] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\y2bqnXP.exe Lizenzschlüsseldatei: C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\setup.key Lizenzchlüsselnummer: 0011097003 Registriert für:: An unauthorized User Aktivierungsdatum des Lizenzschlüssels:: 2009-09-14 Ablaufdatum des Lizenzschlüssels:: 2010-03-17 Speichervorgang: System:4 - OK Speichervorgang: \SystemRoot\System32\smss.exe:164 - OK Speichervorgang: \??\C:\WINDOWS\system32\csrss.exe:212 - OK Speichervorgang: \??\C:\WINDOWS\system32\winlogon.exe:236 - OK Speichervorgang: C:\WINDOWS\system32\services.exe:280 - OK Speichervorgang: C:\WINDOWS\system32\lsass.exe:292 - OK Speichervorgang: C:\WINDOWS\system32\svchost.exe:456 - OK Speichervorgang: C:\WINDOWS\system32\svchost.exe:520 - OK Speichervorgang: C:\WINDOWS\system32\svchost.exe:572 - OK Speichervorgang: C:\WINDOWS\Explorer.EXE:812 - OK Speichervorgang: C:\Dokumente und Einstellungen\Hans\Desktop\tnnedg4v.exe:1100 - OK Speichervorgang: C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\z322l9.exe:1112 - OK Speichervorgang: C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\y2bqnXP.exe:1124 - OK [Speicherscannen] Keine Viren gefunden Master Boot Record HDD1 - OK Active OS/2 or WinNT Boot Sector HDD1 - OK ... >>>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a0ddec6.qua/data001 infiziert mit Trojan.Fakealert.9222 >C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a0ddec6.qua - Archiv enthält infizierte Objekte - verschoben >>>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a106546.qua/data001 infiziert mit Trojan.Packed.18626 >C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a106546.qua - Archiv enthält infizierte Objekte - verschoben >>>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a116d0e.qua/data001 infiziert mit Trojan.Packed.18626 >C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a116d0e.qua - Archiv enthält infizierte Objekte - verschoben >>>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b65da5d.qua/data001 infiziert mit Trojan.Packed.18626 >C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b65da5d.qua - Archiv enthält infizierte Objekte - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0021937.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0021952.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0021962.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022163.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022178.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022179.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022186.bat wahrscheinlich infiziert mit BATCH.Virus C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022747.bat wahrscheinlich infiziert mit BATCH.Virus C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022807.bat wahrscheinlich infiziert mit BATCH.Virus >>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022926.exe/32788R22FWJFW\List-C.bat wahrscheinlich infiziert mit BATCH.Virus >C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022926.exe - Archiv enthält infizierte Objekte - verschoben >>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024156.exe/32788R22FWJFW\List-C.bat wahrscheinlich infiziert mit BATCH.Virus >C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024156.exe - Archiv enthält infizierte Objekte - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024196.bat wahrscheinlich infiziert mit BATCH.Virus C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024267.bat wahrscheinlich infiziert mit BATCH.Virus >>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024387.exe/32788R22FWJFW\List-C.bat wahrscheinlich infiziert mit BATCH.Virus >C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024387.exe - Archiv enthält infizierte Objekte - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024423.bat wahrscheinlich infiziert mit BATCH.Virus ... ----------------------------------------------------------------------------- Scanstatistiken ----------------------------------------------------------------------------- Gescannt: 174183 Infiziert: 10 Modifikationen: 0 Verdächtig: 9 Adware: 0 Dialer: 0 Scherzprogramme: 0 Riskware: 0 Hacktools: 0 Desinfiziert: 0 Gelöscht: 0 Umbenannt: 0 Verschoben: 13 Ignoriert: 0 Geschwindigkeit:: 206 Kb/s Dauer:: 03:54:54 ----------------------------------------------------------------------------- C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022186.bat - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022747.bat - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022807.bat - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024196.bat - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024267.bat - verschoben C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024423.bat - verschoben ============================================================================= Gesamtsitzungsstatistik ============================================================================= Gescannt: 182145 Infiziert: 10 Modifikationen: 0 Verdächtig: 9 Adware: 0 Dialer: 0 Scherzprogramme: 0 Riskware: 0 Hacktools: 0 Desinfiziert: 0 Gelöscht: 0 Umbenannt: 0 Verschoben: 19 Ignoriert: 0 Geschwindigkeit:: 247 Kb/s Dauer:: 04:35:53 ============================================================================= Ich hoffe es ist einigermaßen nachvollziehbar. Ich habe den Anfang des Logs, die "infiziert"-Treffer und den Schluß gepostet. |
|
|
||
28.12.2009, 23:24
Member
Beiträge: 3716 |
#19
lösche drweb.
start ausführen, combofix /u enter deinstaliert combofix. http://oldtimer.geekstogo.com/OTM.exe downloaden und auf cleanit! klicken, programm entfernt reste von removal tools, + sich selbst http://www.hijackthis-forum.de/tipps-tricks/25986-[url="http://www.CCleaner.de"]CCleaner[/url]-anleitung.html [url="http://www.CCleaner.de"]CCleaner[/url] mit zusätzliche ordner bereinigen lassen rechtsklick auf arbeitsplatz, eigenschaften, systemwiederherstellung auf allen laufwerken deaktivieren, übernehmen ok 5 min warten, einschalten. geht nun alles wieder? |
|
|
||
29.12.2009, 10:18
Member
Beiträge: 14 |
#20
Sieht alles gut aus, bis auf die Tatsache, dass "combofix" nicht gefunden wird. Über die Suche habe ich eine Datei "COMBOFIX.EXE-03020517.pf" im Ordner "C:\WINDOWS\Prefetch" gefunden, soll ich sie von Hand löschen?
Ansonsten wurden in der Registry durch CCleaner über 300 Einträge bereinigt, das System läuft momentan stabil. |
|
|
||
29.12.2009, 10:34
Ehrenmitglied
Beiträge: 6028 |
||
|
||
29.12.2009, 10:45
Member
Beiträge: 14 |
#22
Fehlermeldung
"combofix" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig geschrieben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen. Ich glaube, das ist noch ein Überbleibsel der ersten Reinigung mit "combofix" (vom 22.12.), schon da hatte ich Probleme, es zu entfernen. Ich hatte es mit "start ausführen combofix /u" versucht und da dies nicht funktioniert hat, habe ich versucht combofix "von Hand" zu löschen. Offensichtlich ein Fehler. Dier Deinstallation nach der zweiten combofix-Reinigungsaktion hatte hingegen funktioniert (mit "start ausführen combofix /uninstall"). |
|
|
||
29.12.2009, 11:45
Ehrenmitglied
Beiträge: 6028 |
#23
Wenn noch Überbleibsel da sind
Download OTC.exe zum Desktop (Vista benutzer, rechtsklick auf OTC.exe und waehle "Run as Administrator") OTC.exe klicken 1. klicken: CleanUp! button 2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!) 3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes so wird von OTC automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden __________ MfG Argus |
|
|
||
29.12.2009, 14:45
Member
Beiträge: 14 |
#24
Alles klar, müsste erledigt sein. Wurde irgendwo ein Log hinterlegt?
|
|
|
||
29.12.2009, 16:25
Member
Beiträge: 3716 |
#25
nein, ein log brauchen wir davon nicht.
|
|
|
||
29.12.2009, 18:06
Member
Beiträge: 14 |
#26
Also, es läuft momentan alles so wie es soll. Muß noch etwas getan werden, oder ist es das nun gewesen?
|
|
|
||
29.12.2009, 18:29
Member
Beiträge: 3716 |
#27
war alles, noch passwörter endern.
|
|
|
||
29.12.2009, 18:54
Member
Beiträge: 14 |
#28
Sehr geil. Vielen Dank für Eure Hilfe!
Kann man das Board in irgend einer Weise supporten? |
|
|
||
29.12.2009, 19:06
Member
Beiträge: 3716 |
#29
klick mal auf team, dann lukas und frag ihn, die kann ich dir leider nicht beantworten.
|
|
|
||
Edit: Die Funde habe ich verschoben.