Worm. Win 32. Netsky loswerden

#0
27.12.2009, 23:02
Member

Beiträge: 14
#16 Ok, der Schnellscan hatte keine Funde zu verzeichnen, der normale Scan schon, allerdings ist die Log-Datei schlanke 17307 kb groß. Kann ich den Inhalt wohl schlecht hier posten, oder?

Edit: Die Funde habe ich verschoben.
Dieser Beitrag wurde am 27.12.2009 um 23:08 Uhr von wassolldasdenn editiert.
Seitenanfang Seitenende
28.12.2009, 12:55
Member

Beiträge: 3716
#17 kannst mal die funde raus suchen und posten? das wort infected sollte ein gutes suchkriterium sein.
Seitenanfang Seitenende
28.12.2009, 22:00
Member

Beiträge: 14
#18 Ok, ich hab jetzt mal hoffentlich alles beieinander:

=============================================================================
Dr.Web Scanner für Windows v5.00.10 (5.00.10.11260)
© Doctor Web, Ltd., 1992-2009
Log erstellt am: 2009-12-27, 18:07:24 [Hans]
Kommandozeile: "C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\y2bqnXP.exe" /lng:de-scan /ini:setup_XP.ini /fast
Betriebssystem: Windows XP Home Edition x86 (Build 2600), Service Pack 3
=============================================================================
DwShield gestartet
Engine-Version: 5.00 (5.00.1.12222)
API-Version: 2.02
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\93d6ad5f - 881 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\7fbb37fd - 17644 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\fc406e9f - 872 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\cbbcfd54 - 142240 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\1700aa31 - 66726 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\215ff01c - 24512 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\55325f85 - 82762 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\f983c76b - 514157 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\225599e1 - 823 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\0a19acec - 2800 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\8fa1e15a - 6197 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\27d470dc - 28348 Virensignaturen
Gesamtzahl der Virensignaturen: 887962
[Selbstüberprüfung] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\y2bqnXP.exe
Lizenzschlüsseldatei: C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\setup.key
Lizenzchlüsselnummer: 0011097003
Registriert für:: An unauthorized User
Aktivierungsdatum des Lizenzschlüssels:: 2009-09-14
Ablaufdatum des Lizenzschlüssels:: 2010-03-17
Speichervorgang: System:4 - OK
Speichervorgang: \SystemRoot\System32\smss.exe:164 - OK
Speichervorgang: \??\C:\WINDOWS\system32\csrss.exe:212 - OK
Speichervorgang: \??\C:\WINDOWS\system32\winlogon.exe:236 - OK
Speichervorgang: C:\WINDOWS\system32\services.exe:280 - OK
Speichervorgang: C:\WINDOWS\system32\lsass.exe:292 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:456 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:520 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:572 - OK
Speichervorgang: C:\WINDOWS\Explorer.EXE:812 - OK
Speichervorgang: C:\Dokumente und Einstellungen\Hans\Desktop\tnnedg4v.exe:1100 - OK
Speichervorgang: C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\z322l9.exe:1112 - OK
Speichervorgang: C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\y2bqnXP.exe:1124 - OK
[Speicherscannen] Keine Viren gefunden
Master Boot Record HDD1 - OK
Active OS/2 or WinNT Boot Sector HDD1 - OK

...

>>>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a0ddec6.qua/data001 infiziert mit Trojan.Fakealert.9222
>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a0ddec6.qua - Archiv enthält infizierte Objekte - verschoben
>>>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a106546.qua/data001 infiziert mit Trojan.Packed.18626
>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a106546.qua - Archiv enthält infizierte Objekte - verschoben
>>>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a116d0e.qua/data001 infiziert mit Trojan.Packed.18626
>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a116d0e.qua - Archiv enthält infizierte Objekte - verschoben
>>>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b65da5d.qua/data001 infiziert mit Trojan.Packed.18626
>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b65da5d.qua - Archiv enthält infizierte Objekte - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0021937.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar -

verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0021952.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar -

verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0021962.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar -

verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022163.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar -

verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022178.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar -

verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022179.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar -

verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022186.bat wahrscheinlich infiziert mit BATCH.Virus
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022747.bat wahrscheinlich infiziert mit BATCH.Virus
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022807.bat wahrscheinlich infiziert mit BATCH.Virus
>>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022926.exe/32788R22FWJFW\List-C.bat wahrscheinlich infiziert mit

BATCH.Virus
>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022926.exe - Archiv enthält infizierte Objekte - verschoben
>>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024156.exe/32788R22FWJFW\List-C.bat wahrscheinlich infiziert mit

BATCH.Virus
>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024156.exe - Archiv enthält infizierte Objekte - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024196.bat wahrscheinlich infiziert mit BATCH.Virus
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024267.bat wahrscheinlich infiziert mit BATCH.Virus
>>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024387.exe/32788R22FWJFW\List-C.bat wahrscheinlich infiziert mit

BATCH.Virus
>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024387.exe - Archiv enthält infizierte Objekte - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024423.bat wahrscheinlich infiziert mit BATCH.Virus

...

-----------------------------------------------------------------------------
Scanstatistiken
-----------------------------------------------------------------------------
Gescannt: 174183
Infiziert: 10
Modifikationen: 0
Verdächtig: 9
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 13
Ignoriert: 0
Geschwindigkeit:: 206 Kb/s
Dauer:: 03:54:54
-----------------------------------------------------------------------------

C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022186.bat - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022747.bat - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022807.bat - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024196.bat - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024267.bat - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024423.bat - verschoben

=============================================================================
Gesamtsitzungsstatistik
=============================================================================
Gescannt: 182145
Infiziert: 10
Modifikationen: 0
Verdächtig: 9
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 19
Ignoriert: 0
Geschwindigkeit:: 247 Kb/s
Dauer:: 04:35:53
=============================================================================


Ich hoffe es ist einigermaßen nachvollziehbar. Ich habe den Anfang des Logs, die "infiziert"-Treffer und den Schluß gepostet.
Seitenanfang Seitenende
28.12.2009, 23:24
Member

Beiträge: 3716
#19 lösche drweb.
start ausführen,
combofix /u
enter
deinstaliert combofix.
http://oldtimer.geekstogo.com/OTM.exe
downloaden und auf cleanit! klicken, programm entfernt reste von removal tools, + sich selbst
http://www.hijackthis-forum.de/tipps-tricks/25986-[url="http://www.CCleaner.de"]CCleaner[/url]-anleitung.html
[url="http://www.CCleaner.de"]CCleaner[/url] mit zusätzliche ordner bereinigen lassen
rechtsklick auf arbeitsplatz, eigenschaften, systemwiederherstellung auf allen laufwerken deaktivieren, übernehmen ok
5 min warten, einschalten.
geht nun alles wieder?
Seitenanfang Seitenende
29.12.2009, 10:18
Member

Beiträge: 14
#20 Sieht alles gut aus, bis auf die Tatsache, dass "combofix" nicht gefunden wird. Über die Suche habe ich eine Datei "COMBOFIX.EXE-03020517.pf" im Ordner "C:\WINDOWS\Prefetch" gefunden, soll ich sie von Hand löschen?
Ansonsten wurden in der Registry durch CCleaner über 300 Einträge bereinigt, das System läuft momentan stabil.
Seitenanfang Seitenende
29.12.2009, 10:34
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#21 Start > Ausführen> Kopiere rein combofix /uninstall OK
__________
MfG Argus
Seitenanfang Seitenende
29.12.2009, 10:45
Member

Beiträge: 14
#22 Fehlermeldung
"combofix" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig geschrieben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.

Ich glaube, das ist noch ein Überbleibsel der ersten Reinigung mit "combofix" (vom 22.12.), schon da hatte ich Probleme, es zu entfernen. Ich hatte es mit "start ausführen combofix /u" versucht und da dies nicht funktioniert hat, habe ich versucht combofix "von Hand" zu löschen. Offensichtlich ein Fehler.
Dier Deinstallation nach der zweiten combofix-Reinigungsaktion hatte hingegen funktioniert (mit "start ausführen combofix /uninstall").
Seitenanfang Seitenende
29.12.2009, 11:45
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#23 Wenn noch Überbleibsel da sind

Download OTC.exe zum Desktop
(Vista benutzer, rechtsklick auf OTC.exe und waehle "Run as Administrator")
OTC.exe klicken
1. klicken: CleanUp! button
2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

so wird von OTC automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden
__________
MfG Argus
Seitenanfang Seitenende
29.12.2009, 14:45
Member

Beiträge: 14
#24 Alles klar, müsste erledigt sein. Wurde irgendwo ein Log hinterlegt?
Seitenanfang Seitenende
29.12.2009, 16:25
Member

Beiträge: 3716
#25 nein, ein log brauchen wir davon nicht.
Seitenanfang Seitenende
29.12.2009, 18:06
Member

Beiträge: 14
#26 Also, es läuft momentan alles so wie es soll. Muß noch etwas getan werden, oder ist es das nun gewesen?
Seitenanfang Seitenende
29.12.2009, 18:29
Member

Beiträge: 3716
#27 war alles, noch passwörter endern.
Seitenanfang Seitenende
29.12.2009, 18:54
Member

Beiträge: 14
#28 Sehr geil. Vielen Dank für Eure Hilfe!
Kann man das Board in irgend einer Weise supporten?
Seitenanfang Seitenende
29.12.2009, 19:06
Member

Beiträge: 3716
#29 klick mal auf team, dann lukas und frag ihn, die kann ich dir leider nicht beantworten.
Seitenanfang Seitenende