Worm. Win 32. Netsky loswerden

#16 Ok, der Schnellscan hatte keine Funde zu verzeichnen, der normale Scan schon, allerdings ist die Log-Datei schlanke 17307 kb groß. Kann ich den Inhalt wohl schlecht hier posten, oder?

Edit: Die Funde habe ich verschoben.

#17 kannst mal die funde raus suchen und posten? das wort infected sollte ein gutes suchkriterium sein.

#18 Ok, ich hab jetzt mal hoffentlich alles beieinander:

=============================================================================
Dr.Web Scanner für Windows v5.00.10 (5.00.10.11260)
© Doctor Web, Ltd., 1992-2009
Log erstellt am: 2009-12-27, 18:07:24 [Hans]
Kommandozeile: "C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\y2bqnXP.exe" /lng:de-scan /ini:setup_XP.ini /fast
Betriebssystem: Windows XP Home Edition x86 (Build 2600), Service Pack 3
=============================================================================
DwShield gestartet
Engine-Version: 5.00 (5.00.1.12222)
API-Version: 2.02
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\93d6ad5f - 881 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\7fbb37fd - 17644 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\fc406e9f - 872 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\cbbcfd54 - 142240 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\1700aa31 - 66726 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\215ff01c - 24512 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\55325f85 - 82762 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\f983c76b - 514157 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\225599e1 - 823 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\0a19acec - 2800 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\8fa1e15a - 6197 Virensignaturen
[Virendatenbank] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\27d470dc - 28348 Virensignaturen
Gesamtzahl der Virensignaturen: 887962
[Selbstüberprüfung] C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\y2bqnXP.exe
Lizenzschlüsseldatei: C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\setup.key
Lizenzchlüsselnummer: 0011097003
Registriert für:: An unauthorized User
Aktivierungsdatum des Lizenzschlüssels:: 2009-09-14
Ablaufdatum des Lizenzschlüssels:: 2010-03-17
Speichervorgang: System:4 - OK
Speichervorgang: \SystemRoot\System32\smss.exe:164 - OK
Speichervorgang: \??\C:\WINDOWS\system32\csrss.exe:212 - OK
Speichervorgang: \??\C:\WINDOWS\system32\winlogon.exe:236 - OK
Speichervorgang: C:\WINDOWS\system32\services.exe:280 - OK
Speichervorgang: C:\WINDOWS\system32\lsass.exe:292 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:456 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:520 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:572 - OK
Speichervorgang: C:\WINDOWS\Explorer.EXE:812 - OK
Speichervorgang: C:\Dokumente und Einstellungen\Hans\Desktop\tnnedg4v.exe:1100 - OK
Speichervorgang: C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\z322l9.exe:1112 - OK
Speichervorgang: C:\DOKUME~1\Hans\LOKALE~1\Temp\RarSFX0\y2bqnXP.exe:1124 - OK
[Speicherscannen] Keine Viren gefunden
Master Boot Record HDD1 - OK
Active OS/2 or WinNT Boot Sector HDD1 - OK

...

>>>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a0ddec6.qua/data001 infiziert mit Trojan.Fakealert.9222
>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a0ddec6.qua - Archiv enthält infizierte Objekte - verschoben
>>>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a106546.qua/data001 infiziert mit Trojan.Packed.18626
>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a106546.qua - Archiv enthält infizierte Objekte - verschoben
>>>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a116d0e.qua/data001 infiziert mit Trojan.Packed.18626
>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a116d0e.qua - Archiv enthält infizierte Objekte - verschoben
>>>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b65da5d.qua/data001 infiziert mit Trojan.Packed.18626
>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b65da5d.qua - Archiv enthält infizierte Objekte - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0021937.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar -

verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0021952.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar -

verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0021962.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar -

verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022163.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar -

verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022178.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar -

verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022179.exe infiziert mit Trojan.Packed.18626 - nicht desinfizierbar -

verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022186.bat wahrscheinlich infiziert mit BATCH.Virus
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022747.bat wahrscheinlich infiziert mit BATCH.Virus
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022807.bat wahrscheinlich infiziert mit BATCH.Virus
>>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022926.exe/32788R22FWJFW\List-C.bat wahrscheinlich infiziert mit

BATCH.Virus
>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022926.exe - Archiv enthält infizierte Objekte - verschoben
>>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024156.exe/32788R22FWJFW\List-C.bat wahrscheinlich infiziert mit

BATCH.Virus
>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024156.exe - Archiv enthält infizierte Objekte - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024196.bat wahrscheinlich infiziert mit BATCH.Virus
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024267.bat wahrscheinlich infiziert mit BATCH.Virus
>>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024387.exe/32788R22FWJFW\List-C.bat wahrscheinlich infiziert mit

BATCH.Virus
>C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024387.exe - Archiv enthält infizierte Objekte - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024423.bat wahrscheinlich infiziert mit BATCH.Virus

...

-----------------------------------------------------------------------------
Scanstatistiken
-----------------------------------------------------------------------------
Gescannt: 174183
Infiziert: 10
Modifikationen: 0
Verdächtig: 9
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 13
Ignoriert: 0
Geschwindigkeit:: 206 Kb/s
Dauer:: 03:54:54
-----------------------------------------------------------------------------

C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP286\A0022186.bat - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022747.bat - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP291\A0022807.bat - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024196.bat - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024267.bat - verschoben
C:\System Volume Information\_restore{7ECA644A-6347-4461-8868-B8547F7CAD5D}\RP296\A0024423.bat - verschoben

=============================================================================
Gesamtsitzungsstatistik
=============================================================================
Gescannt: 182145
Infiziert: 10
Modifikationen: 0
Verdächtig: 9
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 19
Ignoriert: 0
Geschwindigkeit:: 247 Kb/s
Dauer:: 04:35:53
=============================================================================


Ich hoffe es ist einigermaßen nachvollziehbar. Ich habe den Anfang des Logs, die "infiziert"-Treffer und den Schluß gepostet.

#19 lösche drweb.
start ausführen,
combofix /u
enter
deinstaliert combofix.
http://oldtimer.geekstogo.com/OTM.exe
downloaden und auf cleanit! klicken, programm entfernt reste von removal tools, + sich selbst
http://www.hijackthis-forum.de/tipps-tricks/25986-[url="http://www.CCleaner.de"]CCleaner[/url]-anleitung.html
[url="http://www.CCleaner.de"]CCleaner[/url] mit zusätzliche ordner bereinigen lassen
rechtsklick auf arbeitsplatz, eigenschaften, systemwiederherstellung auf allen laufwerken deaktivieren, übernehmen ok
5 min warten, einschalten.
geht nun alles wieder?

#20 Sieht alles gut aus, bis auf die Tatsache, dass "combofix" nicht gefunden wird. Über die Suche habe ich eine Datei "COMBOFIX.EXE-03020517.pf" im Ordner "C:\WINDOWS\Prefetch" gefunden, soll ich sie von Hand löschen?
Ansonsten wurden in der Registry durch CCleaner über 300 Einträge bereinigt, das System läuft momentan stabil.

#21 Start > Ausführen> Kopiere rein combofix /uninstall OK
__________
MfG Argus

#22 Fehlermeldung
"combofix" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig geschrieben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.

Ich glaube, das ist noch ein Überbleibsel der ersten Reinigung mit "combofix" (vom 22.12.), schon da hatte ich Probleme, es zu entfernen. Ich hatte es mit "start ausführen combofix /u" versucht und da dies nicht funktioniert hat, habe ich versucht combofix "von Hand" zu löschen. Offensichtlich ein Fehler.
Dier Deinstallation nach der zweiten combofix-Reinigungsaktion hatte hingegen funktioniert (mit "start ausführen combofix /uninstall").

#23 Wenn noch Überbleibsel da sind

Download OTC.exe zum Desktop
(Vista benutzer, rechtsklick auf OTC.exe und waehle "Run as Administrator")
OTC.exe klicken
1. klicken: CleanUp! button
2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

so wird von OTC automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden
__________
MfG Argus

#24 Alles klar, müsste erledigt sein. Wurde irgendwo ein Log hinterlegt?

#25 nein, ein log brauchen wir davon nicht.

#26 Also, es läuft momentan alles so wie es soll. Muß noch etwas getan werden, oder ist es das nun gewesen?

#27 war alles, noch passwörter endern.

#28 Sehr geil. Vielen Dank für Eure Hilfe!
Kann man das Board in irgend einer Weise supporten?

#29 klick mal auf team, dann lukas und frag ihn, die kann ich dir leider nicht beantworten.