Problem mit Worm/Warezov.XJ

#16 ja hab alles löschen lassen.

hier der report:

Zitat

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 20.01.2008 19:31:10

Infected! C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP234\A0059035.dll

Attempting to delete infected files...

Attempting to delete: C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP234\A0059035.dll
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP234\A0059035.dll Deleted successfully!

Making registry repairs.


Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded

#17 nun, das sieht ja schon mal viel besser aus .. uff...
vermeide in Zukunft gewisse Software - und nicht auf alles klicken, was man dir schickt..., wenn du nicht alle naselang formatieren willst....
Wenn es noch Probleme geben sollte - melde dich, von meiner Seite ist alles o.k.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#18 dann Danke ich mal recht herzlich für die ausführliche Hilfe und die Tips!!


Edit:

so... kann den PC zwar wieder (scheinbar) uneingeschränkt nutzen aber eben kam wieder eine Fundmeldung... was ist das nur für ein wurm?

#19 Kannst du auch melden was gefunden wurde ?
__________
MfG Argus

#20 scanne mit Bitdefender (Online) - und poste den report
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#21 Hier der Bericht:

Zitat

BitDefender Online Scanner - Real Time Virus Report



Generated at: Mon, Jan 21, 2008 - 14:25:22


--------------------------------------------------------------------------------





Scan Info



Scanned Files
207169

Infected Files
0








Virus Detected



No virus found.











--------------------------------------------------------------------------------



This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

AVIRA findet jedoch immer die Würmer Worm/Warezov.XJ, Worm/Warezov.XJ.1 und Worm/Warezov.XJ.2

#22 «
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

«
scanne mit avira + poste den report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#23

Zitat

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 21. Januar 2008 17:05

Es wird nach 1059592 Virenstämmen gesucht.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '31' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <RECOVER>


Ende des Suchlaufs: Montag, 21. Januar 2008 17:48
Benötigte Zeit: 42:40 min

Der Suchlauf wurde vollständig durchgeführt.

7015 Verzeichnisse wurden überprüft
265948 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
265948 Dateien ohne Befall
8192 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Beim suchlauf findet Avira komischerweise nichts.

Zwischendurch kommen aber immerwieder Fundmeldungen....

#24 ««
lade sdfix - im normalmodus -
http://virus-protect.org/artikel/tools/sdfix.html

RunThis.bat doppelt klicken

reinschreiben: 2

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen

lade norman - scanne und poste hier den report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#25

Zitat

Norman Malware Cleaner
Copyright © 1990 - 2007, Norman ASA. Built 2008/01/21 17:03:23

Norman Scanner Engine Version: 5.91.08
Nvcbin.def Version: 5.90.00, Date: 2008/01/21 17:03:23, Variants: 1190495

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 2
Logged on user: PIT\Chris

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = "HU’
INDOWS\system32\NOTEPAD.EXE %1" -> ""

Scan started: 22/01/2008 21:55:09


Scanning running processes and process memory...

Number of processes/threads found: 2331
Number of processes/threads scanned: 2331
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 41s


Scanning file system...

Scanning: C:\*.*

C:\QooBox\Quarantine\C\Programme\Deskbar\basis.xml.vir (Infected with Dotcom.I)
Deleted file

C:\QooBox\Quarantine\C\Programme\Mario Forever\CCTrans.dll.vir (Infected with W32/Agent.BEPW)
Deleted file

Scanning: D:\*.*

Scanning: c:\System Volume Information\*.*


Running post-scan cleanup routine:

Number of files found: 102049
Number of archives unpacked: 7078
Number of files scanned: 102024
Number of files not scanned: 25
Number of files skipped due to exclude list: 0
Number of infected files found: 2
Number of infected files repaired/deleted: 2
Number of infections removed: 2
Total scanning time: 41m 50s

#26 fein
nun tippe 1 - lade a-squared - scanne und poste den report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#27

Zitat

a-squared Command Line Scanner v. 3.0.0.126
(C) 2003-2007 Emsi Software GmbH - www.emsisoft.com

ID Object
0 Key: HKEY_LOCAL_MACHINE\software\zango detected: Trace.Registry.180Solutions.Zango
1 Value: HKEY_CLASSES_ROOT\CLSID\{71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7}\InprocServer32 --> ThreadingModel detected: Trace.Registry.Mario Forever Toolbar
2 Key: HKEY_LOCAL_MACHINE\software\classes\runmsc.loader.1\clsid detected: Trace.Registry.WhenU.SaveNow
3 Key: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\zango detected: Trace.Registry.180Solutions.Zango
4 c:\dokumente und einstellungen\all users\startmenü\programme\zango detected: Trace.Directory.180Solutions.Zango
5 Key: HKEY_CURRENT_USER\software\zango detected: Trace.Registry.180Solutions.Zango
6 C:\Dokumente und Einstellungen\Chris\Cookies\chris@adserver.71i[1].txt detected: Trace.TrackingCookie
7 Key: HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\clsid detected: Trace.Registry.WhenU.SaveNow
8 Key: HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\curver detected: Trace.Registry.WhenU.SaveNow
9 Key: HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} detected: Trace.Registry.WhenU.SaveNow
10 c:\programme\icqtoolbar detected: Trace.Directory.ICQToolbar
11 Key: HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} detected: Trace.Registry.WhenU.SaveNow

#28 ««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

««
erstelle eine neue cfscript.txt

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\zango]
[-HKEY_LOCAL_MACHINE\software\zango]
[-HKEY_CLASSES_ROOT\CLSID\{71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7}]
[-HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}]
[-HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

-------

wende Dr.Web an - poste den Report (falls es zuviel ist, kopiere nur ab, was gefunden/gelöscht wurde)
http://www.virus-protect.org/cureit.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#29

Zitat

Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 181619
Infizierte Objekte gefunden: 2
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 1
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 2
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 2
Ignorierte Objekte: 0
Leistung:: 584 Kb/s
Dauer:: 01:13:38
-----------------------------------------------------------------------------

C:\Dokumente und Einstellungen\Chris\Desktop\SDFix\apps\Process.exe - gelöscht
C:\Dokumente und Einstellungen\Chris\Desktop\Viruskram\RVAXO\RVAXO3 - gelöscht
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP2\A0000028.bat - gelöscht

=============================================================================
Gesamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00
=============================================================================

#30 Moin!
Auch ich habe mir den obengenannten Wurm per ICQ eingefangen und werde ihn jetzt nich mehr los! kann mir vielleicht jemand helfen?

Danke


Logfile of HijackThis v1.99.1
Scan saved at 17:08:41, on 07.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\cisvc.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\ISDN Utilities\ccmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MICHAE~1.JOS\LOKALE~1\Temp\Rar$EX00.297\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=368&client_id=6173684001C
7DF6600285987&version=
4.5.4.0&it=1187200916&loc=&qry=&url=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://127.0.0.1:4664/&s=5BTuEx8HDJmg_dvnqO7yot7gHDo

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Programme\Starware368\bin\Starware368.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Starware Music UK Toolbar - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Programme\Starware368\bin\Starware368.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ClipIncSrvTray] "D:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [elsdw] C:\WINDOWS\elsdw.exe s
O4 - HKLM\..\Run: [gonz] C:\WINDOWS\gonz.exe s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: CAPI Tray.lnk = C:\Programme\ISDN Utilities\ccmon.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3994715A-234C-4772-BEC3-2E0FA641EFC5}: NameServer = 212.6.108.130 212.6.108.131
O17 - HKLM\System\CS3\Services\Tcpip\..\{3994715A-234C-4772-BEC3-2E0FA641EFC5}: NameServer = 212.6.108.130 212.6.108.131
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: pushow80.dll s11twsht.dll e1.dll samlkbdn.dll
O20 - Winlogon Notify: execvsut - C:\WINDOWS\system32\execvsut.dll (file missing)
O20 - Winlogon Notify: pngfuxth - C:\WINDOWS\system32\pngfuxth.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe