SpyWorm Win32 und weiterer Befall |
||
---|---|---|
#0
| ||
02.03.2008, 17:57
Member
Beiträge: 20 |
||
|
||
02.03.2008, 18:33
Ehrenmitglied
Beiträge: 1441 |
#2
schutzengel
1. HijakThis Setze ein Häckchen in das Kästchen vor den genannten Eintrag der im SicherheitsForum als zu "fixen" (löschen) empfohlen wurde) - keine anderen !! und wähle fix checked. Zitat O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.1262. wende fixwareout an http://virus-protect.org/artikel/tools/fixwareout.html poste nach neustart den report + das neue Log vom HijackThis __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
02.03.2008, 20:30
Member
Themenstarter Beiträge: 20 |
#3
Zitat Pinguin posteteSORRY!! Tut mir leid, aber das verstehe ich nicht. Soll ich HJT nochmals aufrufen und dann WAS?? anhaken? Oder soll ich an anderer Stelle etwas löschen?? WO finde ich Infos darüber im Forum.???? Habe zwar so einiges angesehen, aber DAS, was ich hier tun soll, das habe ich nicht gesehen. Bitte gib mir einen Hinweis, wo ich das finden kann. Vielen Dank für die Mühe |
|
|
||
02.03.2008, 22:19
Ehrenmitglied
Beiträge: 1441 |
#4
ja, HijackThis aufrufen
Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag - vor keine anderen !!! und wähle fix checked Zitat O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126«« wende fixwareout an http://virus-protect.org/artikel/tools/fixwareout.html poste nach neustart den report + das neue Log vom HijackThis __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
05.03.2008, 18:53
Member
Themenstarter Beiträge: 20 |
#5
Hallo Pinguin!!
Vielen Dank für die Mail, ..... aber ich befürchte diese Antwort wird niemandem gefallen. Habe HijackThis ausgeführt und nur "Do a system scan only" angeklickt. Dann habe ich NUR die 017 Kästchen angehakt und fix checked gewählt. Tja .... keine Wirkung. Danach habe ich fixwareout ausgeführt ....... leider gab es KEINEN REPORT!! Im Anhang sende ich die erschienenen Warnfenster Was nun?? |
|
|
||
05.03.2008, 18:58
Member
Themenstarter Beiträge: 20 |
#6
+
das neue Log vom HijackThis Ich versuche nun ein weiteres Warnfenster hier anzuhängen .... leider gibt es davon immer mehrere! Anhang: fixwareout install problem.jpg
|
|
|
||
05.03.2008, 19:02
Ehrenmitglied
Beiträge: 1441 |
#7
wenn du angehakt hast, so ist es gut,,,, wenn dann der Rechner auf grund von fixwareout neustartet, werden die Eintraege von hijackThis AUTOMATISCH geloescht.
fixwareout erledigt den rest.....HOFFENTLICH funktioniert das proggie unter Vista... wahrscheinlich musst du MIT RTECHTSKLICK auf die exe klicken und dann «als Administrator öffnen« benutzen ! poste bitte ein neues log vom HijackThis hier + den report von fixwareout unter: C:\fixwareout\report.txt __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
05.03.2008, 19:03
Member
Themenstarter Beiträge: 20 |
#8
Zitat Pinguin posteteHallo Pinguin, Du bist so rasant schnell........ ich kann garnicht alle Problemfenster so schnell aufzeigen! Also Fixwareout startet nicht neu, weil es irgendwie nicht bis zum Neustart durchläuft. Alles läuft, die DOS-Fenster kommen und die Kommandos "irgendeine Taste drücken" kommen auch ...... und dann ist Ruhe. Kein Neustart, kein report ..... nur Ruhe! Sorry, aber so ist das im wirklichen Leben. Nichts funktioniert so, wie man es möchte. (Kleiner Scherz! Weil ich etwas frustriert bin.) |
|
|
||
05.03.2008, 19:10
Ehrenmitglied
Beiträge: 1441 |
#9
es kann schon sein, dass fixwareout nicht mit vista kompatibel ist...schade ..
also musst du die falsche Internetverbindung unter 017 mit dem HijackThis anhaken + selbst den PC neustarten HijackThis aufrufen Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag - vor keine anderen !!! und wähle fix checked O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126 dann poste das neue log vom HijackTHis __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
05.03.2008, 19:15
Member
Themenstarter Beiträge: 20 |
#10
Hallo Pinguin,
gerne würde ich all Deine Anweisungen nochmals von vorne durchführen, aber der Rechner, der mit SpyWorm Win32 verseucht ist, der steht nicht hier bei mir, sondern ich muß jedesmal erst mit dem Auto hinfahren und dort alles ausführen. Der Rechner geht nur extrem eingeschränkt ins Internet und Mails schreibt er auch nicht ....... die Leistung des Rechners ist ziemlich runter. Daher kann ich nicht mit dem betroffenen Rechner Kontakt aufnehmen, sondern mache dies hier von meinem eigenen Rechner. Am Freitag werde ich den Rechner hier zu mir holen und dann mache ich alle Schritte nochmal von vorne. Danach melde ich mich wieder .... viellleicht funktioniert es ja dann. VIELEN DANK für Deine Mail und bis Freitag! Anhang: Frosch508.gif
|
|
|
||
05.03.2008, 23:29
Ehrenmitglied
Beiträge: 1441 |
#11
Hallo
also pass mal auf...dein Rechner ist mit überhaupt keinem Wurm verseucht, sondern du warst so "d...." und hast ein Programm geladen, was selbst der Virus ist - (ein Codec-Programm) Das hat nun deine Internetverbindung umgeleitet..und deinen Rechner arg mitgenommen. Die 017-Einträge müssen raus !!! Denn es ist nicht dein Provider, zu dem du geleitet wirst. Der Frosch ist toll ! Danke __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
06.03.2008, 19:00
Member
Themenstarter Beiträge: 20 |
#12
Hallo Pinguin!!
Zum Glück kann ich garnicht beleidigt sein, denn es ist ja NICHT MEIN RECHNER, um den es hier geht ..... daher bin ich ja nicht gemeint mit: Zitat: sondern du warst so "d...." und hast ein Programm geladen, was selbst der Virus ist - (ein Codec-Programm) Allerdings bleibt die Frage, was für ein schädliches CODEC das sein mag ..... damit man eine Wiederholung verhindert.???????!!!!!!! Zitat: Die 017-Einträge müssen raus !!! Denn es ist nicht dein Provider, zu dem du geleitet wirst. Nun, Hijack habe ich mehrfach durchzuführen versucht und auch 017 angekakt und fix checked angeklickt ..... allerdings OHNE ERFOLG!! Kann ich die 017er auch anders löschen??????? Ich frage nur sicherheitshalber, falls Hijack auch beim vierten und fünften Versuch 017 nicht löscht. Falls es da noch weitere Tips gibt: immer her damit! Ich versuche es! Danke für die Mühe und die Nachsicht mit den "D....." dieser Welt Anhang: 001 1307236_d687d70642_m.jpg
|
|
|
||
07.03.2008, 00:16
Ehrenmitglied
Beiträge: 1441 |
#13
dein Bildchen ist sehr lustig...vor allem für mich, da nicht männlich
machen wir es so...hake die 017-Einträge an - dann klicke: fix checked., dann starte den Rechner neu...waehrend des Boootens loescht Hijackthis die Eintraege raus. dann poste das neue Log vom HijackTHis... ich sehe nach -------- dahin geht deine Internetverbindung...sind "alte" Bekannte...Internetbetrüger Zitat O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126 __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
07.03.2008, 00:34
Ehrenmitglied
Beiträge: 6028 |
||
|
||
12.03.2008, 10:00
Member
Themenstarter Beiträge: 20 |
#15
Hallo Pinguin!!
Nun ist - vor lauter Begeisterung - etwas Zeit verstrichen ........ aber ich kann nun mit Recht sagen: DANKE, Pinguin ist ein Genie. Hat jetzt endlich funktioniert und alles läuft (zumindest momentan!!) wie am Schnürchen. VIELEN DANK uns.....siehe Anhang!!! Anhang: medium_elche2.jpg
|
|
|
||
Hallo!
Bin neu hier und hätte gerne Hilfe, denn mein PC ist scheinbar von Virus bzw Trojaner befallen.
Habe versucht die hier vorgegebenen Aktionen bereits auszuführen und setze hier die Texte ein - hoffentlich richtig.
BITTE HIER UM HILFE!!!!!
1. - SmitFraudFix
mitFraudFix v2.299
Scan done at 14:41:26,64, 02.03.2008
Run from C:\download\SmitfraudFix
OS: Microsoft Windows [Version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
::1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\Program Files\Helper\ Deleted
C:\Program Files\NetProject\ Deleted
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.78 85.255.112.126
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.78 85.255.112.126
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.78 85.255.112.126
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
2. ATF Cleaner durchgeführt (hoffentlich richtig)
3. Combofix
Funktioniert leider nicht - siehe Anhang
4. Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52, on 2008-03-02
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Gnab\Service\GnabTray.exe
C:\Program Files\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Programme\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Users\Hans Schuldt\AppData\Local\Temp\Temp1_HiJackThis.zip\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [GnabTray] C:\Program Files\Common Files\Gnab\Service\GnabTray.exe -checkstart
O4 - HKLM\..\Run: [TVBroadcast] C:\Program Files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-1170-17534-28/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-1170-17534-28/4 (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-1170-17534-28/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-1170-17534-28/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\ALDI Foto Service Nord\Common\Database\bin\fbserver.exe
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
--
End of file - 6793 bytes
Hilft das weiter??????
Bitte um Hilfe! DANKE