Wie Virus: W32.hllw.bereb entfernen?

#0
11.01.2004, 13:18
Member

Beiträge: 13
#1 heihoo...
ich habe mir diesen freundlichen Gesellen bei WinMx eingefangen und bekomme ihn leider nicht vom Rechner.
Ich habe schon online Virenscans gemacht...den Shredder und Spybot drüberlaufen lassen...aber anscheinent hilft da nix..
ich poste mal die Logfile die Hijack ausgelesen hat..
bin für jede Hilfe dankbar!!!!

Logfile of HijackThis v1.97.7
Scan saved at 13:07:02, on 11.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\windows\svckernell.com
C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
C:\Progra~1\WinMX\WinMX.exe
C:\Programme\AOL 8.0a\aoltray.exe
D:\Programme\Microsoft Office\Office\OSA.EXE
D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
D:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\Programme\iOpus Flatrate Steckdose\flatrate.exe
D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirentools\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.funama.com/
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGuard] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [svckernell] c:\windows\svckernell.com
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [Steam] "f:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [WinMX] C:\Progra~1\WinMX\WinMX.exe -m
O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: FlatrateSteckdose.lnk = D:\Programme\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0a\aoltray.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Seitenanfang Seitenende
11.01.2004, 14:52
Member

Beiträge: 54
#2 C:\windows\svckernell.com
C:\WINDOWS\wanmpsvc.exe

Diese Dateien kenne ich erst mal nicht. Schick sie mal an virus@protecus.de
__________
(-- Rokop --)
www.rokop-security.de
Seitenanfang Seitenende
11.01.2004, 18:32
Moderator

Beiträge: 7805
#3 Hallo Boss,

Na, hast du heute "Familienfrei";)

@MaikBigM

fixe das mal und starte neu:
O4 - HKLM\..\Run: [svckernell] c:\windows\svckernell.com

Wo genau meldet ddenn welche AV-Software den Uebeltaeter?

Infos zu "deinem" findest du hier:
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.bereb.html

Da du AOL zu nutzen scheinst, gehe ich davon aus das die wanmpsvc.exe zu dem AOL "wireless lan" gehoert.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.01.2004, 18:47
Member

Beiträge: 54
#4 Hallo Mitstreiter,

wollte Dich mal etwas entlasten ;)
__________
(-- Rokop --)
www.rokop-security.de
Seitenanfang Seitenende
11.01.2004, 22:30
Member

Themenstarter

Beiträge: 13
#5 so..hier bin ich wieder..also....
nachdem ich die datei*O4 - HKLM\..\Run: [svckernell] c:\windows\svckernell.com*entfernt habe..sind die infizierten datein von 3095 auf 453 gefallen...ist ja schon ein gewaltiger fortschritt...
nun nach einem neuen scan mit trendmicro befinden sich noch ca 311 infizierte datein auf dem rechner...habe den scan dann abgebrochen weil er fast 1 1/2 std.lief..sämtliche datein befinden sich in*C:\System Volume Information\....was immer das auch sein mag
die datei *c:\windows\svckernell.com*tauch bei jedem neuen scan wieder auf obwohl ich sie entfernt habe...
hier mein neuer logfile:

Logfile of HijackThis v1.97.7
Scan saved at 22:23:06, on 11.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\Progra~1\WinMX\WinMX.exe
C:\Programme\AOL 8.0a\aoltray.exe
D:\Programme\Microsoft Office\Office\OSA.EXE
D:\Programme\Microsoft Office\Office\FINDFAST.EXE
D:\Programme\iOpus Flatrate Steckdose\flatrate.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirentools\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.funama.com/
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGuard] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [Steam] "f:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [WinMX] C:\Progra~1\WinMX\WinMX.exe -m
O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: FlatrateSteckdose.lnk = D:\Programme\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0a\aoltray.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Seitenanfang Seitenende
12.01.2004, 16:41
Moderator

Beiträge: 7805
#6 Die Dateien aus der Systemwiederherstellung loescht du einfach, indem du die Systemiederherstellung abschaltest, neu startest und dann wieder anschaltest:
http://www.newsup2date.de/systemwiederherstellung.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.01.2004, 17:07
Member

Beiträge: 133
#7 Kannst auch hier nochmal nachlesen:
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_BEREB.B

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
12.01.2004, 18:00
Member

Themenstarter

Beiträge: 13
#8 habe das jetzt mal alles so gemacht...habe auch meinen regenschirmvirenscanner entsorgt und habe jetzt den norten drauf...gescannt und nix gefunden
denke mal das der rechner nun endlich wieder sauber ist
besten dank an euch!!!!!
Maik ô¿ô
Seitenanfang Seitenende