Wie Virus: W32.hllw.bereb entfernen? |
||
---|---|---|
#0
| ||
11.01.2004, 13:18
Member
Beiträge: 13 |
||
|
||
11.01.2004, 14:52
Member
Beiträge: 54 |
#2
C:\windows\svckernell.com
C:\WINDOWS\wanmpsvc.exe Diese Dateien kenne ich erst mal nicht. Schick sie mal an virus@protecus.de __________ (-- Rokop --) www.rokop-security.de |
|
|
||
11.01.2004, 18:32
Moderator
Beiträge: 7805 |
#3
Hallo Boss,
Na, hast du heute "Familienfrei" @MaikBigM fixe das mal und starte neu: O4 - HKLM\..\Run: [svckernell] c:\windows\svckernell.com Wo genau meldet ddenn welche AV-Software den Uebeltaeter? Infos zu "deinem" findest du hier: http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.bereb.html Da du AOL zu nutzen scheinst, gehe ich davon aus das die wanmpsvc.exe zu dem AOL "wireless lan" gehoert. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
11.01.2004, 18:47
Member
Beiträge: 54 |
||
|
||
11.01.2004, 22:30
Member
Themenstarter Beiträge: 13 |
#5
so..hier bin ich wieder..also....
nachdem ich die datei*O4 - HKLM\..\Run: [svckernell] c:\windows\svckernell.com*entfernt habe..sind die infizierten datein von 3095 auf 453 gefallen...ist ja schon ein gewaltiger fortschritt... nun nach einem neuen scan mit trendmicro befinden sich noch ca 311 infizierte datein auf dem rechner...habe den scan dann abgebrochen weil er fast 1 1/2 std.lief..sämtliche datein befinden sich in*C:\System Volume Information\....was immer das auch sein mag die datei *c:\windows\svckernell.com*tauch bei jedem neuen scan wieder auf obwohl ich sie entfernt habe... hier mein neuer logfile: Logfile of HijackThis v1.97.7 Scan saved at 22:23:06, on 11.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Real\RealPlayer\RealPlay.exe D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE C:\Progra~1\WinMX\WinMX.exe C:\Programme\AOL 8.0a\aoltray.exe D:\Programme\Microsoft Office\Office\OSA.EXE D:\Programme\Microsoft Office\Office\FINDFAST.EXE D:\Programme\iOpus Flatrate Steckdose\flatrate.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirentools\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.funama.com/ O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVGuard] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe O4 - HKCU\..\Run: [Steam] "f:\spiele\steam\steam.exe" -silent O4 - HKCU\..\Run: [WinMX] C:\Progra~1\WinMX\WinMX.exe -m O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: FlatrateSteckdose.lnk = D:\Programme\iOpus Flatrate Steckdose\flatrate.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0a\aoltray.exe O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Real.com (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/virusinfo/webscan.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab |
|
|
||
12.01.2004, 16:41
Moderator
Beiträge: 7805 |
#6
Die Dateien aus der Systemwiederherstellung loescht du einfach, indem du die Systemiederherstellung abschaltest, neu startest und dann wieder anschaltest:
http://www.newsup2date.de/systemwiederherstellung.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.01.2004, 17:07
Member
Beiträge: 133 |
#7
Kannst auch hier nochmal nachlesen:
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_BEREB.B MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
12.01.2004, 18:00
Member
Themenstarter Beiträge: 13 |
#8
habe das jetzt mal alles so gemacht...habe auch meinen regenschirmvirenscanner entsorgt und habe jetzt den norten drauf...gescannt und nix gefunden
denke mal das der rechner nun endlich wieder sauber ist besten dank an euch!!!!! Maik ô¿ô |
|
|
||
ich habe mir diesen freundlichen Gesellen bei WinMx eingefangen und bekomme ihn leider nicht vom Rechner.
Ich habe schon online Virenscans gemacht...den Shredder und Spybot drüberlaufen lassen...aber anscheinent hilft da nix..
ich poste mal die Logfile die Hijack ausgelesen hat..
bin für jede Hilfe dankbar!!!!
Logfile of HijackThis v1.97.7
Scan saved at 13:07:02, on 11.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\windows\svckernell.com
C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
C:\Progra~1\WinMX\WinMX.exe
C:\Programme\AOL 8.0a\aoltray.exe
D:\Programme\Microsoft Office\Office\OSA.EXE
D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
D:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\Programme\iOpus Flatrate Steckdose\flatrate.exe
D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirentools\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.funama.com/
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGuard] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [svckernell] c:\windows\svckernell.com
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [Steam] "f:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [WinMX] C:\Progra~1\WinMX\WinMX.exe -m
O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: FlatrateSteckdose.lnk = D:\Programme\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0a\aoltray.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab