W32.Randex.gen vernichten aber wie???? |
||
|---|---|---|
| #0
| ||
|
19.05.2004, 20:13
...neu hier
Beiträge: 1 |
||
 
|
|
|
|
19.05.2004, 21:20
Member
 Beiträge: 1122 |
||
|
|
|
|
|
20.05.2004, 14:00
Ehrenmitglied
 Beiträge: 29434 |
#48
Systemwiederherstellung deaktivieren: http://www.pctip.ch/helpdesk/kummerkasten/archiv/viren/26316.asp
Ueberpruefe, ob das deine Proxyeinstellung ist R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.21.0.200:8080 Fixe mit dem HijackThis: O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\Run: [@RegRunOnSecure] C:\PROGRA~1\Greatis\REGRUN~1\OnSecure.exe neustarten gehe in den abgesicherten Modus (F8 beim Hochfahren druecken) und scanne dort mit dem Antivr. ist das Problem nicht behoben, dann deinstalliere dieses Programm [@RegRunOnSecure] und alles, was damit zu tun hat. Lade den e-scann, scanne alle Dateien und loesche manuell, was das Tool nicht loescht, sondern nur anzeigt. http://www.mwti.net/antivirus/free_utilities.asp Lade AdAware (free), update (!) und scanne http://www.lavasoft.de/support/download/ ------------------------------------------------------------ Tip von einem ForumUser: weiss nicht ob du dein Problem schon gelöst hast?! Ich habe auch das gleiche gehabt und konnte es nicht loswerden. Nach einiger Zeit habe ich eine Lösung gefunden die einfach durchzuführen ist. Du kannst folgendes machen: 1. Virenscanner starten, nachdem die Datei C:\WINDOWS\system32\wuamgrd.exe gefunden worden ist in den verzeichniss hingehen und die wuamgrd.exe z.B. in won.exe umbenennen. 2. Rechner neustarten und nochmal nach virenscennen. diesmal wir die won.exe gefunden und erfolgreich gelöscht ;-) 3.Zur sicherheit noch einmal neustarten und nach Viren suchen. Dann poste das Log noch mal. Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.05.2004 um 14:12 Uhr von Sabina editiert.
|
|
|
|
|
|
|
29.05.2004, 01:11
Member
Beiträge: 14 |
#49
Grüß euch , Ich bin neu hier.
Ich hab auf der suche nach hilfe im internet diese seite hier gefunden und ich hoffe ihr könnt auch mir helfen. Ich bin ein ziemlicher PC-neuling. Mein Norton hat diesen Wurm entdeckt und jetzt weiß ich nicht wie ich ihn runtermachen soll. Ich hab schon alles von eich durchgelesen aber das sagt mir ned unbedingt sooo viel. Außerdem ist meine befallene Datei C:\WINDOWS\System32\navmgrd.exe . Kann mir wer bitte helfen? Vielleicht wie man das hijackthis Teil ansieht und so. Wäre echt toll von euch und es würde mir sehr helfen. Ich habe schon 2x mein norton und 1x Housecall rüberlaufen lassen. Was soll ich jetzt tun? Im abgesicherten Modus norton rüberlaufen lassen? |
|
|
|
|
|
|
29.05.2004, 02:27
Ehrenmitglied
Beiträge: 29434 |
#50
@Alexander 69
Lade den HijackThis, <scann<save< und kopiere dann das SaveLog mit der Maus...und dann hier ins Forum. http://www.spychecker.com/download/download_hijackthis.html Heute werde ich es nicht mehr ansehen, aber andere sind vielleicht noch wach.... Poste also das Log, und eventuell morgen sehen wir weiter. ---------------------------------------------------------------------------- Das kannst du ja inzwischen schon machen: LADE :e-scann (mwav.exe) http://www.mwti.net/antivirus/free_utilities.asp LADE AdAware (free), update (!) und scanne http://www.lavasoft.de/support/download/ ---------------------------------------------- gehe in den abgesicherten Modus (F8 beim Hochfahren druecken) mit mwav.exe (e-scann) scanne alle Dateien.Kopiere dann auch das Endergebnis vom Scann.(auch mit der Maus kopieren) Lade AdAware (free), update (!) und scanne http://www.lavasoft.de/support/download/ Bis morgen......dann schon mit dem HijackThisLog und dem mwav.exe-Log MfG Sabina  __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.05.2004 um 02:28 Uhr von Sabina editiert.
|
|
|
|
|
|
|
29.05.2004, 10:11
Member
Beiträge: 14 |
#51
Logfile of HijackThis v1.97.7
Scan saved at 10:08:27, on 29.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\pctspk.exe C:\WINDOWS\System32\wkssvr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe D:\Norton AntiVirus\navapsvc.exe D:\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe D:\Norton AntiVirus\SAVScan.exe C:\WINDOWS\system32\ntvdm.exe D:\T-ONLINE\BSW4\ToDuCAlC.EXE c:\progra~1\intern~1\iexplore.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Progs\HijackThis.exe O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] D:\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Microsoft Update] REM navmgrd.exe O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\RunServices: [Microsoft Update] navmgrd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKCU\..\Run: [Microsoft Update] REM navmgrd.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38135.5865393519 O17 - HKLM\System\CCS\Services\Tcpip\..\{EC2B8488-443C-42F1-AF1E-43ABAE834526}: NameServer = 217.237.151.97 194.25.2.129 Ich danke dir ,dass du mir hilfst  Es ist mir etwas sehr setsames passiert. Ich hab bei Trendmicro.de>Support>scannen gescannt und er hat den Sasser wurm gefunden. (Bei Norton findet er immer den Randex.gen in einer anderen datei) Dann hab ich auf löschen geklickt und seit dem findet Norton keinen Wurm/Virus mehr. Bin ich jetzt clean? Ich hab auch im abgesicherten Modus nen Virusscan mit Norton gemacht. ~nochmals danke~ |
|
|
|
|
|
|
29.05.2004, 10:37
Moderator
Beiträge: 7805 |
#52
Nein, bist du leider noch nicht. Du musst das noch "fix"en und dann neu starten:
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\Run: [Microsoft Update] REM navmgrd.exe O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\RunServices: [Microsoft Update] navmgrd.exe O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKCU\..\Run: [Microsoft Update] REM navmgrd.exe Es waere nett, wenn du dann diese Datei C:\WINDOWS\System32\wkssvr.exe an virus@protecus.de schicken koenntest, Auf jedenfall solltest du sie erstmal, nach dem Neustart, umbenennen. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
29.05.2004, 10:45
Member
Beiträge: 14 |
#53
Hallo :
 Sry ich weiß nicht was du meinst oder wie das geht. Kannst du es ein bisschen einfacher ausdrücken? was ich tun soll. danke |
|
|
|
|
|
|
29.05.2004, 11:35
Moderator
Beiträge: 7805 |
#54
Hake die Eintraege die ich oben geschrieben habe an und druecke dann "fix checked". Starte dann deinen Rechner neu und benenne die Datei C:\WINDOWS\System32\wkssvr.exe bitte an virus@protecus.de oder teste sie zumindest einmal hier: http://www.kaspersky.com/scanforvirus
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
29.05.2004, 12:23
Member
Beiträge: 14 |
#55
Starte dann deinen Rechner neu und benenne die Datei C:\WINDOWS\System32\wkssvr.exe umbennen? in welchen namen? egal?
|
|
|
|
|
|
|
29.05.2004, 12:29
Moderator
Beiträge: 7805 |
||
|
|
|
|
|
29.05.2004, 12:49
Member
Beiträge: 14 |
||
|
|
|
|
|
29.05.2004, 12:51
Member
Beiträge: 1122 |
||
|
|
|
|
|
29.05.2004, 13:00
Member
Beiträge: 14 |
#59
Ich habe alle dateien anzeigen lassen ,aber ich finde C:\WINDOWS\System32\wkssvr.exe diese datei nicht... Istdas korrekt?
logfile~ Logfile of HijackThis v1.97.7 Scan saved at 13:01:44, on 29.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\pctspk.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Messenger\msmsgs.exe D:\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe D:\Norton AntiVirus\navapsvc.exe D:\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe D:\Norton AntiVirus\SAVScan.exe C:\WINDOWS\system32\ntvdm.exe D:\T-ONLINE\BSW4\ToDuCAlC.EXE D:\Tibia\Tibia.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Progs\zipped\TibTrick Lite v1.2 by d4G.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Progs\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tibia.org/home/index.php?subtopic=news O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] D:\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38135.5865393519 O17 - HKLM\System\CCS\Services\Tcpip\..\{EC2B8488-443C-42F1-AF1E-43ABAE834526}: NameServer = 217.237.151.97 194.25.2.129 danke |
|
|
|
|
|
|
29.05.2004, 13:14
Member
Beiträge: 1122 |
#60
Das Log ist sauber, aber da du die Datei ja umbennant hast, musst du nach der Unbenannten suche.
Bitte schick sie mir dann auch. An: Spam-Email@gmx.net MFG DAFRA |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Logfile of HijackThis v1.97.7
Scan saved at 20:12:10, on 19.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
F:\h\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.21.0.200:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [@RegRunOnSecure] C:\PROGRA~1\Greatis\REGRUN~1\OnSecure.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38126.4549421296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Hab versucht alles zu entvernen leider bin ich laie ist jezt alles ok? schonmal danke im vorraus für eure vielen vielen tips bisher
viele viele grüße thilo