IRC Wurm, wie entfernen?? |
||
---|---|---|
#0
| ||
07.05.2004, 21:46
...neu hier
Beiträge: 5 |
||
|
||
08.05.2004, 00:56
Ehrenmitglied
Beiträge: 29434 |
#2
Deaktiviere die Wiederherstellung...kannst du spaeter wieder aktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/2003080710570792 Fixe mit dem HijackThis. C:\WINDOWS\system32\system01\svchost.exe O4 - HKLM\..\Run: [svc] c:\windows\system32\system01\svchost.exe O4 - Global Startup: hpoddt01.exe.lnk = ? NEUSTARTEN Lade den Antivirus (free) http://www.free-av.com/ Lade, dann die mwav.exe suchen http://www.mwti.net/antivirus/free_utilities.asp Ueberpruefe die hpoddt01.exe und vor allem die system32\system01\svchost.exe mit Kaspersky http://www.kaspersky.com/remoteviruschk.html PS. was bedeutet er Wurm schreibt ständig AMSGs die ich nicht sehen kann aber auf den Link zum Wurm verweisen)??????????' Ausserdem sehe ich den AntiVir nicht auf deinem Comp. Aber vielleicht uebersehe ich was... MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.05.2004 um 01:11 Uhr von Sabina editiert.
|
|
|
||
08.05.2004, 07:30
...neu hier
Themenstarter Beiträge: 5 |
#3
thx für deine Antwort.
habe den Anti Viri erst installiert als ich das Log bereits erstellt hatte, desshalb erscheint er da noch nicht. Aber irgendwie geht der Oberste Link den den geschrieben hast leider net AMSG : Eine Nachricht, die in allen Channels geschrieben wird, in denen du bist. Jedoch kann man bei dem Wurm nicht sehen, wenn man sie schreibt, aber die anderen User schon. |
|
|
||
08.05.2004, 19:42
Member
Beiträge: 56 |
#4
mist verdammt hab mir den Schei... auch eingefangen ...
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\MediaKey\MMKeybd.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\Tweak-XP\blads.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\WINDOWS\System32\CTSvcCDA.exe C:\WINDOWS\System32\nvsvc32.exe C:\Dokumente und Einstellungen\Bugi\Desktop\Download\hijackthis1977\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MMKeybd] C:\PROGRA~1\MediaKey\MMKeybd.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [BlockAds] C:\Programme\Tweak-XP\blads.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{60345D50-41AF-40B7-9C03-ED2A5C4FF3BC}: NameServer = 217.237.150.33 194.25.2.129 Nur bei mir ists extrem heftig ... wenn ich nen texteditor öffnen will startet der wurm automatisch die "mIRC.exe" das hab ich um die 90x im prozess ... blöder wurm achja was mir noch aufgefallen ist ... ich hab auch den Ordner "system01" im windows system32 ordner .. und da ist auch diese svchost.exe enthalten ... nur ist es nicht in meinem HijackThis log aufgelistet ... ? hab was herausgefunden ... irgendwo auf meiner platte ist ne datei .. wenn ich ein texteditor öffne springt das program an und erstellt eine datei in C:\ und zwar die "mIRC.exe" und noch eine .dll datei deren namen ich mir grad nicht merken konnte ... und die wiederrum starten zich "mIRC.exe" prozesse ... Dieser Beitrag wurde am 08.05.2004 um 20:23 Uhr von bugiman editiert.
|
|
|
||
13.06.2004, 02:26
...neu hier
Beiträge: 1 |
#5
Genau nach diesem Wurm hab' ich gesucht.
Ich hab' 'nen Link im IRC-Channel angeklickt und plötzlich hat sich Wimamp 5 mit dem alten Skin bei mir geöffnet. Das lag an irgendeiner selfexe.wsz Skin Datei, die dabei heruntergeladen wurde. Danach hab' ich 'nen Anti-Viren-Online-Scan mit PandaSoftware gemacht und dabei wurde Botnut.A gefunden. Außerdem wurde bei mir die notepad.exe im system32 Ordner ersetzt. Irgendwelche unbekannten Systemstarts (Q4) konnte ich nicht ausfindig machen. Da stehen nur 3 bekannte bei mir drin. system01 konnte ich auch nicht finden. Vielleicht hätte ich mich erst infiziert, wenn ich versucht hätte den Editor zu öffnen. Jetzt hab' ich erstmal die notepad.exe gelöscht und werde mir die exe von 'nem Freund wieder besoregen. |
|
|
||
13.06.2004, 03:21
Ehrenmitglied
Beiträge: 29434 |
#6
Zitat SmvLL posteteWelcher Link funktioniert nicht ... Und hast du das Problem mit den Viren schon geloest mit Hilfe von Kaspersky... MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.06.2004 um 03:22 Uhr von Sabina editiert.
|
|
|
||
13.06.2004, 03:25
Ehrenmitglied
Beiträge: 29434 |
#7
@Bugiman
Fixe mit dem HijackThis O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe neustarten Gehe in den abgesicherten Modus ...F8 beim Hochfahren druecken und mache dort einen Vollscann mit dem vorher aktualisierten Antivirus. normal neustarten Lade den Stinger und scanne http://www.zdnet.de/downloads/programs/q/z/de0DQZ_is-wc.html Lade mwav.exe und scanne http://www.mwti.net/antivirus/free_utilities.asp Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.06.2004 um 03:31 Uhr von Sabina editiert.
|
|
|
||
13.06.2004, 08:57
Member
Beiträge: 13 |
#8
frage: wie kann es sein, dass sich beim starten auf einen link in irc eine anwendung startet? wird da nicht erst nachgefragt? kann man das irgendwie abblocken (nachfrage erzwingen) ? wo ist da die schwachstelle?
|
|
|
||
15.06.2004, 23:32
...neu hier
Beiträge: 10 |
#9
Hallo, ich habe das Teil jetzt auch bekommen:
Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\KeirNet\K9\K9.exe C:\PMAIL\winpm-32.exe C:\mIRC\mirc.exe C:\Programme\AVPersonal\AVWIN.EXE C:\Dokumente und Einstellungen\Henry\Desktop\HostExxx.exe C:\Programme\Winamp\winamp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XMN8L6Z\HijackThis[1].exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mstart.de/startseite.php?google=on&gmx=on&webdefreemail=on&piranho=on&eigenelinks=on&linktext1=Gangwars&url1=http%3A%2F%2Fwww.gangwars.org%2Fgangwars%2Findex_pro.php&eigenelinks=on&linktext2=Antispam&url2=http%3A%2F%2Fforum.antispam.de&eigenelinks=on&linktext3=Spamcop&url3=http%3A%2F%2Fwww.spamcop.net%2F%3Fcode%3DZoNFFlCwmPkrnGwE&eigenelinks=on&linktext4=&url4=http%3A%2F%2F&eigenelinks=on&linktext5=&url5=http%3A%2F%2F&neuesfenster=on&inhalt= O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [InCD] C:\Programme\StartupStar\inactive.exe C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroCheck] C:\Programme\StartupStar\inactive.exe C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MBM 5] C:\Programme\StartupStar\inactive.exe "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKCU\..\Run: [Steam] C:\Programme\StartupStar\inactive.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Zahlungserinnerung.lnk = C:\Programme\StartupStar\inactive.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: Pictures (HKCU) O16 - DPF: Yahoo! Go - http://download.games.yahoo.com/games/clients/y/gt2_x.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.napster.com/client/isetup.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37975.0936921296 O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{51CDC518-5183-4FC2-9B0E-62928869E820}: NameServer = 192.168.1.1 Ich habe keine Ahnung ob noch was da ist, ich habe Teile schon entfernt AdAware hat mir nichts angezeigt, SpyBot auch netder CWS Shredder ist hier nicht angebracht Antivir läuft noch und hat 2 Meldungen gebracht [edit]Entsprechende Datei gelöscht Zitat PS. was bedeutet er Wurm schreibt ständig AMSGs die ich nicht sehen kann aber auf den Link zum Wurm verweisen)??????????'Das bedeutet, das der Virus im IRC ständig unsichtbare Nachrichten in allen Channels schreibt, in denen das Opfer aktiv ist Dieser Beitrag wurde am 15.06.2004 um 23:52 Uhr von DarkX2 editiert.
|
|
|
||
16.06.2004, 10:11
Ehrenmitglied
Beiträge: 29434 |
#10
DarkX2
Gehe in den abgesicherten Modus.....F8 beim Hochfahren druecken und scanne dort. mit dem Antivir. Dann lade die mwav.exe und mache ebenfalls einen Vollscann. http://www.mwti.net/antivirus/free_utilities.asp Poste dann mal, was das Tool gefunden hat. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.06.2004, 19:33
...neu hier
Beiträge: 10 |
#11
Ähm, kannst du mir verraten was ich vom mwavlog genau posten soll? Ich bezweifle mal, dass ich die ganze Logdatei hier posten soll - die ist 21 MB groß...
Hmm, ich habe mal die ganzen "Virusfunde" herausgesucht, und dann den Abschlussbericht hinzugefügt... File C:\Altplatte\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken. File C:\Altplatte\WINNT\twain_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\Henry\Desktop\Jan\Persönliches\Computer\Shareware\RedDragonSetup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\Henry\Desktop\Jan\Persönliches\Computer\Shareware\RedDragonSetup_1103_D.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\Henry\Desktop\Jan\Schule\InfCdnichtkopieren\Derive für Windows\Derive 4.0\Setup4.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8TIJOXY3\showtopic[3].php possibly infected and removed by background antivirus package! File C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8TIJOXY3\showtopic[3].php possibly infected and removed by background antivirus package! File C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8TIJOXY3\showtopic[3].php infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XMN8L6Z\selfexec[1].wsz infected by "TrojanDownloader.VBS.Psyme.q" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPYZOLIN\sluted[1].html infected by "Exploit.IE.Params.d" Virus. Action Taken: File Renamed. File C:\download\Flashget\fgf140.exe tagged as not-a-virus:AdvWare.Cydoor. No Action Taken. File C:\download\MS Office\spdeu9x.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\eudora\Downloads\w32-412a.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\mIRC\backup\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.02. No Action Taken. File C:\mIRC\backup\mirc32.exe tagged as not-a-virus:RiskWare.mIRC.5.9.1. No Action Taken. File C:\mIRC\dirc-321.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken. File C:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. File C:\My Shared Folder\mIRC2\backup\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.02. No Action Taken. File C:\My Shared Folder\mIRC2\backup\mirc32.exe tagged as not-a-virus:RiskWare.mIRC.5.9.1. No Action Taken. File C:\My Shared Folder\mIRC2\dirc-321.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken. File C:\My Shared Folder\mIRC2\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. File C:\PMAIL\wpmmapi.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Programme\FlashGet\BACKUP\cd_install277.exe tagged as not-a-virus:AdvWare.Cydoor. No Action Taken. File C:\Programme\PMAIL\wpmmapi.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Scanning File C:\WINNT\G Wed Jun 16 18:59:00 2004 => C:\WINNT\G possibly infected and removed by background antivirus package! Wed Jun 16 18:59:00 2004 => Process \??\C:\WINNT\system32\winlogon.exe Found running in Memory... Wed Jun 16 18:59:00 2004 => Result: ERROR!!! File C:\WINNT\G: Scanning Failure!!! Wed Jun 16 18:59:00 2004 => C:\WINNT\G possibly infected and removed by background antivirus package! Wed Jun 16 18:59:00 2004 => File C:\WINNT\G infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. F:\Programme\KaZaA Lite\My Shared Folder\kmd171gu_en.exe tagged as not-a-virus:AdvWare.Cydoor. No Action Taken. File F:\WINDOWS\SYSTEM\GKSUI16.EXE tagged as not-a-virus:AdvWare.Aureate. No Action Taken. File F:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken. File F:\WINDOWS\TWAIN_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action File F:\Downloads\TU11a710.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Downloads\flashget\fgf140.exe tagged as not-a-virus:AdvWare.Cydoor. No Action Taken. File F:\Downloads\pencam2.25.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Downloads\WinDSL-Tiscali.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Downloads\Mainboard\AGP\SiS\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File F:\Downloads\Tiscali\WinDSL-Tiscali.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Downloads\dtg.2003-05-01.zip tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File F:\Downloads\dtg.serials.zip tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File F:\Downloads\agp114.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken. File F:\Downloads\Downloads\agp114.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action taken. File F:\Downloads\Downloads\WinDSL-Tiscali.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Downloads\Downloads\Tiscali\WinDSL-Tiscali.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Downloads\Downloads\Mainboard\AGP\SiS\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File F:\Downloads\agp114\AGP\htpatch\HTpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken. File F:\Sierra\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. File F:\Mail\Jan\P5SV3FR0.CNM infected by "VBS.Redlof.a" Virus. Action Taken: File Deleted. Wed Jun 16 19:29:46 2004 => ***** Scanning complete. ***** Wed Jun 16 19:29:46 2004 => Total Number of Files Scanned: 181541 Wed Jun 16 19:29:46 2004 => Total Number of Virus(es) Found: 43 Wed Jun 16 19:29:46 2004 => Total Number of Disinfected Files: 0 Wed Jun 16 19:29:46 2004 => Total Number of Files Renamed: 3 Wed Jun 16 19:29:46 2004 => Total Number of Deleted Files: 2 Wed Jun 16 19:29:46 2004 => Total Number of Errors: 10 Wed Jun 16 19:29:46 2004 => Time Elapsed: 02:21:27 Wed Jun 16 19:29:46 2004 => Virus Database Date: 2004/06/12 Wed Jun 16 19:29:46 2004 => Virus Database Count: 94597 Wed Jun 16 19:29:46 2004 => Scan Completed. Dieser Beitrag wurde am 16.06.2004 um 20:09 Uhr von DarkX2 editiert.
|
|
|
||
17.06.2004, 09:20
Ehrenmitglied
Beiträge: 29434 |
#12
geloescht oder umbenannt wurden
#TrojanDownloader.VBS.Psyme.q" Virus. #BkCln.Unknown" Virus #Exploit.IE.Params.d" Virus #File C:\WINNT\G infected by "BkCln.Unknown" Virus. Action #File F:\Mail\Jan\P5SV3FR0.CNM infected by "VBS.Redlof.a" Virus noch entfernt muss werden| #File C:\download\Flashget\fgf140.exe tagged as not-a-virus:AdvWare.Cydoor. #File C:\Programme\FlashGet\BACKUP\cd_install277.exe tagged as not-a-virus:AdvWare.Cydoor #F:\Programme\KaZaA Lite\My Shared Folder\kmd171gu_en.exe tagged as not-a-virus:AdvWare.Cydoor #File F:\WINDOWS\SYSTEM\GKSUI16.EXE tagged as not-a-virus:AdvWare.Aureate. #File F:\Downloads\flashget\fgf140.exe tagged as not-a-virus:AdvWare.Cydoor #das ist ein Dialer File F:\Downloads\dtg.2003-05-01.zip tagged as not-a-virus:RiskWare.Dialer.gen. File F:\Downloads\dtg.Ser*hier nicht!*.zip tagged as not-a-virus:RiskWare.Dialer.gen ......................................................................................................... Nun laedst du von dieser Site AdAware free Spybot http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Dann laedst du Spyhunter http://www.spy-bot.net/manual.asp loesche unter InternetOptionen die TemporaryInternetFiles und stelle einenStartseite deiner Wahl ein. Dann poste mal, ob die Spyware Cydoor und Aureate und der Dialer geloescht wurden. Poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.06.2004, 14:28
...neu hier
Beiträge: 10 |
#13
hmm, AdAware meldet den Spyhunter als Spyware...
Spybot ebenfalls - eine Antispyware mit Spyware drin? So, die meiste Spyware sollte dann weg sein. Welches Log nochmal posten? Dieser Beitrag wurde am 17.06.2004 um 14:45 Uhr von DarkX2 editiert.
|
|
|
||
18.06.2004, 13:33
Ehrenmitglied
Beiträge: 29434 |
#14
Das ist witzig.....ist wohl die Konkurenz...
Poste das Log vom HijackThis, zur Kontrolle Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.06.2004, 16:58
...neu hier
Beiträge: 2 |
#15
so.selbes problem.
wäre sehr dankbar wenn wer meinen log am ldurchsehen könnte. hab mir auch den ircwurm zugezogen scan: Logfile of HijackThis v1.97.7 Scan saved at 16:53:49, on 29.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\Dit.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\DitExp.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\ctfmon.exe c:\windows\system32\rundll32\svchost.exe c:\windows\system32\secure\rundll32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Dokumente\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spacenations.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [RUNDLL] c:\windows\system32\rundll32\svchost.exe O4 - HKLM\..\Run: [svc] rundll32.exe O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37884.393599537 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Dieser Beitrag wurde am 29.06.2004 um 16:59 Uhr von Pate22 editiert.
|
|
|
||
Hier n Log von Hijackthis:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\apache\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\system01\svchost.exe
F:\Programme\utmirc\utmirc.exe
C:\Dokumente und Einstellungen\Auron\Eigene Dateien\stuff\wurm\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planetmv.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.80.252
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.chello.at:8080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [svc] c:\windows\system32\system01\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37982.4915162037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F4ED9A8F-48EC-48FE-A473-7C5C77EBFF1F} (Seagate DiscWizard German) - http://www.seagate.com/support/disc/asp/dwiz/de/bin/npdscwiz.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6440F72B-11A5-4165-A452-4B189D8101E3}: NameServer = 195.34.133.10,195.34.133.11
Anti Viri sagt noch irgendwas mit "IRC.Botnut.3" aber ich bin mir nicht sicher, ob der Wurm entfernt werden konnte.
(Der Wurm schreibt ständig AMSGs die ich nicht sehen kann aber auf den Link zum Wurm verweisen)