Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Worm/Sober.I.Base64A

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.12.2004, 18:39   #1
greendwarf
 
Worm/Sober.I.Base64A - Icon17

Worm/Sober.I.Base64A



Hi,
ich bekam gerade folgende Warnmeldung von Antivir:
30.12.2004,17:14:01 [WARNUNG] Enthält Signatur des Wurmes Worm/Sober.I.Base64A!
C:\DOKUMENTE UND EINSTELLUNGEN\DAVID\ANWENDUNGSDATEN\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\USER\USR_STANDARD_000000\TMP\1
[INFO] Die Datei wurde gelöscht!
Ich habe daraufhin mit Antivir gescant und nichts mehr gefunden. Hier noch das HJT - Logfile. Könnt Ihr noch was finden?

Logfile of HijackThis v1.99.0
Scan saved at 18:35:57, on 30.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\David\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: Sicherheitscenter.lnk = C:\WINDOWS\system32\wscui.cpl
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44D09CF0-8228-4B13-ADC5-507890139627}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke im Voraus!!

Alt 30.12.2004, 20:04   #2
Cidre
Administrator, a.D.
 
Worm/Sober.I.Base64A - Standard

Worm/Sober.I.Base64A



Hallo,

dein Log-File ist sauber.

Anstelle der T-Online Software solltest du
- eine DFÜ Netzwerkverbindung manuell einrichten http://www.netzwerktotal.de/tdslwinxp.htm
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- Sichere eMail Clients wie Thunderbird einsetzen http://www.thunderbird-mail.de/
__________________

__________________

Alt 30.12.2004, 20:10   #3
greendwarf
 
Worm/Sober.I.Base64A - Standard

Worm/Sober.I.Base64A



Danke! Bin jetzt erstmal froh, dass es nicht schlimmer gekommen ist.
Werde auf jeden Fall auf Mozilla umsteigen!
Guten Rutsch!
__________________

Alt 30.12.2004, 20:14   #4
Cidre
Administrator, a.D.
 
Worm/Sober.I.Base64A - Standard

Worm/Sober.I.Base64A



Ebenso einen guten Rutsch.

Sicherheitshalber kannst du mit eScan AntiVirus im abgesicherten Modus wie beschrieben scannen.
__________________
Gruß, Cidre


Alt 31.12.2004, 09:21   #5
greendwarf
 
Worm/Sober.I.Base64A - Standard

Worm/Sober.I.Base64A



Moin,
habe gestern noch im abgesicherten Modus mit escan gescant. Folgendes kam dabei raus:

Thu Dec 30 21:58:04 2004 => File C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP11\A0012932.exe infected by "not-a-virus:AdWare.SaveNow.am" Virus. Action Taken: No Action Taken.

Thu Dec 30 21:58:14 2004 => File C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP11\A0012970.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

Thu Dec 30 22:19:29 2004 => File C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP56\A0030671.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Ach ja, diese Sober Warnung von Antivir bekomme ich jetzt JEDES MAL wenn ich bei T-Online meine Emails abhole

Die drei Dateien sind nur als Beispiel. Fast 30 Dateien sind mit diesem Gator/Save now Mist befallen, so 2 - 3 mit Win32.reboot.
Was soll ich jetzt machen?!

Besonders ScheXXXXe ist, dass wohl Restore-Daten befallen sind!!!!


Alt 31.12.2004, 11:55   #6
Cidre
Administrator, a.D.
 
Worm/Sober.I.Base64A - Standard

Worm/Sober.I.Base64A



Zitat:
Besonders ScheXXXXe ist, dass wohl Restore-Daten befallen sind!!!!
Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren
http://www.bsi.bund.de/av/texte/wiederher_xp.htm


Zitat:
Ach ja, diese Sober Warnung von Antivir bekomme ich jetzt JEDES MAL wenn ich bei T-Online meine Emails abhole
http://www.heise.de/newsticker/meldung/53427
http://www.heise.de/security/artikel/53440
__________________
--> Worm/Sober.I.Base64A

Alt 31.12.2004, 12:39   #7
greendwarf
 
Worm/Sober.I.Base64A - Standard

Worm/Sober.I.Base64A



Habe eben im abgesicherten Modus mal mit Antivir und Spysweeper gescant, beide brachten keine Funde. Mit der freeware Version von escan kann man nur scannen, aber nichts beheben?!
Kann ich die infizierten Dateien einfach "per Hand" löschen?!

Geändert von greendwarf (31.12.2004 um 12:50 Uhr)

Alt 31.12.2004, 12:54   #8
Cidre
Administrator, a.D.
 
Worm/Sober.I.Base64A - Standard

Worm/Sober.I.Base64A



Natürlich kannst du die Malware Dateien manuell löschen. eScan hat von den AV Scanner her, mit die grösste Erkennungsrate und so durchaus zu empfehlen.
Zur Erleichterung kannst du auch mit Hilfe von Killbox die Dateien löschen lassen. Kopiere dazu den Pfad der Datei, füge ihn bei Killbox ein und lösche.
__________________
Gruß, Cidre


Alt 31.12.2004, 12:58   #9
greendwarf
 
Worm/Sober.I.Base64A - Standard

Worm/Sober.I.Base64A



Nochmal danke frohes neues an aller TBer! Thanxs auch an Cacota!!

Alt 31.12.2004, 13:13   #10
Cidre
Administrator, a.D.
 
Worm/Sober.I.Base64A - Standard

Worm/Sober.I.Base64A



Gern geschehen und ebenso einen guten Rutsch.
__________________
Gruß, Cidre


Antwort

Themen zu Worm/Sober.I.Base64A
.com, .inf, adobe, antivir, antivir update, bho, browser, computer, desktop, dll, einstellungen, email, explorer, hijack, hijackthis, internet, internet explorer, microsoft, monitor, programme, rundll, software, system, t-online, tcpip, warnung, webroot, windows, windows messenger, windows xp



Ähnliche Themen: Worm/Sober.I.Base64A


  1. EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!
    Log-Analyse und Auswertung - 26.11.2006 (6)
  2. Sober
    Plagegeister aller Art und deren Bekämpfung - 29.11.2005 (5)
  3. Sober C
    Log-Analyse und Auswertung - 22.11.2005 (4)
  4. Sober C
    Mülltonne - 22.11.2005 (0)
  5. W32.Sober.Q@mm
    Plagegeister aller Art und deren Bekämpfung - 21.10.2005 (44)
  6. w32.sober.N@mm
    Plagegeister aller Art und deren Bekämpfung - 23.08.2005 (25)
  7. Sober
    Plagegeister aller Art und deren Bekämpfung - 10.05.2005 (9)
  8. Email-Worm.Win32.Sober.p
    Plagegeister aller Art und deren Bekämpfung - 05.05.2005 (9)
  9. W32.sober.I@mm!enc
    Plagegeister aller Art und deren Bekämpfung - 06.01.2005 (1)
  10. W32.Sober.I
    Plagegeister aller Art und deren Bekämpfung - 04.01.2005 (1)
  11. "I-Worm.Sober.i" im Inbox-Ordner durch eScan entdeckt
    Log-Analyse und Auswertung - 25.12.2004 (2)
  12. W32.Sober.I@mm
    Plagegeister aller Art und deren Bekämpfung - 07.12.2004 (2)
  13. Worm/Sober??..mein Log !!
    Log-Analyse und Auswertung - 21.11.2004 (13)
  14. Worm.Sober.C1
    Plagegeister aller Art und deren Bekämpfung - 11.01.2004 (6)
  15. sober
    Plagegeister aller Art und deren Bekämpfung - 30.12.2003 (5)
  16. w32.sober@mm
    Plagegeister aller Art und deren Bekämpfung - 03.11.2003 (3)
  17. I-Worm.Sober, Win32/Sober.A, W32.Sober@mm
    Plagegeister aller Art und deren Bekämpfung - 28.10.2003 (2)

Zum Thema Worm/Sober.I.Base64A - Hi, ich bekam gerade folgende Warnmeldung von Antivir: 30.12.2004,17:14:01 [WARNUNG] Enthält Signatur des Wurmes Worm/Sober.I.Base64A! C:\DOKUMENTE UND EINSTELLUNGEN\DAVID\ANWENDUNGSDATEN\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\USER\USR_STANDARD_000000\TMP\1 [INFO] Die Datei wurde gelöscht! Ich habe daraufhin mit Antivir gescant und - Worm/Sober.I.Base64A...
Archiv
Du betrachtest: Worm/Sober.I.Base64A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.