Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Worm/Netsky#1

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.10.2005, 16:04   #1
Raphire
 
Worm/Netsky#1 - Ausrufezeichen

Worm/Netsky#1



Hi!

Hab am Samstag folgede Meldung bei mir in Anti Vir gehabt, als ich einen anhang von ner Mail öffen wollte (dachte der Anhang ist ok)

Anti Vir stellte eine Signatur des Worm/Netsky#1 Viruses fest.
Irgendwo in Cokumente und Einstellungen/.../ Thunderbird/.../... . zip

Ich habe dann sofort die Datei mit Hilfe von AntiVir gelöscht.
Anschließend habe ich Adaware , Antvir und Spybot laufen lassen. Alles ohne Befund. Habe dann noch den Tip bekommen mit nem Programm, welches es bei sophos.de gibt speziell nach Netsky Würmern zu suchen.=> auch ohne Befund!
Ist der Wurm nun endgültig von meinem Rechner? Hatte ich ihn überhaupt komplett drauf, denn ich habe ja die gezipte Datei nit geöffnet (wollte es ja aber dann kam schon die Meldung)
Was kann dieser Wurm überhaupt anrichten?
Hier noch ne Hijackthisfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:05:39, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.1/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke im Vorraus!

Raphire


Alt 24.10.2005, 16:09   #2
Wildone
 
Worm/Netsky#1 - Standard

Worm/Netsky#1



Hallo,
so wie das aussieht wurde der Netzky ja nur in einem Emailanhang gefunden. Solange du den Anhang nicht geöffnet hast, ging auch keine Gefahr von ihm aus, und durch einfaches löschen hast du das Problem auch bereinigt.


Grüße Wildone
__________________


Alt 24.10.2005, 16:23   #3
Raphire
 
Worm/Netsky#1 - Standard

Worm/Netsky#1



Ich weiß ja nicht genau ab wann die datei als geöffnet zählt. Thunderbird hat ja die Mail + Anhang auf meien Rechner geholt. Hab dann unten auf Den Anhang geklickt, als dann sofort die Meldung kam.Habe dann eben die Datei mit Anti Vir gelöscht. Was macht eigentlich der Wurm?Ist die HijackThis file sauber?

MFG

Raphire
__________________

Alt 24.10.2005, 16:49   #4
Wildone
 
Worm/Netsky#1 - Standard

Worm/Netsky#1



Hallo,
also das HijackThis Log ist sauber, da es haufenweise Variationen von Netsky gibt ist schwer zu beantworten was diese Version genau macht. Also, so wie ich das sehe bist du rechtzeitig gewarnt worden, und es ist keine Infektion eingetreten. Aber zukünftig solltest du die Finger von E-Mail Anhängen lassen die nicht eindeutig zugeordnet werden können.


Grüße Wildone

Alt 24.10.2005, 16:52   #5
Raphire
 
Worm/Netsky#1 - Standard

Worm/Netsky#1



Ja werd ich auf jeden Fall auch lassen, aber was richten NetSky Dinger in der Regel an? Gefährlich oder quasi keine wirkliche Gefahr?

MFG Raphire


Alt 24.10.2005, 17:03   #6
Wildone
 
Worm/Netsky#1 - Standard

Worm/Netsky#1



Hallo,
also die Dinger sind schon gefährlich, ursprünglich wurde der ja mal programmiert um Mydoom(oder Bagle) Registryeinträge zu entfernen (von dem Sasserautor), aber in Variationen werden Antivirenscanner ausgeschaltet, und DoS Atacken auf bestimmte Seiten durchgeführt, also nichts mit dem zu spaßen wäre.


Grüße Wildone

Alt 24.10.2005, 17:08   #7
Raphire
 
Worm/Netsky#1 - Ausrufezeichen

Worm/Netsky#1



Irgendwie spinnt mein Antivir Update grade. Habe gestern, nachdem ich den Wurm ja schon lange drauf hatte noch updaten können. jetz sucht er die aktuelle Version aus dem netz, läd sie aber glaub ich net so ganz runter. Scannen kann ich aber. Sit wohl keine Auswirkung von Netsky. wird wohl an firewall liegen, oder?

Alt 24.10.2005, 17:10   #8
Raphire
 
Worm/Netsky#1 - Standard

Worm/Netsky#1



Was meinst du mit Mydoom(oder Bagle)? Hab die Begriffe zwar schon mal gehört, kann sie aber nit zuorden.Kann durch diesen Wurm irgendwie für mich Kosten entstehen? (Habe DSL also keine Dialergefahr)

MFG
Raphire

Alt 24.10.2005, 17:13   #9
Wildone
 
Worm/Netsky#1 - Standard

Worm/Netsky#1



Hallo,
denke eher das es mit einer Serverüberlastung von AntiVir zusammenhängt, ist ja nichts so ungewöhnliches. Übrigens gibt es auch Freeware Antivirenprogramme die eingehende Mails scannen (Avast und AVG), aber das nur am Rande erwähnt.
[EDIT]
Nein Kosten können sich dadurch keine ergeben, was ich mit Mydoom(ein anderer Wurm) meinte, war nur als Erklärung gedacht. Der Netsky hat den Mydoom entfernt, so eine Art "Hackerfede" wenn man so will.
[/EDIT]
Grüße Wildone

Alt 24.10.2005, 17:21   #10
Raphire
 
Worm/Netsky#1 - Idee

Worm/Netsky#1



Sagmal kennst du dich mit eScan - Virus Log Information aus? hab das vor einigen Monaten aml laufen lassen und er hat gut 130 Meldungen gefunden. Aber alles irgendwie nur Warnungen, weil er auf irgendwas nicht zugreifen konnte. glaub mal das waren die dateinen, die bei adaware in Quarantäne sitzen.
Ich muss mir doch keine Sorgen machen, wenn eScan - Virus Log Information irgendwas findet aber alle anderen Programme net, oder?

MFG Raphire

Alt 24.10.2005, 17:28   #11
Wildone
 
Worm/Netsky#1 - Standard

Worm/Netsky#1



Hallo,

nein da mußt du dir keine Sorgen wegen machen, das sind meist nur verwaiste Registryeinträge, diese können z.B. mit Registrybereinigungstools beseitigt werden (Wie bei allem das Veränderungen an der Registry vornimmt, auf eigene Gefahr), z.B. Regseeker.
Und man sollte auch hin und wieder mal die Quarantäneordner der Viren/Spywarescanner lehren.



Grüße Wildone

Alt 24.10.2005, 19:58   #12
Raphire
 
Worm/Netsky#1 - Daumen hoch

Worm/Netsky#1



Ok danke für deine Hilfe!

MFG Raphire

Alt 24.10.2005, 22:41   #13
Expert
 
Worm/Netsky#1 - Standard

Worm/Netsky#1



hey

Versuch mal folgende:
#Lade dir f-netsky.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und warte bis Procedur fertig ist!

#PC neustarten

Gruss
Expert

Alt 27.01.2006, 23:44   #14
Oliveroderwas
 
Worm/Netsky#1 - Standard

Worm/Netsky#1



Ich bekomme andauernd e-mails von adresssen die ich nicht kenne. im anhang immer der gleich virus w32.netsky.w@mm .er wird immer automatisch behoben. das is ja net das problem aber ´hat das auch mal ein ende??

Alt 28.01.2006, 00:08   #15
Yopie
Moderator, a.D.
 
Worm/Netsky#1 - Standard

Worm/Netsky#1



Zitat:
Zitat von Oliveroderwas
das is ja net das problem aber ´hat das auch mal ein ende??
Wenn die Mails alle vom gleichen Internet Sercice Provider versendet werden, dann handelt es sich vermutlich immer um den gleichen befallenen Rechner. Wenn es ein seriöser ISP ist, kannst du ihm den Wurmbefall seines Kunden melden, und er klemmt dann im günstigsten Fall die Kiste ab.

An welchen ISP du dich wenden musst verrät dir die Headerfaq. Du kannst ja mal einen anonymisierten Header (Mail-Adressen und Realnames aus-x-en!) posten, wenn du dir unsicher bist.

Gruß
Yopie

Antwort

Themen zu Worm/Netsky#1
adobe, antivir, antvir, avg, bho, dll, drivers, explorer, firefox, hijack, hotkey, icq, internet, internet explorer, microsoft, monitor, mozilla, mozilla firefox, programm, programme, rundll, software, suche, system, windows, windows xp, windows\system32\drivers, wurm



Ähnliche Themen: Worm/Netsky#1


  1. Email-Worm.Win32.NetSky.q
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (4)
  2. Worm/NetSky.AA
    Plagegeister aller Art und deren Bekämpfung - 30.09.2009 (16)
  3. Netsky Worm?
    Mülltonne - 10.09.2008 (0)
  4. Worm Win32 NetSky...
    Log-Analyse und Auswertung - 01.07.2008 (4)
  5. worm.win32.netsky logfile
    Log-Analyse und Auswertung - 21.03.2008 (2)
  6. Worm.Win32.NetSky
    Log-Analyse und Auswertung - 05.03.2008 (1)
  7. Probs mit worm.win32.netsky
    Log-Analyse und Auswertung - 01.03.2008 (1)
  8. Worm.Win32.NetSky
    Mülltonne - 24.02.2008 (0)
  9. Worm.Win32.NetSky
    Plagegeister aller Art und deren Bekämpfung - 18.02.2008 (24)
  10. Worm.Win32.NetSky Was Tun?
    Mülltonne - 10.02.2008 (0)
  11. Worm.win32.netsky was tun?
    Log-Analyse und Auswertung - 27.01.2008 (2)
  12. Win32.netsky worm
    Log-Analyse und Auswertung - 07.01.2008 (4)
  13. Worm.Win32.NetSky
    Plagegeister aller Art und deren Bekämpfung - 02.01.2008 (4)
  14. Worm.Win32.Netsky... mal wieder
    Plagegeister aller Art und deren Bekämpfung - 27.12.2007 (0)
  15. worm.win32.netsky
    Log-Analyse und Auswertung - 26.12.2007 (0)
  16. Worm/NetSky.B.1.
    Plagegeister aller Art und deren Bekämpfung - 03.01.2006 (5)
  17. Hilfe habe Worm/NetSky.B.1
    Log-Analyse und Auswertung - 20.01.2005 (3)

Zum Thema Worm/Netsky#1 - Hi! Hab am Samstag folgede Meldung bei mir in Anti Vir gehabt, als ich einen anhang von ner Mail öffen wollte (dachte der Anhang ist ok) Anti Vir stellte eine - Worm/Netsky#1...
Archiv
Du betrachtest: Worm/Netsky#1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.