| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Worm/Netsky#1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
24.10.2005, 15:04
| #1 |
 |  Worm/Netsky#1 Hi! Hab am Samstag folgede Meldung bei mir in Anti Vir gehabt, als ich einen anhang von ner Mail öffen wollte (dachte der Anhang ist ok) Anti Vir stellte eine Signatur des Worm/Netsky#1 Viruses fest. Irgendwo in C  okumente und Einstellungen/.../ Thunderbird/.../... . zipIch habe dann sofort die Datei mit Hilfe von AntiVir gelöscht. Anschließend habe ich Adaware , Antvir und Spybot laufen lassen. Alles ohne Befund. Habe dann noch den Tip bekommen mit nem Programm, welches es bei sophos.de gibt speziell nach Netsky Würmern zu suchen.=> auch ohne Befund! Ist der Wurm nun endgültig von meinem Rechner? Hatte ich ihn überhaupt komplett drauf, denn ich habe ja die gezipte Datei nit geöffnet (wollte es ja aber dann kam schon die Meldung) Was kann dieser Wurm überhaupt anrichten? Hier noch ne Hijackthisfile: Logfile of HijackThis v1.99.1 Scan saved at 16:05:39, on 24.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\htpatch.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\NCLAUNCH.EXe C:\WINDOWS\System32\svchost.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\Zone Labs\ZoneAlarm\zapro.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe D:\Downloads\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.1/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danke im Vorraus! Raphire  |
|
24.10.2005, 15:09
| #2 |
  |  Worm/Netsky#1 Hallo,
__________________so wie das aussieht wurde der Netzky ja nur in einem Emailanhang gefunden. Solange du den Anhang nicht geöffnet hast, ging auch keine Gefahr von ihm aus, und durch einfaches löschen hast du das Problem auch bereinigt. Grüße Wildone |
|
24.10.2005, 15:23
| #3 |
| | Worm/Netsky#1 Ich weiß ja nicht genau ab wann die datei als geöffnet zählt. Thunderbird hat ja die Mail + Anhang auf meien Rechner geholt. Hab dann unten auf Den Anhang geklickt, als dann sofort die Meldung kam.Habe dann eben die Datei mit Anti Vir gelöscht. Was macht eigentlich der Wurm?Ist die HijackThis file sauber?
__________________MFG Raphire |
|
24.10.2005, 15:49
| #4 |
| | Worm/Netsky#1 Hallo, also das HijackThis Log ist sauber, da es haufenweise Variationen von Netsky gibt ist schwer zu beantworten was diese Version genau macht. Also, so wie ich das sehe bist du rechtzeitig gewarnt worden, und es ist keine Infektion eingetreten. Aber zukünftig solltest du die Finger von E-Mail Anhängen lassen die nicht eindeutig zugeordnet werden können. Grüße Wildone |
|
24.10.2005, 15:52
| #5 |
| | Worm/Netsky#1 Ja werd ich auf jeden Fall auch lassen, aber was richten NetSky Dinger in der Regel an? Gefährlich oder quasi keine wirkliche Gefahr? MFG Raphire |
|
24.10.2005, 16:03
| #6 |
| | Worm/Netsky#1 Hallo, also die Dinger sind schon gefährlich, ursprünglich wurde der ja mal programmiert um Mydoom(oder Bagle) Registryeinträge zu entfernen (von dem Sasserautor), aber in Variationen werden Antivirenscanner ausgeschaltet, und DoS Atacken auf bestimmte Seiten durchgeführt, also nichts mit dem zu spaßen wäre. Grüße Wildone |
|
24.10.2005, 16:08
| #7 |
| | Worm/Netsky#1 Irgendwie spinnt mein Antivir Update grade. Habe gestern, nachdem ich den Wurm ja schon lange drauf hatte noch updaten können. jetz sucht er die aktuelle Version aus dem netz, läd sie aber glaub ich net so ganz runter. Scannen kann ich aber. Sit wohl keine Auswirkung von Netsky. wird wohl an firewall liegen, oder? |
|
| Themen zu Worm/Netsky#1 |
| adobe, antivir, antvir, avg, bho, dll, drivers, explorer, firefox, hijack, hotkey, icq, internet, internet explorer, microsoft, monitor, mozilla, mozilla firefox, programm, programme, rundll, software, suche, system, windows, windows xp, windows\system32\drivers, wurm |
Hybrid-Darstellung
