Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Sober.X

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.11.2005, 10:58   #1
Icetiger1980
 
Sober.X - Standard

Sober.X



Hallo!

Habe mir den Sober.X eingefangen....

Weiß wer wie man den killt?

Gruß

Alt 15.11.2005, 11:32   #2
chaosman
 
Sober.X - Standard

Sober.X



@Icetiger1980
poste bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493

poste auch wo der soberX gefunden würde

chaosman
__________________

__________________

Alt 15.11.2005, 12:46   #3
Icetiger1980
 
Sober.X - Standard

Sober.X



Logfile of HijackThis v1.99.1
Scan saved at 12:03:15, on 15.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Internet\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe
O4 - HKLM\..\RunOnce: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe %1
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [_WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - hxxp://download.mcafee.com/molbin/sh...0/mcinsctl.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - hxxps://img.web.de/v/mail/activex/mail_upload_1124.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - hxxp://download.mcafee.com/molbin/sh...23/mcgdmgr.cab
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Habe erfahren dass es der sober.x ist als ich auf der avpersonal-hp (antivir.de in der virus-warung) war um das neueste update zu installieren... gefunden wurde er vom AV programm noch nicht.. AV und hijack läuft nur im agesicherten modus
__________________

Geändert von Icetiger1980 (15.11.2005 um 13:06 Uhr)

Alt 15.11.2005, 12:50   #4
Icetiger1980
 
Sober.X - Standard

Sober.X



kommando zurück, er heißt sober.W!!!!

e-mail war so:

Subject:
Ihre eMail!





Body:


Guten Tag,
jemand schickte mir eine Mail mit einer Excel oder Access Tabelle (kenne
mich da nicht so aus!).
Jedenfalls ist diese Mail aber an ihre Mail Adresse adressiert, aber zu meiner gekommen??? Ist wohl irgendein Fehler.


Ok, hier haben Sie sie wieder zurueck!


gruss






Attachment:


excel_table.zip

Alt 15.11.2005, 12:54   #5
Wildone
 
Sober.X - Standard

Sober.X



Hallo,
Zitat:
Habe erfahren dass es der sober.x ist als ich auf der avpersonal-hp war um das neueste update zu installieren...
Kannst du das mal noch ein wenig näher erläutern? Weil dort Symptome beschrieben sind, die du hast? Hast du denn überhaupt einen Anhang einer fragwürdige E-Mail geöffnet?
Überprüfe mal folgende Datei:
C:\WINDOWS\ConnectionStatus\Microsoft\services.exe
hier und poste das Ergebnis.


P.S. Editiere deine Links im HijackThis log (aus http hxxp machen!)
Grüße Wildone


Alt 15.11.2005, 12:58   #6
Icetiger1980
 
Sober.X - Standard

Sober.X



ergebnis The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

wenn ich die datei öffnen will heißt es ein anderes programm greift gerade darauf zu

habe anhang geöffnet... leider

Geändert von Icetiger1980 (15.11.2005 um 13:07 Uhr)

Alt 15.11.2005, 13:07   #7
Wildone
 
Sober.X - Standard

Sober.X



Hallo,
naja dann löschen wir die datei halt ohne zu erfahren welche Sobervarinte das jetzt ist. Besorge dir Killbox und lösche die Datei mit "delete file on reboot" danach fixt(Haken davor und auf "fix checked") du mit HijackThis folgende Einträge:
O4 - HKLM\..\Run: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe
O4 - HKLM\..\RunOnce: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe %1
O4 - HKCU\..\Run: [_WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe

Hat das updaten von Antivir eigentlich funktioniert? Denn der sollte die neuen Sobervarianten eigentlich schon erkennen, siehe hier.


Grüße Wildone

Alt 15.11.2005, 13:21   #8
Icetiger1980
 
Sober.X - Standard

Sober.X



Danke,

sieht gut aus...

ich konnte ja nicht das internet-update von antivir machen und hab das ganze programm nochmal runtergeladen... anscheinend war da noch nicht die neueste VDF drauf, weil beim update jetzt war auf pc .23 und server hatte .25 ... immerhin startet jetzt antivir und ich lass gleich laufen... danke für alles

Antwort

Themen zu Sober.X
killt




Ähnliche Themen: Sober.X


  1. W32/Sober?
    Log-Analyse und Auswertung - 06.01.2006 (7)
  2. W32.Sober.X@mm!zip
    Plagegeister aller Art und deren Bekämpfung - 27.12.2005 (5)
  3. Sober
    Plagegeister aller Art und deren Bekämpfung - 29.11.2005 (5)
  4. Sober C
    Log-Analyse und Auswertung - 22.11.2005 (4)
  5. Sober C
    Mülltonne - 22.11.2005 (0)
  6. W32.Sober.Q@mm
    Plagegeister aller Art und deren Bekämpfung - 21.10.2005 (44)
  7. w32.sober.N@mm
    Plagegeister aller Art und deren Bekämpfung - 23.08.2005 (25)
  8. Sober
    Plagegeister aller Art und deren Bekämpfung - 10.05.2005 (9)
  9. W32.Sober.N@mm entfernen ???
    Plagegeister aller Art und deren Bekämpfung - 21.04.2005 (5)
  10. W32.sober.I@mm!enc
    Plagegeister aller Art und deren Bekämpfung - 06.01.2005 (1)
  11. W32.Sober.I
    Plagegeister aller Art und deren Bekämpfung - 04.01.2005 (1)
  12. Sober.I.B64.A
    Log-Analyse und Auswertung - 27.12.2004 (9)
  13. W32.Sober.I@mm
    Plagegeister aller Art und deren Bekämpfung - 07.12.2004 (2)
  14. W32.Sober.C
    Plagegeister aller Art und deren Bekämpfung - 04.01.2004 (4)
  15. sober
    Plagegeister aller Art und deren Bekämpfung - 30.12.2003 (5)
  16. w32.sober@mm
    Plagegeister aller Art und deren Bekämpfung - 03.11.2003 (3)
  17. I-Worm.Sober, Win32/Sober.A, W32.Sober@mm
    Plagegeister aller Art und deren Bekämpfung - 28.10.2003 (2)

Zum Thema Sober.X - Hallo! Habe mir den Sober.X eingefangen.... Weiß wer wie man den killt? Gruß - Sober.X...
Archiv
Du betrachtest: Sober.X auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.