Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: "security alert: networm-i.virus@fp"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.11.2007, 15:03   #1
Atoll
 
"security alert: networm-i.virus@fp" - Standard

"security alert: networm-i.virus@fp"



So, hallo erstmal.

Ich habe ein anscheinend momentan bei einigen Leuten auftauchendes Problem, das hier auch schon gepostet wurde, aber eine mir helfende Lösung habe ich nicht gefunden.

Nachdem ich Daemon Tools Pro installiert hatte, ein Freund namens Dr. Albert Torränt hat es mit geschenkt.., und später dann runterverfahren wollte, kam eine Anzeige, "xpcom event manager" oder so reagiere nicht mehr. Am nächsten Tag Rechner an und gleich mal unten das gelbe Dreieck "security alert: networm-i.virus@fp" woraufhin sich Browser öffnen und mir sagen, wie infiziert mein Rechner doch sei, was er tatsächlich auch ist. Online Security Guide und Life Safety Center existieren auf einmal auf dem Desktop und erscheinen nach dem löschen erneut. Ähnliche Alerts erscheinen bei dem Dreieck immer wieder etc. So, viel Gelaber; hier die Logs:


_________________________________________________________________
Erstmal eScan:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.5
Sprache: German
Virus-Datenbank Datum: 11/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({602d9049-b4ac-4a25-bf75-

a9b54d747cba})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-

e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({dabf362d-d442-4402-9208-

ca9ed70dd01e})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({5ac3a9ef-c0f8-41d4-b4e2-

b7cebb794151})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({862def42-89aa-49fa-ae1f-

8a84b1b08a17})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({f6e4845d-1d13-4bc0-942d-

b9191524cc48})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-

e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware

(C:\Programme\advantage\advantage.htm)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\tr.dll)! Action

taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware

(C:\Programme\advantage\advantage.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\PROGRA~1\ADVANT~1)! Action

taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\ffext.mod)!

Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware

(C:\Programme\advantage\advantage.db)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\user.db)!

Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\__c00631B2.dat//PE_Patch.UPX//UPX infiziert von "Trojan-

Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\__c00631B2.dat//PE_Patch.UPX//UPX infiziert von "Trojan-

Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\pyvqvbuq.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion

vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\mstse.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion

vorgenommen.
Datei C:\WINDOWS\system32\ephlqhvi.dll//PE_Patch.UPX//UPX infiziert von "Trojan-

Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\pyvqvbuq.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion

vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\__c00631B2.dat//PE_Patch.UPX//UPX infiziert von "Trojan-

Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\unaufge\DAEMON Tools Pro-

V4.10.0218[CLEAN]\crack\DAEMON Tools v4.10.EXE//data0000.cab/wr-1-

922.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Small.gll" Virus.

Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\unaufge\DAEMON Tools Pro-

V4.10.0218[CLEAN]\DTPro4100218Basic.exe//data0000.cab/wr-1-

922.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Small.gll" Virus.

Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Programme\advantage\advantage.htm
Offending file found: C:\Programme\advantage\tr.dll
Offending file found: C:\Programme\advantage\advantage.exe
Offending file found: C:\PROGRA~1\ADVANT~1
Offending file found: C:\Programme\advantage\ffext.mod
Offending file found: C:\Programme\advantage\advantage.db
Offending file found: C:\Programme\advantage\user.db
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\netpumper
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\netpumper
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start

menu2\programs\netpumper !!!
Offending Key found: HKCR\mead.1 !!!
Offending Key found: HKCR\tr.trfactory !!!
Offending Key found: HKCR\tr.trfactory.1 !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\netpumper !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\Manfred Mustermann\Anwendungsdaten\uTorrent\utorrent.lng nicht

gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 90886
Gefundene Viren: 30
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 73
Dauer des Scans bisher: 00:50:31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:27:14,32
Batchende: 14:27:26,04



_______________________________________________________
Dann der Hijack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:00:01, on 15.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
C:\Programme\PC-Zeit\trap.exe
C:\Programme\Googlemail Notifier\gnotify.exe
C:\WINDOWS\system32\DeltTray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} -

C:\WINDOWS\system32\dknnsptj.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Googlemail

Notifier\gnotify.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [083b2e08] rundll32.exe "C:\WINDOWS\system32\dufiocki.dll",b
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth

Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1

\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -

C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -

C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h..p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?

1165927517781
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) -

h..p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

h..p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?

1165928031609
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

h..p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00631B2.dat
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth

Software\bin\btwdins.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\pyvqvbuq.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame

Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner -

C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32

\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe



Ich wäre euch sehr dankbar, wenn jemand mal drüber schauen könnte.

Liebe Grüße
Anatole

Noch als kleiner Edit:

Das fehlende "C:\WINDOWS\system32\pyvqvbuq.exe" war seit ich das Problem im Task-Manager zu sehen. Bei msconfig konnte man es nicht aus dem Autostart nehmen, also hab ich es im abgesicherten Modus gelöscht. Vielleicht war das ja auch doof, aber eigentlich dürfte es ja nicht stören, wenn eine böse Datei weniger auf meinem Rechner ist. Im Gegenteil.

Geändert von Atoll (15.11.2007 um 15:09 Uhr) Grund: "file missing" Erklärung, Links übersehen SRY

Alt 15.11.2007, 15:47   #2
Chris4You
 
"security alert: networm-i.virus@fp" - Standard

"security alert: networm-i.virus@fp"



Hi,

wahrscheinlich war/ist Dein per Torrent gezogener "Damon" der Übeltäter und hat Dir den Trojaner untergemogelt, der dann den Rest nach sich gezogen hat....

Folgende Dateien online prüfen lassen, poste die Ergebnisse mit Filename (nicht erkannt Files unten rausnehmen (AVENGER)):
C:\WINDOWS\system32\dknnsptj.dll
C:\WINDOWS\system32\dufiocki.dll
C:\WINDOWS\system32\__c00631B2.dat
C:\WINDOWS\system32\ephlqhvi.dll
VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Danach bitte Avenger (wenn die Files erkannt worden sind):
Avenger
avenger.zip - The Avenger
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|083b2e08

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\dknnsptj.dll
C:\WINDOWS\system32\dufiocki.dll
C:\WINDOWS\system32\__c00631B2.dat
C:\WINDOWS\system32\ephlqhvi.dll
C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\unaufge\DAEMON Tools Pro-V4.10.0218[CLEAN]\crack\DAEMON Tools v4.10.EXE


Folders to delete:
C:\Programme\advantage
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten.
Abgesicherter Modus, keine anderen Programme, Teatimer deaktiviert


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Zitat:
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\pyvqvbuq.exe (file missing)
O4 - HKLM\..\Run: [083b2e08] rundll32.exe "C:\WINDOWS\system32\dufiocki.dll",b
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} -
Chris
__________________

__________________

Alt 16.11.2007, 21:18   #3
Atoll
 
"security alert: networm-i.virus@fp" - Standard

"security alert: networm-i.virus@fp"



Hi Chris! Erstmal danke für die Hilfe!

Hier die VirusTotal-Ergebnisse(schön hab ich sie nicht hinbekommen, sry):

C:\WINDOWS\system32\dknnsptj.dll

Antivirus Version Last Update Result
AhnLab-V3 2007.11.17.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 TR/Vundo.CA
Authentium 4.93.8 2007.11.16 -
Avast 4.7.1074.0 2007.11.15 -
AVG 7.5.0.503 2007.11.16 Obfustat.VTX
BitDefender 7.2 2007.11.16 Adware.Virtumonde.GHI
CAT-QuickHeal 9.00 2007.11.16 -
ClamAV 0.91.2 2007.11.16 -
DrWeb 4.44.0.09170 2007.11.16 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5300 2007.11.16 -
Ewido 4.0 2007.11.16 -
FileAdvisor 1 2007.11.16 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.16 -
Ikarus T3.1.1.12 2007.11.16 not-a-virus:AdWare.Win32.SecToolBar.k
Kaspersky 7.0.0.125 2007.11.16 not-a-virus:AdWare.Win32.SecToolBar.k
McAfee 5165 2007.11.16 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2664 2007.11.16 Win32/Adware.SecToolbar
Norman 5.80.02 2007.11.16 W32/Virtumonde.IIT
Panda 9.0.0.4 2007.11.16 Spyware/Virtumonde
Prevx1 V2 2007.11.16 Trojan.Zlob
Rising 20.18.40.00 2007.11.16 -
Sophos 4.23.0 2007.11.16 -
Sunbelt 2.2.907.0 2007.11.16 -
Symantec 10 2007.11.16 Trojan.Vundo
TheHacker 6.2.9.132 2007.11.16 Trojan/BHO.ui
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.16 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Vundo.CA


C:\WINDOWS\system32\__c00631B2.dat

Antivirus Version Last Update Result
AhnLab-V3 2007.11.17.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 TR/Dldr.Agen.ZV.1.B
Authentium 4.93.8 2007.11.16 -
Avast 4.7.1074.0 2007.11.15 -
AVG 7.5.0.503 2007.11.16 Downloader.Small.AVS
BitDefender 7.2 2007.11.16 Trojan.Downloader.Conhook.BI
CAT-QuickHeal 9.00 2007.11.16 TrojanDownloader.ConHook.hl
ClamAV 0.91.2 2007.11.16 Trojan.Downloader-16191
DrWeb 4.44.0.09170 2007.11.16 -
eSafe 7.0.15.0 2007.11.14 suspicious Trojan/Worm
eTrust-Vet 31.2.5300 2007.11.16 Win32/Darksma.FR
Ewido 4.0 2007.11.16 Downloader.ConHook.hl
FileAdvisor 1 2007.11.16 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 W32/Downldr2.AILP
F-Secure 6.70.13030.0 2007.11.16 Trojan-Downloader.Win32.ConHook.hl
Ikarus T3.1.1.12 2007.11.16 Trojan-Downloader.Win32.ConHook.hl
Kaspersky 7.0.0.125 2007.11.16 Trojan-Downloader.Win32.ConHook.hl
McAfee 5165 2007.11.16 Vundo
Microsoft 1.3007 2007.11.12 -
NOD32v2 2664 2007.11.16 Win32/TrojanDownloader.Agent.NSM
Norman 5.80.02 2007.11.16 W32/ConHook.GT
Panda 9.0.0.4 2007.11.16 Adware/PurityScan
Prevx1 V2 2007.11.16 Trojan.Zlob
Rising 20.18.40.00 2007.11.16 Trojan.DL.Win32.ConHook.hl
Sophos 4.23.0 2007.11.16 Troj/Conhook-AK
Sunbelt 2.2.907.0 2007.11.16 -
Symantec 10 2007.11.16 Downloader
TheHacker 6.2.9.132 2007.11.16 Trojan/Downloader.ConHook.hl
VBA32 3.12.2.5 2007.11.16 Trojan-Downloader.Win32.ConHook.hl
VirusBuster 4.3.26:9 2007.11.16 Trojan.DL.ConHook.CN
Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Dldr.Agen.ZV.1.B



Die anderen beiden sind entweder von mir manuell gelöscht worden - was ich ja schon geschrieben hatte und was villeicht blöd war - oder durch Spybot etc. entfernt.

Jetzt mal Avanger machen.

Ich berichte danach.

Danke und liebe Grüße
Anatole
__________________

Alt 16.11.2007, 22:55   #4
Atoll
 
"security alert: networm-i.virus@fp" - Standard

"security alert: networm-i.virus@fp"



So, ich hab den Avanger nun auch ausgeführt und der Rechner hat zwar nicht im Abgesicherten Modus rebootet - vielleicht hätte ich's manuel machen sollen? - aber nachdem ich dennoch mit HijackThis gefixt hab: und Spybot und Adaware noch ein paar Dinge gesäubert haben, kommt jetzt seit etwa 20 Minuten kein Anzeichen von dem Virus, wie vorher alle 10 Sekunden etwa. Juhuu.

Mal sehen, ob das so bleibt. Ich lass mal noch eScan laufen und stelle ggf. das Log hoch.

Danke!!

Anatole

Alt 17.11.2007, 14:24   #5
Atoll
 
"security alert: networm-i.virus@fp" - Standard

"security alert: networm-i.virus@fp"



So, nächster Tag und das Dreieck blinkt wieder: "system alert: malware threats" blabla "networm-i.virus@fp", "system performance monitor: warning"Online Security Guide und Life Penis Center wieder auf dem Desktop. Escan- und Hijackthis-Log posten?

Grüße
Anatole


Alt 19.11.2007, 07:25   #6
Chris4You
 
"security alert: networm-i.virus@fp" - Standard

"security alert: networm-i.virus@fp"



Hi,

ja!
Hast Du Dir das über Internet geholt (tauchte das nach Besuch einer Page auf?). Anwendung installiert?

Welche Antiviren-SW hast Du und welche Firewall?

Chris
__________________
--> "security alert: networm-i.virus@fp"

Alt 19.11.2007, 22:31   #7
Atoll
 
"security alert: networm-i.virus@fp" - Standard

"security alert: networm-i.virus@fp"



So! Ich glaube, er ist besiegt. Sind dauernd einige Dateien in system32 generiert worden. Durch mehrfaches Spybotten, Hijacken und Avengern und jetzt am Ende noch Vundofixen und Combofixen, LSP-Fixen sowie dauerndes leeren temporär gespeicherter Dateien (ATF-Cleaner) ist er jetzt so lahm, dass es nichts mehr macht und vielleicht weg ist. BitDefender Free Ed. und Pandascan haben auch ihre Teile beigetragen. Der Avenger hat oft geholfen, weil z.B. BitDefender oder HijackThis einige Dateien nicht löschen oder in Karantäne verschieben konnten.

Ich hab keine Firewall und Antivirenprogramme nur dann, wenn ich so wie jetzt ein ernsthaftes Problem habe. Sonst lasse ich immer nur ab und an Spybot und Ad-Aware SE laufen.

Beim Hijacken ging anfangs einiges weg, aber eine Security Toolbar blieb immer. Die ist jetzt auch weg.

Hier trotzdem nochmal der Log (die vielen missing files habe ich NICHT durch wahlloses Avengern verursacht, die kamen einfach, so wie auch plötzlich wieder die Windows Firewall aktiviert war. Oo ):

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\PC-Zeit\trap.exe
C:\Programme\Googlemail Notifier\gnotify.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdlite.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe (der ist auch plötzlich da)
C:\Dokumente und Einstellungen\Julia Musterfrau\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Googlemail Notifier\gnotify.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165927517781
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165928031609
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Sieht doch eigentlich ganz ok aus. Mal sehen, was sich tut, wenn der Rechner ein paar weitere Stunden läuft.

Bin es am Ende ein bisschen autodidaktisch angegangen, aber die Grundlage habt ihr mir dennoch gegeben und oft hat auch einfach geholfen nach den bösen Dateien zu googeln (sowie etwa ..\system32\__c0088BC4.dat) und zu schauen, wie man die wegkriegt.

Besten Dank und liebe Grüße
Anatole

Ich meld mich nochmal, falls es weiterhin gut ist oder falls es nicht gut ist.

Alt 20.11.2007, 07:37   #8
Chris4You
 
"security alert: networm-i.virus@fp" - Standard

"security alert: networm-i.virus@fp"



Hi,

bitte noch die Systemwiederherstellung bereinigen!
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu "security alert: networm-i.virus@fp"
abgesicherten modus, alert, appinit_dlls, auf einmal, bonjour, browser, computer, dateisystem, desktop, drivers, einstellungen, explorer, fehler, festplatte, firefox, googlemail, hijackthis, hosts-datei, immer wieder, internet, internet explorer, maßnahme, mozilla, mozilla firefox, object, problem, prozesse, registry, rundll, security, senden, software, unknown file in winsock lsp, viren, windows, windows xp, windows\system32\drivers



Ähnliche Themen: "security alert: networm-i.virus@fp"


  1. Neue Form des "Microsoft Security Essentials Alert" ? blockt meinen Rechner
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (4)
  2. Virus blockiert System -> "alert[1].htm" fake alert.AP -> 100 € Forderung
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (15)
  3. "Windows Security Alert" und USB Geräte befallen
    Plagegeister aller Art und deren Bekämpfung - 23.05.2011 (17)
  4. "microsoft security essentials alert" --> säuberung --> log dateien zur überprüfung
    Plagegeister aller Art und deren Bekämpfung - 12.10.2010 (4)
  5. "Microsoft Security Essential Alert" blockiert WinXP nach Neustart trotz MalwareBytes-Scan
    Plagegeister aller Art und deren Bekämpfung - 13.09.2010 (2)
  6. Malware / Virus / Trojaner - "Windows Security Alert / Security Suite"
    Plagegeister aller Art und deren Bekämpfung - 31.08.2010 (11)
  7. Ständige Meldung "Windows Security Alert"
    Plagegeister aller Art und deren Bekämpfung - 10.08.2010 (22)
  8. Plötzlicher Trojaner-Befall "Windows Security alert"
    Plagegeister aller Art und deren Bekämpfung - 31.05.2010 (3)
  9. Rootkit,Malware,Trojaner k.a. "Windows Security alert"?
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (4)
  10. windows security alert + malware defence + keine exe ausführbar "ungültige win32 anw"
    Plagegeister aller Art und deren Bekämpfung - 03.01.2010 (3)
  11. "Windows Security Center Alert", selbst ein Trojaner/Wurm ?
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (5)
  12. virtumonde, smitfraud und "windows security alert"
    Plagegeister aller Art und deren Bekämpfung - 15.09.2008 (8)
  13. Schädling bewirkt falsches "Windows Security Alert" Popup
    Plagegeister aller Art und deren Bekämpfung - 19.08.2008 (13)
  14. Hilfe! Spyware / Virus / Trojaner: "Windows Security Alert"
    Plagegeister aller Art und deren Bekämpfung - 05.06.2008 (1)
  15. hartnäckiger unbekannter Plagegeist... "Windows Security Alert"
    Plagegeister aller Art und deren Bekämpfung - 02.11.2007 (11)
  16. Infizierungsweg: "Windows Security Alert" - Malware?
    Plagegeister aller Art und deren Bekämpfung - 22.09.2007 (7)
  17. "about:blank" sowie "Security Alert"
    Log-Analyse und Auswertung - 12.06.2006 (1)

Zum Thema "security alert: networm-i.virus@fp" - So, hallo erstmal. Ich habe ein anscheinend momentan bei einigen Leuten auftauchendes Problem, das hier auch schon gepostet wurde, aber eine mir helfende Lösung habe ich nicht gefunden. Nachdem ich - "security alert: networm-i.virus@fp"...
Archiv
Du betrachtest: "security alert: networm-i.virus@fp" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.