Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
worm.win32.netsky, brauche hilfe

worm.win32.netsky, brauche hilfe


Plagegeister aller Art und deren Bekämpfung: worm.win32.netsky, brauche hilfe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.01.2008, 18:11   #1
dragan4210
 
worm.win32.netsky, brauche hilfe - Standard

worm.win32.netsky, brauche hilfe


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:57, on 21.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\DAEMON Tools\daemon.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\system32\RunDLL32.exe
E:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
E:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
E:\Programme\iPod\bin\iPodService.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\MSN Messenger\usnsvc.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\WINDOWS\explorer.exe
E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
E:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
E:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\firefox.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\HJTInstall.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: SXG Advisor - {7ADAB449-03BC-4A24-8DCB-5668495D2E67} - E:\WINDOWS\dpvtporldn.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: The elfwgps - {15903C25-00F6-4764-8BEF-4786A8B2EB87} - E:\WINDOWS\elfwgps.dll
O4 - HKLM\..\Run: [PowerStrip] e:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NSLauncher] E:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "D:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O21 - SSODL: bqxomdo - {29CF3AEC-2FDF-4655-BE6C-9A48F0BBF0FF} - E:\WINDOWS\bqxomdo.dll
O21 - SSODL: aswmklt - {11602116-3E3D-4BCC-8B6D-7D867EFF19D8} - E:\WINDOWS\aswmklt.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - E:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 7098 bytes


hallo, ich war heute in der uni und in der zwischenzeit war mein vater am pc und hat da irgendwie rumgemacht mit emails und sonst was und seitdem kriege ich eine virenfehlermeldung.
den taskamanger kann ich nicht öffnen weil eine fehlermeldung kommt wo steht das der admin den taskmanager deaktiviert hat....
hoffentlich könnt ihr mir helfen, danke sehr

Alt 22.01.2008, 12:38   #2
dragan4210
 
worm.win32.netsky, brauche hilfe - Standard

worm.win32.netsky, brauche hilfe


schon auf der 2. seite :/ weiß denn niemand rat?
__________________
Alt 22.01.2008, 16:57   #3
nochdigger
 
worm.win32.netsky, brauche hilfe - Standard

worm.win32.netsky, brauche hilfe


Hallo

Mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Anschließend deaktiviere bitte den Guard deines Antivirenprogramms.

Lade dir mal RVAXO.exe
* Downloade RVAXO.exe von hier --> http://home.hetnet.nl/~stefsmeenk/RVAXO.exe
* Speichere es auf dem Desktop.
* starte die RVAXO.exe mit einem Doppelklick
* eventuell öffnet sich ein Uninstaller schliesse ihn nicht, lass das Programm laufen
* Starte deinen Rechner danach neu
* nach dem Neustart mach einen Doppelklick auf die RVAXO.exe
* Poste das Logfile, du findest es hier: C:\RVAXO-results.log

Erstelle bitte auch ein frisches HijackThis Log und poste es.

MFG
__________________
Alt 22.01.2008, 17:28   #4
dragan4210
 
worm.win32.netsky, brauche hilfe - Standard

worm.win32.netsky, brauche hilfe


hallo, danke für die antwort.
die rvaxo datei hat einen ordner extrahiert, dort hab ich dann das program gestartet.

---RVAXO.exe Updated: 2008-01-22---first run---
Files found:
E:\WINDOWS\dpvtporldn.dll
E:\WINDOWS\dat.txt
E:\WINDOWS\bqxomdo.dll
E:\WINDOWS\aswmklt.dll
E:\WINDOWS\elfwgps.dll
E:\WINDOWS\search_res.txt
E:\Dokumente und Einstellungen\Dragan\Desktop\Error Cleaner.url
E:\Dokumente und Einstellungen\Dragan\Desktop\Spyware&Malware Protection.url
E:\Dokumente und Einstellungen\Dragan\Desktop\Privacy Protector.url
E:\Dokumente und Einstellungen\Dragan\FAVORI~1\Error Cleaner.url
E:\Dokumente und Einstellungen\Dragan\FAVORI~1\Privacy Protector.url
E:\Dokumente und Einstellungen\Dragan\FAVORI~1\Spyware&Malware Protection.url

Uninstallers Rogue scanners:


Folders Found:

E:\Programme\MediaRoverCodec

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

E:\WINDOWS\bqxomdo.dll
E:\WINDOWS\aswmklt.dll
E:\WINDOWS\dat.txt
E:\WINDOWS\elfwgps.dll
Folders Found:

E:\Programme\MediaRoverCodec
--------------RVAXO.exe finished----------------





und das neue HijackThis logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:27:50, on 22.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\system32\notepad.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Programme\DAEMON Tools\daemon.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\system32\RunDLL32.exe
E:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
E:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
D:\Programme\firefox.exe
E:\Programme\iPod\bin\iPodService.exe
E:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\MSN Messenger\msnmsgr.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
E:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
E:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
E:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: SXG Advisor - {7ADAB449-03BC-4A24-8DCB-5668495D2E67} - E:\WINDOWS\dpvtporldn.dll (file missing)
O3 - Toolbar: The elfwgps - {15903C25-00F6-4764-8BEF-4786A8B2EB87} - E:\WINDOWS\elfwgps.dll
O4 - HKLM\..\Run: [PowerStrip] e:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NSLauncher] E:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "D:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - E:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 6828 bytes



mfg

Alt 22.01.2008, 17:34   #5
nochdigger
 
worm.win32.netsky, brauche hilfe - Standard

worm.win32.netsky, brauche hilfe


Hallo

deinstalliere bitte über Start -> Einstellungen -> Systemsteuerung -> Software alle alten Javaversionen, anschließend lass bitte diese Datei
Zitat:
E:\WINDOWS\elfwgps.dll
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde.

MFG


Alt 22.01.2008, 17:47   #6
dragan4210
 
worm.win32.netsky, brauche hilfe - Standard

worm.win32.netsky, brauche hilfe


MD5: 6f73a9c31fd1e5cc2d43f45ac185d83f

SHA1: 2fd487224000498b337fd2a14ac6fbce722c2ef3

und hier noch der link
http://www.virustotal.com/reanalisis.html?61f6764770e7311efb0f536807dd91c5

die größe war 200.30 kbytes

vllt sollte ich noch erwähnen dass als ich java deinstallieren wollte sich das "software" fenster aufgehängt hat nachdem ich es löschen wollte( ob es nun wirklich weg ist weiß ich nicht) war der java eintrag weg.

Alt 22.01.2008, 17:59   #7
nochdigger
 
worm.win32.netsky, brauche hilfe - Standard

worm.win32.netsky, brauche hilfe


Hallo

OK der Freund gehört dazu, ist ebenfalls Zlob, wird aber wohl von dem Tool noch nicht erkannt und darum müssen wir ihn per Hand beseitigen.

Starte HijackThis mit der Option - Scan - und hake diese Einträge an
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: SXG Advisor - {7ADAB449-03BC-4A24-8DCB-5668495D2E67} - E:\WINDOWS\dpvtporldn.dll (file missing)
O3 - Toolbar: The elfwgps - {15903C25-00F6-4764-8BEF-4786A8B2EB87} - E:\WINDOWS\elfwgps.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
klicke nun auf - fix checked - und beende Hijackthis.

Lade dir Avenger

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
ATTFilter
Files to delete:
E:\WINDOWS\elfwgps.dll
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

MFG

Alt 22.01.2008, 18:09   #8
dragan4210
 
worm.win32.netsky, brauche hilfe - Standard

worm.win32.netsky, brauche hilfe


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nucxicxa

*******************

Script file located at: \??\E:\WINDOWS\system32\bprttykb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at E:\Avenger

*******************

Beginning to process script file:

File E:\WINDOWS\elfwgps.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.












Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:27, on 22.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\DAEMON Tools\daemon.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\system32\RunDLL32.exe
E:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
E:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\MSN Messenger\msnmsgr.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
E:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
E:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
E:\WINDOWS\system32\notepad.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Programme\iPod\bin\iPodService.exe
E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
E:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
E:\WINDOWS\System32\svchost.exe
D:\Programme\firefox.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PowerStrip] e:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NSLauncher] E:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "D:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - E:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 5887 bytes

Alt 22.01.2008, 18:23   #9
nochdigger
 
worm.win32.netsky, brauche hilfe - Standard

worm.win32.netsky, brauche hilfe


Hallo

das geht ja schneller wie Haarewaschen
(Hijackthis sollte umbenannt werden)


Lade dir von hier die aktuelle? Javaversion
Java Runtime Environment 6.0 Update 4 Englisch - Download - CHIP Online

Lade dir bitte auch ein aktuellen Adobe Reader
Adobe - Adobe Reader herunterladen - Alle Versionen

Führe ein Update deines Antivir durch und lass ihn im abgesicherten Modus (beim start F8 drücken) dein System überprüfen.


Berichte bitte ob noch Probleme bestehen oder Antivir Funde meldet.

MFG

Alt 22.01.2008, 19:38   #10
dragan4210
 
worm.win32.netsky, brauche hilfe - Standard

worm.win32.netsky, brauche hilfe


ich glaube das problem ist gelöst, vielen dank für deine hilfe.

Alt 22.01.2008, 19:46   #11
nochdigger
 
worm.win32.netsky, brauche hilfe - Standard

worm.win32.netsky, brauche hilfe


Hallo

Zitat:
ich glaube das problem ist gelöst, vielen dank für deine hilfe.
OK, aber den Scan mit Antivir solltest du trotzdem durchführen.

MFG

Antwort

Themen zu worm.win32.netsky, brauche hilfe
adobe, antivir, avg, avira, bho, brauche hilfe, dll, explorer, helfen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, microsoft, nicht öffnen, nvidia, pdf, programme, rundll, s-1-5-18, software, system, taskmanager, taskmanager deaktiviert, teamspeak, windows, windows xp, wmid, worm.win32.netsky


« Infizierte Datei Downloaden aber nicht ausführen | Einträge von youporn unter netstat -a die nicht sein sollten »


Ähnliche Themen: worm.win32.netsky, brauche hilfe


  1. Worm Win32 NetSky...
    Log-Analyse und Auswertung - 01.07.2008 (4)
  2. worm.win32.netsky virus-bitte hilfe ich bin ein noob am pc
    Log-Analyse und Auswertung - 17.03.2008 (28)
  3. Brauch dringend Hilfe habe den Worm.Win32.NetSky
    Log-Analyse und Auswertung - 12.03.2008 (8)
  4. Worm.Win32.NetSky
    Log-Analyse und Auswertung - 05.03.2008 (1)
  5. Worm.Win32.NetSky
    Mülltonne - 24.02.2008 (0)
  6. Worm.Win32.NetSky
    Plagegeister aller Art und deren Bekämpfung - 18.02.2008 (24)
  7. Noob braucht Hilfe bei Worm.Win32.Netsky
    Log-Analyse und Auswertung - 15.02.2008 (5)
  8. Worm.Win32.NetSky Was Tun?
    Mülltonne - 10.02.2008 (0)
  9. Hilfe!!! Habe Worm.Win32.NetSky!!
    Mülltonne - 10.02.2008 (0)
  10. Worm.Win32.NetSky Problem! Bitte um Hilfe?
    Plagegeister aller Art und deren Bekämpfung - 04.02.2008 (6)
  11. worm.win32.netsky <- Hilfe bitte.
    Plagegeister aller Art und deren Bekämpfung - 04.02.2008 (1)
  12. worm.win32.netsky Hilfe
    Log-Analyse und Auswertung - 03.02.2008 (5)
  13. Worm.win32.netsky was tun?
    Log-Analyse und Auswertung - 27.01.2008 (2)
  14. Win32.netsky worm
    Log-Analyse und Auswertung - 07.01.2008 (4)
  15. Worm.Win32.NetSky
    Plagegeister aller Art und deren Bekämpfung - 02.01.2008 (4)
  16. worm.win32.netsky
    Log-Analyse und Auswertung - 26.12.2007 (0)
  17. Email-Worm.Win32.NetSky.q.Bite brauch Hilfe
    Plagegeister aller Art und deren Bekämpfung - 11.05.2005 (7)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema worm.win32.netsky, brauche hilfe - Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:06:57, on 21.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe - worm.win32.netsky, brauche hilfe...
Archiv
Du betrachtest: worm.win32.netsky, brauche hilfe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129