Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Worm.Win32.NetSky macht auch bei mir Probleme

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.03.2008, 13:09   #1
Fredmann
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



Liebe Spezis.

Ich habe, wie auch viele andere hier, das Problem mit "Worm.Win32.NetSky".

Hier schon mal, so wie Ihr es ja zu Anfang immer fordert, das gerade erstellte HiJackTihs-Logfile des betroffenen Laptops.

++++++++++++++++++++

Logfile of HijackThis v1.99.1
Scan saved at 13:39:11, on 17.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\antiviirus.exe
C:\Programme\tmp0.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\HiJackThis\HijackThis.exe
C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: GNX Rolex - {34D7198C-3B26-4434-B8B0-53DCE7410E70} - C:\WINDOWS\drnpfdxwrs.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O3 - Toolbar: etlrlws - {269B1AAF-415B-4C27-B8D0-1618BB6F03A1} - C:\WINDOWS\etlrlws.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ModemOnHold] C:\Programme\NetWaiting\netwaiting.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{B70B27B8-B6CD-4BEC-AAA9-05C9A174D181}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: bokpkov - {FDCDF4E0-E483-423A-9F38-2D9A788AF093} - C:\WINDOWS\bokpkov.dll
O21 - SSODL: altvxvm - {65933D47-B3C0-4410-9094-D566196B26F9} - C:\WINDOWS\altvxvm.dll
O21 - SSODL: VolumeChk - {edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc} - C:\WINDOWS\Installer\{edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc}\VolumeChk.dll
O21 - SSODL: zip - {daa729e0-0dbb-4450-bb46-34f747e62fb2} - C:\WINDOWS\Installer\{daa729e0-0dbb-4450-bb46-34f747e62fb2}\zip.dll
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

++++++++++++++++++++

Ich hoffe, dass Ihr mir genau so gut helfen könnt wie meine Leidensgenossen.

Vorab vielen Dank für die Unterstützung.

Herzliche Grüße

Fredmann

Geändert von Fredmann (17.03.2008 um 13:32 Uhr)

Alt 17.03.2008, 14:06   #2
Usagi
Gast
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



So , das hier sind die schädlichen .exes:
Unbekannt
C:\Programme\antiviirus.exe

C:\Programme\tmp0.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
--->Wobei ich mir dort nicht sicher bin.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
--->Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden.

O2 - BHO: GNX Rolex - {34D7198C-3B26-4434-B8B0-53DCE7410E70} - C:\WINDOWS\drnpfdxwrs.dll

O3 - Toolbar: etlrlws - {269B1AAF-415B-4C27-B8D0-1618BB6F03A1} - C:\WINDOWS\etlrlws.dll


O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe


Lade diese Dateien nach genauen Pfad nacheinander bei Virustotal.com hoch. Wer weiß wen Worm.Netsky so noch mitgebracht hat. Poste bitte die vollständigen Ergebisse hier.
__________________


Alt 17.03.2008, 15:05   #3
Fredmann
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



Hallo und vielen Dank zunächst.

Anbei das Ergebnis der Datei "antiviirus.exe".

++++++++++++++++++++

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.18.0 2008.03.17 -
AntiVir 7.6.0.73 2008.03.17 TR/Agent.fwi
Authentium 4.93.8 2008.03.14 -
Avast 4.7.1098.0 2008.03.16 -
AVG 7.5.0.516 2008.03.17 -
BitDefender 7.2 2008.03.17 -
CAT-QuickHeal 9.50 2008.03.14 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.17 Trojan.Dropper-5246
DrWeb 4.44.0.09170 2008.03.17 -
eSafe 7.0.15.0 2008.03.09 Suspicious File
eTrust-Vet 31.3.5621 2008.03.17 Win32/Pripecs.JK
Ewido 4.0 2008.03.17 -
F-Prot 4.4.2.54 2008.03.16 -
F-Secure 6.70.13260.0 2008.03.17 Trojan-Downloader.Win32.Small.ivo
FileAdvisor 1 2008.03.17 -
Fortinet 3.14.0.0 2008.03.17 -
Ikarus T3.1.1.20 2008.03.17 Trojan-Clicker.Win32.Small.BG
Kaspersky 7.0.0.125 2008.03.17 Trojan-Downloader.Win32.Small.ivo
McAfee 5252 2008.03.14 -
Microsoft 1.3301 2008.03.16 TrojanDownloader:Win32/Zirit.A
NOD32v2 2952 2008.03.17 a variant of Win32/TrojanDropper.Agent.EYA
Norman 5.80.02 2008.03.17 W32/DLoader.GEAT
Panda 9.0.0.4 2008.03.16 Suspicious file
Prevx1 V2 2008.03.17 Generic9.AUST
Rising 20.36.02.00 2008.03.17 -
Sophos 4.27.0 2008.03.17 -
Sunbelt 3.0.963.0 2008.03.14 -
Symantec 10 2008.03.17 -
TheHacker 6.2.92.247 2008.03.15 -
VBA32 3.12.6.2 2008.03.16 -
VirusBuster 4.3.26:9 2008.03.17 Trojan.DL.Lodll.B
Webwasher-Gateway 6.6.2 2008.03.17 Trojan.Agent.fwi
weitere Informationen
File size: 21740 bytes
MD5: edacb33c3d1dd836b90cb9727f0630a7
SHA1: 3f0017afca8a6dcf95b4456c5a39c5bd834d7126
PEiD: PECompact 2.xx --> BitSum Technologies
packers: embedded, PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=7228DE47EC9782F940DB0008D381AB00AEB9480E

+++++++++++++++++++

Die Datei "NICCONFIGSVC.exe" hatte zum Glück kein Ergebnis, so dass ich auf den Bericht verzichte.

Leider konnte ich die Datei "tmp0.exe" haben ich unter "C:\Programme\tmp0.exe" nicht gefunden, obwohl unter HijackThis diese Datei immer im o.a. Verzeichnis angezeigt wird.

Kann man aus aus dem ersten Logfile schon was entnehmen?

Vielen Dank und Grüße

Fredmann
__________________

Alt 17.03.2008, 15:15   #4
Usagi
Gast
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



Entnehmen kann mann schon aller Hand. Ich werde noch etwas länger brauchen , um die richtige Reinigung herauszufinden.

Alt 17.03.2008, 15:22   #5
Sabina
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



Hallo Fredmann

Information
antiviirus.exe / tmp0.exe löschen

-------------

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: GNX Rolex - {34D7198C-3B26-4434-B8B0-53DCE7410E70} - C:\WINDOWS\drnpfdxwrs.dll

O3 - Toolbar: etlrlws - {269B1AAF-415B-4C27-B8D0-1618BB6F03A1} - C:\WINDOWS\etlrlws.dll

O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe

O21 - SSODL: bokpkov - {FDCDF4E0-E483-423A-9F38-2D9A788AF093} - C:\WINDOWS\bokpkov.dll

O21 - SSODL: altvxvm - {65933D47-B3C0-4410-9094-D566196B26F9} - C:\WINDOWS\altvxvm.dll

O21 - SSODL: VolumeChk - {edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc} - C:\WINDOWS\Installer\{edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc}\VolumeChk.dll

O21 - SSODL: zip - {daa729e0-0dbb-4450-bb46-34f747e62fb2} - C:\WINDOWS\Installer\{daa729e0-0dbb-4450-bb46-34f747e62fb2}\zip.dll
1.
wende sdfix an (nur im abgesicherten Modus möglich)
SDFix

poste dann hier den report

2.
wende Malwarebytes an + poste den report (vorher alles gefundene löschen lassen)
Malwarebytes Anti-Malware

3.
wende Combofix an + poste den report
combofix

__________________
MfG Sabina

Geändert von Sabina (17.03.2008 um 15:29 Uhr)

Alt 17.03.2008, 16:15   #6
Fredmann
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



Hallo Sabina.

Vielen Dank für Deine Hilfe!

Habe alles nach Deinen Vorgaben ausgeführt.

Hier die Logs.

Log von sdfix:

++++++++++++++++++++

SDFix: Version 1.158

Run by Administrator on 17.03.2008 at 16:41

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default HomePage Value
Restoring Default Desktop Components Value

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\Installer\{edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc}\VolumeChk.dll - Deleted
C:\WINDOWS\Installer\{daa729e0-0dbb-4450-bb46-34f747e62fb2}\zip.dll - Deleted
C:\WINDOWS\drnpfdxwrs.dll - Deleted
C:\Programme\antiviirus.exe - Deleted
C:\WINDOWS\altvxvm.dll - Deleted
C:\WINDOWS\bokpkov.dll - Deleted
C:\WINDOWS\etlrlws.dll - Deleted
C:\WINDOWS\fmsxwqs.exe - Deleted



Folder C:\WINDOWS\Installer\{edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc} - Removed
Folder C:\WINDOWS\Installer\{daa729e0-0dbb-4450-bb46-34f747e62fb2} - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-03-17 16:46:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

++++++++++++++++++++

Log von ComboFix:

++++++++++++++++++++

ComboFix 08-03-14.4 - ****** 2008-03-17 17:03:42.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.176 [GMT 1:00]
ausgeführt von:: F:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\******\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\******\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\******\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\******\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\******\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\****** \Favoriten\Spyware&Malware Protection.url
.
((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 ))))))))))))))))))))))))))))))
.

2008-03-17 16:38 . 2008-03-17 16:38 <DIR> d-------- C:\WINDOWS\ERUNT
2008-03-17 16:37 . 2008-03-17 16:47 <DIR> d-------- C:\SDFix
2008-03-17 16:31 . 2004-08-18 14:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-17 16:31 . 2004-08-18 14:12 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-17 16:31 . 2004-08-18 14:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-17 16:31 . 2004-08-18 14:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-17 16:31 . 2004-08-18 14:23 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-17 16:31 . 2006-02-07 13:16 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-17 16:31 . 2004-08-18 14:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-17 16:31 . 2006-02-07 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Corel
2008-03-17 16:31 . 2006-02-07 13:06 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-16 11:39 . 2008-03-16 11:39 16,616 -r-hs---- C:\Programme\tmp0.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-16 10:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-02-01 13:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-01-11 05:32 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-12-19 22:48 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys
2006-03-08 17:55 56 --sh--r C:\WINDOWS\system32\7595C84C0B.sys
2006-03-08 17:55 3,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-01-31 12:34 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15:00 15360]
"ModemOnHold"="C:\Programme\NetWaiting\netwaiting.exe" [2003-09-10 03:24 20480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-06-24 07:36 729178]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-14 21:49 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-14 21:46 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-10-14 21:50 114688]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 18:48 32881]
"SigmatelSysTrayApp"="stsystra.exe" [2005-09-10 00:19 393216 C:\WINDOWS\stsystra.exe]
"DMXLauncher"="C:\Programme\Dell\Media Experience\DMXLauncher.exe" [2005-11-01 04:12 94208]
"Dell Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [ ]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2005-09-01 18:24 684032]
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-06-10 11:44 249856]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-06-10 11:44 81920]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 06:20 122940]
"MSKDetectorExe"="C:\Programme\McAfee\SpamKiller\MSKDetct.exe" [2005-08-12 16:16 1121792]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-01-31 13:15 51048]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2007-08-24 21:53 714608]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe [2006-02-07 13:12:00 24576]
Photo Loader resident.lnk - C:\Programme\CASIO\Photo Loader\Plauto.exe [2006-12-25 12:01:32 217088]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon []
R3 SymIMMP;SymIMMP;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-01-12 18:32]
S3 SymIM;Symantec Network Security Intermediate Filter Service;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27]

.
Inhalt des "geplante Tasks" Ordners
"2007-10-15 19:07:08 C:\WINDOWS\Tasks\Norton AntiVirus - Systemprüfung ausführen - ******.job"
- C:\Programme\Norton AntiVirus\Navw32.exel/TASK:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-03-17 17:05:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-17 17:05:50
ComboFix-quarantined-files.txt 2008-03-17 16:05:40
.
2008-03-15 09:06:01 --- E O F ---

++++++++++++++++++++

Ich hoffe weiterhin um Hilfe.

Vielsten Dank!

Grüße

Fredmann

Alt 17.03.2008, 18:14   #7
Sabina
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



««
OTMoveIt by OldTimer
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Code:
ATTFilter
C:\Programme\tmp0.exe
         
Klicke auf den Roten MoveIt!

»»
scanne, poste den report
Malwarebytes Anti-Malware
__________________
MfG Sabina

Alt 17.03.2008, 18:24   #8
Fredmann
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



Hallo Sabina.

Nach dem Neustart des Rechners kommen die ursprünglichen Probleme nicht mehr.

Kannst Du, anhand der Logs sagen, ob mein Problem beseitigt ist?

Vieln Dank und beste Grüße

Fredmann

Alt 17.03.2008, 18:38   #9
Fredmann
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



Hallo Sabina.

Das Log, nachdem eine Fehlermeldung kam, lautet:

++++++++++++++++++++

File move failed. C:\Programme\tmp0.exe scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03172008_193429

+++++++++++++++++++

Grüße

Fredmann

Alt 17.03.2008, 18:39   #10
Sabina
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



STARTE DEN RECHNER NEU
~~~~
ich würde gern noch das SCAN-log sehen von malwarebytes
Malwarebytes Anti-Malware
__________________
MfG Sabina

Alt 17.03.2008, 19:19   #11
Fredmann
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



Hallo Sabina.

Rechnerneustart und Malware ausgeführt.

Logfile wie folgt:

++++++++++++++++++++

Malwarebytes' Anti-Malware 1.08
Datenbank Version: 499

Scan Art: Schnell Scan
Objekte gescannt: 26938
Scan Dauer: 6 minute(s), 25 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\etlrlws.bvgl (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\etlrlws.ToolBar.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Programme\tmp0.exe (Trojan.Alphabet) -> No action taken.

++++++++++++++++++++

Beste Grüße

Fredmann

Alt 17.03.2008, 23:25   #12
Sabina
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



nfizierte Dateien:
C:\Programme\tmp0.exe (Trojan.Alphabet) -> No action taken.

das Proggie loescht, zur Not scanne im abgesicherten modus, dann, nach dem scan klicke auf bereinigen
+
poste den neuen report
__________________
MfG Sabina

Alt 18.03.2008, 11:24   #13
Fredmann
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



Hallo Sabina.

Im abgesicherten Modus wurde nicht gefunden, so dass ich den Scan dann im normalen Mudus durchführte, 3 infizierte Files fand und diese auch entfernen konnte. Nach einem Neustart und erneutem Scan habe ich folgendes Log erhalten.

++++++++++++++++++++

Malwarebytes' Anti-Malware 1.08
Datenbank Version: 499

Scan Art: Schnell Scan
Objekte gescannt: 26804
Scan Dauer: 2 minute(s), 44 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

++++++++++++++++++++

Das müsstes es doch hoffentlich gewesen sein - oder?

Beste Grüße

Fredmann

Alt 18.03.2008, 11:31   #14
Sabina
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



ja, das wars ...wunderbar ausgeführt
Alles Gute.
__________________
MfG Sabina

Alt 18.03.2008, 11:36   #15
Fredmann
 
Worm.Win32.NetSky macht auch bei mir Probleme - Standard

Worm.Win32.NetSky macht auch bei mir Probleme



Liebe Sabina.

1.000.000 Dankeschön für Deine Rettung!

Ein verdientes Osterfest wünsche ich Dir.

Herzliche Grüße

Fredmann

Antwort

Themen zu Worm.Win32.NetSky macht auch bei mir Probleme
adobe, anfang, antivirus, bho, dateien, excel, explorer, hijack, hijackthis, ics, internet, internet explorer, intrusion prevention, messenger, microsoft, office, problem, programme, software, symantec, system, system32, vielen dank, windows, windows xp, wireless, wlan, wmid, worm.win32.netsky



Ähnliche Themen: Worm.Win32.NetSky macht auch bei mir Probleme


  1. Worm.Win32.NetSky hat mich flachgelegt
    Log-Analyse und Auswertung - 05.02.2010 (2)
  2. Email-Worm.Win32.NetSky.q
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (4)
  3. Worm Win32 NetSky...
    Log-Analyse und Auswertung - 01.07.2008 (4)
  4. worm.win32.netsky logfile
    Log-Analyse und Auswertung - 21.03.2008 (2)
  5. worm.win32.NetSky : wie werde ich ihn los??
    Plagegeister aller Art und deren Bekämpfung - 18.03.2008 (5)
  6. worm.win32.netsky bekomm ihn nicht weg
    Log-Analyse und Auswertung - 16.03.2008 (33)
  7. Worm.Win32.NetSky
    Log-Analyse und Auswertung - 05.03.2008 (1)
  8. Probs mit worm.win32.netsky
    Log-Analyse und Auswertung - 01.03.2008 (1)
  9. Worm.Win32.NetSky
    Mülltonne - 24.02.2008 (0)
  10. Worm.Win32.NetSky
    Plagegeister aller Art und deren Bekämpfung - 18.02.2008 (24)
  11. Worm.Win32.NetSky Was Tun?
    Mülltonne - 10.02.2008 (0)
  12. worm.win32.netsky Hilfe
    Log-Analyse und Auswertung - 03.02.2008 (5)
  13. Worm.win32.netsky was tun?
    Log-Analyse und Auswertung - 27.01.2008 (2)
  14. Win32.netsky worm
    Log-Analyse und Auswertung - 07.01.2008 (4)
  15. Worm.Win32.NetSky
    Plagegeister aller Art und deren Bekämpfung - 02.01.2008 (4)
  16. Worm.Win32.Netsky... mal wieder
    Plagegeister aller Art und deren Bekämpfung - 27.12.2007 (0)
  17. worm.win32.netsky
    Log-Analyse und Auswertung - 26.12.2007 (0)

Zum Thema Worm.Win32.NetSky macht auch bei mir Probleme - Liebe Spezis. Ich habe, wie auch viele andere hier, das Problem mit "Worm.Win32.NetSky". Hier schon mal, so wie Ihr es ja zu Anfang immer fordert, das gerade erstellte HiJackTihs-Logfile des - Worm.Win32.NetSky macht auch bei mir Probleme...
Archiv
Du betrachtest: Worm.Win32.NetSky macht auch bei mir Probleme auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.