Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus: worm.win32.netbooster

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 29.09.2008, 14:43   #1
Eierbaer87
 
Virus: worm.win32.netbooster - Standard

Virus: worm.win32.netbooster



Hallo an alle,
ich habe seit ein paar Tagen einen Virus auf meinem Rechner, der bei euch schon desöfteren behandelt worden sein dürfte, wie zum Beispiel hier:
KLICK
Die dazugehörigen Threads habe ich großteils bereits durchgestöbert und mir folgende Anleitung zur Beseitigung des Viruses herausgesucht:

Zitat:
Zitat von myrtille Beitrag anzeigen
Hi,

Wenn du die Logs aus dem Notepad herauskopierst, stelle bitte vorher sicher, dass du unter Extras den Haken bei "Zeilenumbruch" entfernt hast. Das macht die Logs für uns schwerer zu lesen.

poste bitte folgende Sachen, danach sollte es auch deinem Rechner wieder deutlich besser gehen:
  • Ein Log von Smitfraudfix. Arbeite dort direkt die Schritte unter "Reinigung" ab.
  • Lass danach bitte Malwarebytes deinen Rechner scannen und alles was es findet entfernen. Poste das Logfile danach ebenfalls hier
  • Starte deinen REchner neu
  • Erstelle ein Logfile mit DSS und poste es ebenfalls hier

Anleitung DSS
  • Lade dir DSS
  • Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
  • Führe während DSS arbeitet bitte keine anderen Aktionen durch
  • Am Ende öffnen sich 2 Datein main.txt und extra.txt
  • Poste den Inhalt beider Dateien hier, sollten die Dateien zu groß sein, benutze bitte file-upload und poste die Links hier.

lg myrtille
Allerdings ist die Seite des Links "DSS" nicht mehr aktiv und ich konnte dieses Programm noch nicht durchlaufen lassen. Alles weitere ist erledigt und ich werde die Log's im nächsten Beitrag auch gleich posten.

Ich wäre euch sehr dankbar, wenn ihr mir weiterhelfen könntet.
Danke schon mal im vorraus.

Alt 29.09.2008, 14:50   #2
Eierbaer87
 
Virus: worm.win32.netbooster - Standard

Virus: worm.win32.netbooster



SmitfraudFix.exe
SmitFraudFix v2.354

Scan done at 13:45:26,95, 29.09.2008
Run from C:\Dokumente und Einstellungen\FRITZ\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\dfmlxbpkbkl.dll deleted.
C:\WINDOWS\peltodgx.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\fbxrqtwn.exe Deleted
C:\WINDOWS\onfwbsak.dll Deleted
Deleting [HKEY_CLASSES_ROOT\CLSID\{A046E9BA-5AB1-4FC3-91BE-4CE3F5AAD120}]
C:\Programme\PCHealthCenter\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



MalwareBytes
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1134
Windows 5.1.2600 Service Pack 2

29.09.2008 15:22:01
mbam-log-2008-09-29 (15-21-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 148773
Laufzeit: 1 hour(s), 20 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 15
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\SpamBlockerUtility (Adware.Hotbar) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rwlfsdmk.dll (Trojan.Zlob) -> No action taken.
C:\Dokumente und Einstellungen\FRITZ\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\FRITZ\Desktop\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\FRITZ\Desktop\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\FRITZ\Favoriten\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\FRITZ\Favoriten\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\FRITZ\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.


Das wärs mal fürs Erste!
__________________


Alt 29.09.2008, 14:52   #3
myrtille
/// TB-Ausbilder
 
Virus: worm.win32.netbooster - Standard

Virus: worm.win32.netbooster



Hi,

ja, DSS existiert nicht mehr.
Nutze stattdessen bitte RSIT:
Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille
__________________
__________________

Alt 29.09.2008, 15:07   #4
Eierbaer87
 
Virus: worm.win32.netbooster - Standard

Virus: worm.win32.netbooster



Ok, erledigt:
info.txt
log.txt

Aber komplett kann der Wurm noch nicht entfernt sein, da ich gerade auf dieser Seite Probleme hatte und ohne mein zutun immer wieder 2 Seiten nacheinander geladen wurden.

Alt 29.09.2008, 15:40   #5
myrtille
/// TB-Ausbilder
 
Virus: worm.win32.netbooster - Standard

Virus: worm.win32.netbooster



Hi,

lösch bitte folgende Datei:
Zitat:
C:\WINDOWS\exwf.exe
und fixe folgende Einträge mit Hijackthis:
Zitat:
3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
und berichte wie sich dein Rechner nun verhält.

lg myrtille

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 29.09.2008, 16:10   #6
Eierbaer87
 
Virus: worm.win32.netbooster - Standard

Virus: worm.win32.netbooster



Es scheint so, also ob wieder alles beim alten ist.
Kann ich das irgendwie auch überprüfen?

Außerdem hätte ich noch ein paar kleine Fragen:
Soll ich die für die Beseitigung des Viruses verwendeten Programme wieder löschen?
Hättest du vielleicht sonst noch ein paar Tipps zur Verbesserung meines Rechners, nachdem du die log-files durchgesehen hast?

Alt 29.09.2008, 16:17   #7
myrtille
/// TB-Ausbilder
 
Virus: worm.win32.netbooster - Standard

Virus: worm.win32.netbooster



Hi
RSIT, Smitfraudfix kann man einfach so löschen
Malwarebytes und HijackThis können über Start->Systemsteuerung->Software deinstalliert werden.

Ich würde dir empfehlen Malwarebytes zu behalten und gelegentlich deinen Rechner damit zu scannen.

Deinstallier bitte über Start->Systemsteuerung->Software alle installierten Javaversionen und lade dir danach, wenn nötig, die neueste Javaversion von Sun herunter.

Wenn du all diese Schritte durchgeführt hast, und keine Probleme aufgetreten sind, dann kannst du noch die Systemwiederherstellung de- und reaktivieren, indem du unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst.
Damit werden alle Wiederherstellungspunkte und darin eventuell vorhandene Reste der Infektion gelöscht.

Dann sollte dein Rechner wie neu sein

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 29.09.2008, 16:29   #8
Eierbaer87
 
Virus: worm.win32.netbooster - Standard

Virus: worm.win32.netbooster



Besten Dank!

Hätte mir nicht gedacht, dass es so schnell erledigt ist!

Alt 29.09.2008, 16:31   #9
myrtille
/// TB-Ausbilder
 
Virus: worm.win32.netbooster - Standard

Virus: worm.win32.netbooster



Gern geschehen.

Die von dir genutzten Programmen sind auf derartige Malware spezialisiert, da muss man zum Glück nur selten nochmal nach helfen.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu Virus: worm.win32.netbooster
aktiv, anleitung, anwendungen, arbeitet, beseitigung, besser, datei, dateien, direkt, ebenfalls, entfernt, folge, klick, links, log's, logfile, malwarebytes, nicht mehr, programm, rechner, scan, scannen, seite, virus, worm.win32.netbooster, öffnen



Ähnliche Themen: Virus: worm.win32.netbooster


  1. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  2. worm:win32/Phorpiex b virus!
    Log-Analyse und Auswertung - 27.12.2011 (28)
  3. Worm:Win32/Conficker.B Virus:Win32/Sality.AM PWS:Win32/Verweli.A
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (1)
  4. MSN Virus IM-Worm.win32.agent.ve
    Plagegeister aller Art und deren Bekämpfung - 28.05.2010 (5)
  5. virus-total-Fund: Worm/Win32.Polip.gen
    Plagegeister aller Art und deren Bekämpfung - 20.04.2010 (4)
  6. Virus Worm.Win32.NetSky- Wie kann ich ihn löschen
    Log-Analyse und Auswertung - 08.01.2010 (3)
  7. Virus Win32.Polip.A oder P2P-Worm.Win32.Polip.A
    Plagegeister aller Art und deren Bekämpfung - 18.07.2009 (2)
  8. virus E-Mail Worm.win32.Luder.e
    Plagegeister aller Art und deren Bekämpfung - 20.11.2008 (0)
  9. Zipfile mit Virus im Gewand einer Rechnung - Worm.Win32.Downloader.wh
    Plagegeister aller Art und deren Bekämpfung - 31.10.2008 (1)
  10. Hilfe worm win 32 netbooster loswerden
    Mülltonne - 06.10.2008 (0)
  11. worm win32 netbooster
    Log-Analyse und Auswertung - 17.07.2008 (17)
  12. worm.win32.netbooster
    Mülltonne - 28.06.2008 (1)
  13. "your privacy is in danger" - worm.win32.netbooster - unerwünschte "Ultimate Cleaner"
    Log-Analyse und Auswertung - 01.05.2008 (1)
  14. Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster
    Plagegeister aller Art und deren Bekämpfung - 01.05.2008 (31)
  15. Worm.Win32.NetBooster
    Mülltonne - 10.04.2008 (0)
  16. worm.win32.netsky virus-bitte hilfe ich bin ein noob am pc
    Log-Analyse und Auswertung - 17.03.2008 (28)
  17. Virus P2P-Worm.Win32.Polip.a
    Plagegeister aller Art und deren Bekämpfung - 03.05.2006 (2)

Zum Thema Virus: worm.win32.netbooster - Hallo an alle, ich habe seit ein paar Tagen einen Virus auf meinem Rechner, der bei euch schon desöfteren behandelt worden sein dürfte, wie zum Beispiel hier: KLICK Die dazugehörigen - Virus: worm.win32.netbooster...
Archiv
Du betrachtest: Virus: worm.win32.netbooster auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.