Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wurm Francette.L

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.08.2004, 11:50   #1
welsch
 
Wurm Francette.L - Böse

Wurm Francette.L



hallo,ich habe seit etwa einer Woche den Wurm Francette .L.1 bei mir zu Gast und werde ihn nicht mehr los. Beim Hochfahren meldet mir "Anti Vir" den Wurm und er wird dann von mir gelöscht. Der Computer kann nicht richtig runtergefahren werden.In der registry ist keiner der beiden bekannten Einträge vorhanden.Übrigens, Betriebssystem ist Windows 200. Kann jemand helfen??

Alt 14.08.2004, 18:47   #2
*Christian*
Gast
 
Wurm Francette.L - Standard

Wurm Francette.L



Scanne mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste evtl. noch ein HijackThis-Log: http://filepony.de/download-hijackthis/
__________________


Alt 15.08.2004, 01:34   #3
welsch
 
Wurm Francette.L - Icon26

Wurm Francette.L



vielen Dank !!!!!!!! der scan im abges. Modus hat gereicht!!
Gruß Tom
__________________

Alt 15.08.2004, 09:34   #4
MountainKing
 
Wurm Francette.L - Standard

Wurm Francette.L



Du solltest trotzdem sicherheitshalber ein log erstellen und posten oder wenigstens mal in der automatischen Auswertung nachschauen www.hijackthis.de Falls da *nicht grüne*-Einträge drin sind, das log hier posten

Alt 16.08.2004, 19:54   #5
cr3tz
 
Wurm Francette.L - Standard

Wurm Francette.L



Hi, bei mir hat sich dieser blöde virus ebenfalls eingeschliechen, das mit dem abgesichtern modus hab ich ebenfalls getan, ich benutze AntiVir, er wurde auch gelöscht doch als ich wieder ins normale windows zurückkehrte war er wieder da, was soll ich nur tun


Alt 16.08.2004, 20:07   #6
Cidre
Administrator, a.D.
 
Wurm Francette.L - Standard

Wurm Francette.L



Zitat:
Scanne mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste evtl. noch ein HijackThis-Log: http://filepony.de/download-hijackthis/
14.08.2004 12:50
Die Vorgehensweise hatte *Christain* schon beschrieben!
Deine Informationen sind etwas dürftig.

Wo wurde dieser Wurm Francette .L.1 gefunden?
__________________
--> Wurm Francette.L

Alt 16.08.2004, 20:27   #7
cr3tz
 
Wurm Francette.L - Standard

Wurm Francette.L



der virus wurde in system32 gefunden, die datei heisst lol.dll !
hier der Log:

Logfile of HijackThis v1.98.2
Scan saved at 21:25:27, on 16.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM\winlogon.exe
C:\WINDOWS\System32\msnmsg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\pixel\LOKALE~1\Temp\Rar$EX00.828\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Local Service] runddl32.exe
O4 - HKLM\..\Run: [msn] msnmsg.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\RunServices: [Local Service] runddl32.exe
O4 - HKLM\..\RunServices: [msn] msnmsg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Local Service] runddl32.exe
O4 - HKCU\..\Run: [msn] msnmsg.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{0499D777-84D3-4929-A0DB-6B2FF05F8A23}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0499D777-84D3-4929-A0DB-6B2FF05F8A23}: NameServer = 217.237.151.225 194.25.2.129

Alt 16.08.2004, 20:34   #8
Cidre
Administrator, a.D.
 
Wurm Francette.L - Standard

Wurm Francette.L



@ cr3tz

Das sieht gar nicht gut aus. Da laufen viele Trojaner im Hintergrund mit.

Überprüfe diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis:
C:\WINDOWS\SYSTEM\winlogon.exe
C:\WINDOWS\System32\msnmsg.exe

wenn noch vorhanden, dann auch diese noch:
serm32.exe
2kadiras.exe
runddl32.exe
__________________
Gruß, Cidre


Alt 16.08.2004, 22:34   #9
welsch
 
Wurm Francette.L - Standard

Wurm Francette.L



hallo,
ihr habt ja alle tolle Vorschläge,aber was nutzt es wenn ihr so einen Laien wie mich da sitzen habt????Der macht doch auf die Tour nur alles schlimmer!!!

Alt 16.08.2004, 22:59   #10
welsch
 
Wurm Francette.L - Standard

Wurm Francette.L



werd wohl noch Profi.....




Logfile of HijackThis v1.98.2
Scan saved at 23:58:00, on 16.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\system32\svchost.exe
C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\News\NewsUpd.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\unzipped\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINNT\system32\syshost.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Systesms.exe] Systesms.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EA62FCF-E4A9-48E9-B950-D8B54D173229}: NameServer = 217.237.150.33 194.25.2.129

Alt 16.08.2004, 23:19   #11
Cidre
Administrator, a.D.
 
Wurm Francette.L - Standard

Wurm Francette.L



Zitat:
Der macht doch auf die Tour nur alles schlimmer!!!
Deine Aussage kann ich nicht nachvollziehen.
In erster Linie, gehts es darum, daß diese von mir genannten und zu überprüfenden Dateien, teilweise nicht zuzuordnen sind.
Also hätte ich, wie wahrscheinlich die anderen helfenden User auch , gerne gewußt was dahinter steckt, um so effektiver eine Empfehlung an den TO abzugeben, um nicht wild spekulieren zu müssen.

Der Helfende übernimmt eine große Verantwortung gegenüber den Hilfesuchenden, wenn er ein Log-File oder eine Empfehlung abgibt, dies kann nicht lapidar mit der Begründung erfolgen: "Nimm Tool A, danach Tool B und wenn das nicht hilft Tool C und dann ist dein System sauber".

Du verstehst, was ich meine?
http://faq.underflow.de/#SECTION000120000000000000000

Auch wenn das leichter für den Hilfesuchende wäre, würde ich ihm fälschlicherweise eine Scheinsicherheit suggerieren und ihn blind ins Verderben rennen lassen. Als Auswertender sollte man den schlimmsten Zustand annehmen, der auch eintreten kann.

z.B. dieser Prozess C:\WINDOWS\System32\msnmsg.exe , das ist ein aktiver Backdoor.Rbot.gen.

Was kann dieser Backdoor.Rbot.gen:
W32/Rbot-DE ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist.

W32/Rbot-DE verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehl von einem remoten Anwender erhalten hat.

Weitere Infos hier:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Also überdenke bitte deine Aussage nochmal.
__________________
Gruß, Cidre


Alt 17.08.2004, 10:05   #12
juli
 
Wurm Francette.L - Standard

Wurm Francette.L



hallo zusammen,
schön das ich nicht die einzige bin die sich mit francette herumschlägt.

ich habe xp, mein antivir findet bei jedem start den wurm, kann ihn aber nicht löschen, und ich kann meinen rechner nicht mehr herunterfahren, nur wenn ich aus meinem profil herausgehe und dann vom willkommen-bildschirm aus herunterfahre - soweit zum problem!

hab alle eure guten tipps gelesen, bin mir aber nun nicht sicher wie das mit dem escan funktioniert.
kommt der sich irgendwie mit dem antivir in die quere und muss ich dieses dann deaktivieren?
und wie kann ich im abgesicherten modus das programm ausführen?
sorry, aber ich bin in solchen fragen überhaupt nicht versiert...
hoffe mir kann jemand helfen!!

grüße, juli

Alt 17.08.2004, 10:54   #13
MountainKing
 
Wurm Francette.L - Standard

Wurm Francette.L



Hi Juli,

schau dir mal diesen Link an, da ist E-Scan erklärt:

http://www.trojaner-board.de/42731-escan-anleitung.html

Im abgesicherten Modus musst du Antivir auch nicht deaktivieren, da ist es automatisch nicht geladen, dürfte sich aber auch im normalen nicht mit E-Scan in die Quere kommen.

Alt 17.08.2004, 11:02   #14
juli
 
Wurm Francette.L - Icon24

Wurm Francette.L



danke dir, das probier ich gleich mal aus!!

Alt 17.08.2004, 13:08   #15
juli
 
Wurm Francette.L - Standard

Wurm Francette.L



viiiielen dank MountainKing,
die wurmkur scheint geklappt zu haben!
das e-scan hat einiges gefunden und wohl auch erfolgreich eliminiert, denn: ich kann wieder ganz normal herunterfahren!!

ist das eigentlich schlimm, wenn einige virenbefallene dateien nicht gelöscht, sondern nur umbenannt werden konnten?
und was genau bringt "hijackthis"? das hab ich irgendwie nicht so ganz nachvollziehen können...

aber danke erstmal fürs schnelle helfen,
juli

Antwort

Themen zu Wurm Francette.L
anti, anti vir, bekannte, betriebssystem, compu, computer, einträge, france, francette, hochfahren, melde, meldet, nicht mehr, registry, richtig, träge, windows, woche, wurm



Ähnliche Themen: Wurm Francette.L


  1. Wurm oder nicht Wurm (Verschickt Spam-Mails)
    Plagegeister aller Art und deren Bekämpfung - 25.10.2010 (1)
  2. Ist der Wurm weg??
    Log-Analyse und Auswertung - 06.06.2010 (5)
  3. MSN Wurm was nun ?
    Mülltonne - 24.03.2010 (1)
  4. Wurm oder nicht Wurm?
    Mülltonne - 25.11.2008 (0)
  5. Wurm oder nicht Wurm?
    Mülltonne - 25.11.2008 (0)
  6. MSN-Wurm etc
    Log-Analyse und Auswertung - 07.08.2007 (2)
  7. MSN Wurm
    Log-Analyse und Auswertung - 30.07.2007 (4)
  8. Was ist das? Wurm????
    Plagegeister aller Art und deren Bekämpfung - 09.05.2005 (1)
  9. Francette.N.2 / svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 06.01.2005 (2)
  10. Francette
    Plagegeister aller Art und deren Bekämpfung - 20.12.2004 (19)
  11. AntiVir meldet Francette.l
    Log-Analyse und Auswertung - 29.11.2004 (8)
  12. Wurm
    Plagegeister aller Art und deren Bekämpfung - 28.11.2004 (3)
  13. Worm francette.N
    Plagegeister aller Art und deren Bekämpfung - 19.11.2004 (9)
  14. Worm francette - Hijackthis-LogFile
    Log-Analyse und Auswertung - 18.11.2004 (2)
  15. francette u.a
    Plagegeister aller Art und deren Bekämpfung - 05.10.2004 (3)
  16. francette
    Plagegeister aller Art und deren Bekämpfung - 27.09.2004 (3)
  17. IRC Wurm?
    Plagegeister aller Art und deren Bekämpfung - 03.04.2004 (7)

Zum Thema Wurm Francette.L - hallo,ich habe seit etwa einer Woche den Wurm Francette .L.1 bei mir zu Gast und werde ihn nicht mehr los. Beim Hochfahren meldet mir "Anti Vir" den Wurm und er - Wurm Francette.L...
Archiv
Du betrachtest: Wurm Francette.L auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.