Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: I-Worm.klez.h

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.11.2004, 15:01   #1
TrojanerBeginner
 
I-Worm.klez.h - Standard

I-Worm.klez.h



Hi, mein Freund hat leider eine email geöffnet.

Symptome: Der IE stellt sich immer auf eine neue Startseite um und die Skriptblockierung im Norton Antivirus wurde irgendwie verändert, Outlook funktioniert zwar, aber um Internetseiten zu öffnen muss man die Firewall deaktivieren

Nach einer kleinen Suche im Internet bin ich auf dieses Tool gestoßen:
Link: http://www.mwti.net/antivirus/free_utilities.asp)http://www.mwti.net/antivirus/free_utilities.asp

Dieses hat den I-Worm.Klez.h gefunden und laut log auch beseitigt.
Ich habe noch mal wie im Internet häufig beschrieben Windows vom Internet getrennt, im abgesicherten Modus gestartet und ein scan drüber laufen lassen. Dieser scan ergab keine anzeichen mehr für I-Worm, leider funktioniert Firewall + Internet noch nicht, die Skiptblockierung des Antivirus ist noch blockiert und die Startseite verändert sich immer noch.

Hat jemand eine Idee oder Tools. Die die Wewehchen des Virus beenden, bzw noch jemand eine Idee an was es noch liegen könnte. Weitere Viren oder rojaner hat kein Scan gefunden.

Vielen Dank
Kind regards

Alt 02.11.2004, 15:30   #2
Haui45
 
I-Worm.klez.h - Standard

I-Worm.klez.h



Erstell mal bitte ein HijackThis Logfile und kopiere es ins Forum.
__________________


Alt 02.11.2004, 17:02   #3
TrojanerBeginner
 
I-Worm.klez.h - Standard

I-Worm.klez.h



Sorry das es so lange gedauert hat, aber ich konnte mit meinem Account die letzte Zeit nicht antworten.

Logfile of HijackThis v1.98.2
Scan saved at 16:02:32, on 02.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\ahead\InCD\InCD.exe
C:\WINDOWS\System\adtool.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Matze\LOKALE~1\Temp\Temporäres Verzeichnis 1 für
hijackthis1982[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.aomi.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.extrem-sex.info/gratisano2/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
http://www.aomi.info
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} -
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} -
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System\adtool.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet
Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Matze\LOKALE~1\Temp\mwavscan.com"
/s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search -
res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite -
{B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe


Ne Idee???

Danke
__________________

Alt 02.11.2004, 20:53   #4
*Christian*
Gast
 
I-Worm.klez.h - Standard

I-Worm.klez.h



Lösche die Datei C:\WINDOWS\System\adtool.exe im abg. Modus.

Dann fixe dies mit HijackThis:

O4 - HKLM\..\Run: [System] C:\WINDOWS\System\adtool.exe


Ansonsten schaut es sauber aus.

Alt 03.11.2004, 19:54   #5
TrojanerBeginner
 
I-Worm.klez.h - Standard

I-Worm.klez.h



Hi,
danke,
werde es morgen gleich mal ausprobieren, heute kam ich leider nicht mehr zu ihm und der Remote-Zugriff fehlt noch.

Ich hoffe das löst die Probleme sonst versuche ich es wohl mit einer Neuinstallation, schadet wahrscheinlich auch nicht ihn mal wieder richtig aufzuräumen.

Thanks
Kind Regards


Alt 08.11.2004, 13:40   #6
TrojanerBeginner
 
I-Worm.klez.h - Standard

I-Worm.klez.h



Hi

Hat alles geklappt und funktioniert seitdem ohne Fehler.

Danke für die Hilfe

Antwort

Themen zu I-Worm.klez.h
abgesicherten, abgesicherten modus, antivirus, antivirus is, beenden, blockiert, email, firewall, funktioniert, internetseite, kleine, log, modus, neue, norton, outlook, scan, seite, seiten, startseite, suche, tool, verändert, viren, windows, öffnen



Ähnliche Themen: I-Worm.klez.h


  1. AVG AV 2013 meldet Worm/VB.DYC, Worm/VB.DYA, Trojaner: Dropper.Generic.TEL im Verzeichniss \\WUALA_BY_LACIE\...\RECYCLED\...
    Plagegeister aller Art und deren Bekämpfung - 11.04.2013 (9)
  2. WORM/Kido.IX und WORM/Confick.164228 auf externer Festplatte
    Log-Analyse und Auswertung - 03.06.2012 (16)
  3. Virusbefall Worm/Downadup, Worm/Generic_c.ZS, Verbeitung mit autorun.inf auf Wechselmedien
    Log-Analyse und Auswertung - 28.06.2011 (44)
  4. Wurmbefall Worm ICRBot 54784.12 oder W32/WHIPSER-B WORM
    Log-Analyse und Auswertung - 22.06.2008 (7)
  5. netsta.exe -> WORM/IRCBot.1195026 bzw. Worm.Gaobot
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (5)
  6. Hilfe, bekomme Worm/SdDrop.P2P.B.1 und Worm/RBot nicht weg
    Log-Analyse und Auswertung - 25.11.2005 (3)
  7. WORM Alcra.B oder/und WIN32:KLEZ-X(also alles möglcihe an buchstaben) [Wrm]
    Plagegeister aller Art und deren Bekämpfung - 20.09.2005 (6)
  8. Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (12)
  9. w32.klez.h@mm in C:\Programme\Messenger\MSMSGS.EXE (Hilfe?!)
    Plagegeister aller Art und deren Bekämpfung - 16.02.2005 (1)
  10. Worm/Klez.E & W32/Elkern.C
    Plagegeister aller Art und deren Bekämpfung - 24.03.2004 (3)
  11. Frage zu W32.Klez.H@mm
    Plagegeister aller Art und deren Bekämpfung - 23.12.2003 (1)
  12. Bitte dringend Hilfe! (Klez.h; Sobig.a; Hybris.b)
    Plagegeister aller Art und deren Bekämpfung - 06.12.2003 (16)
  13. erwischt, was nun ? W32/Elkem.C und W32.Klez.H@mm
    Plagegeister aller Art und deren Bekämpfung - 20.08.2003 (10)
  14. Neue KLEZ- Variante??
    Plagegeister aller Art und deren Bekämpfung - 23.06.2003 (12)
  15. W32.Klez.H@mm schon 3 mal
    Plagegeister aller Art und deren Bekämpfung - 14.03.2003 (1)
  16. Datenverlust durch klez.h
    Plagegeister aller Art und deren Bekämpfung - 25.02.2003 (7)
  17. Hilfe! Werden den Wurm WIN32.KLEZ.E@mm nicht loslos
    Plagegeister aller Art und deren Bekämpfung - 14.02.2003 (11)

Zum Thema I-Worm.klez.h - Hi, mein Freund hat leider eine email geöffnet. Symptome: Der IE stellt sich immer auf eine neue Startseite um und die Skriptblockierung im Norton Antivirus wurde irgendwie verändert, Outlook funktioniert - I-Worm.klez.h...
Archiv
Du betrachtest: I-Worm.klez.h auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.