worm.win32.netbooster2 Hallo, gestern wollte ich mir HD Trailer anschauen und lud mir auf einen Wurm herunter, getarnt als "Video-Codec". Nun, der Taskmanager ist gesperrt, der Desktophintergrund verschwunden, es gibt drei neue Verknüpfungen zu vermeintlicher Anti-Viren Software, im Systray blinkt hin und wieder ein roter Kreis mit weißem Kreuz - an sich nichts neues. Was mich allerdings Wundert ist die Tatsache, das mir manchmal erzählt wird ich habe den Netbooster, ein ander Mal den Netbooster2 - von letzterem konnte ich bisher nichts finden. Dennoch konnte ich mir bisher nicht selber helfen. Dateien, die bei anderen die Verursacher sind existieren bei mir nicht (jedenfalls habe ich sie nicht gefunden). In der Registry habe ich bereits versucht meinen Taskmanager wieder zum laufen zu bringen mit dem Eintrag 'EnableTaskManager' (bzw so ähnlich), das half aber auch nicht. Den CC Cleaner habe ich bereits rüberlaufen lassen sowie HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:51:38, on 15.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\WirelessBooster\WBTray.exe C:\Programme\DU Meter\DUMeter.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CCleaner\CCleaner.exe C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: WirelessBooster Component - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - C:\Programme\WirelessBooster\TweakBHO.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: DVA Storm - {D3593B96-4822-434E-82B4-A54C29FCC7F5} - C:\WINDOWS\lgmxvpatdbr.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll O3 - Toolbar: qtvglped - {41B15C1C-2C15-49E4-B6A4-C940F885290E} - C:\WINDOWS\qtvglped.dll O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [TweakMASTER] C:\Programme\WirelessBooster\WBTray.exe O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{422D6C12-30FB-4BB3-9562-55A4C39B196E}: NameServer = 192.168.2.1 O21 - SSODL: pmsoarbf - {1357653C-F55E-4947-86D5-ABA9F00DC55B} - C:\WINDOWS\pmsoarbf.dll O21 - SSODL: omlbpkaw - {04F8EE27-9DE6-42BE-8AF7-BEEA8E163E8C} - C:\WINDOWS\omlbpkaw.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm -- End of file - 6311 bytes Vielen Dank schonmal für eine Hilfestellung! mikke |
Hallo, 1. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat:
scanne mit RVAXO - poste hier den report RVAXO 3. smitfraudfix (Option2 ) anwenden « poste hier den report SmitfraudFix 4. lade Combofix (Warnmeldung wegklicken ) « poste den Report hier combofix Gruss Sabina |
Super Vielen Dank! WirelessBooster ist ein definitiv von mir installiertes Programm, somit habe ich dagegen nichts unternommen. Die Berichte: Code: ---RVAXO.exe Updated: 2008-04-15---first run--- Code: SmitFraudFix v2.314 Code: ComboFix 08-04-14.2 - mikke 2008-04-15 11:44:17.1 - NTFSx86 |
Hallo, ich denke inzwischen auch, dass WirelessBooster o.k. ist, auf jeden Fall wird es von seriösen Anbietern gehostet.. dennoch hab ich es erst mal mit rausnehmen lassen, weil ich mir nicht sicher bin. 1. OTMoveIt OTMoveIt by OldTimer öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move Klicke auf den Roten MoveIt! Zitat:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" 3. OTMoveIt klicken: CleanUp! button Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden. 4. wende CCleaner an - noch mal, denn du hast es ja schon geladen... CCleaner 5. scanne Online mit Bitdefender Online Virenscanner dann sollte wieder alles o.k. sein :) Gruss Sabina |
Super! Vielen Dank für die kompetenten Antworten. Jeden Tag eine gute Tat - du hast sie für heute erfüllt! Liebe Grüße mikke |
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:47 Uhr. |
Copyright ©2000-2024, Trojaner-Board