Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   I-Worm.klez.h (https://www.trojaner-board.de/9103-i-worm-klez-h.html)

TrojanerBeginner 02.11.2004 15:01
I-Worm.klez.h
 
Hi, mein Freund hat leider eine email geöffnet.

Symptome: Der IE stellt sich immer auf eine neue Startseite um und die Skriptblockierung im Norton Antivirus wurde irgendwie verändert, Outlook funktioniert zwar, aber um Internetseiten zu öffnen muss man die Firewall deaktivieren

Nach einer kleinen Suche im Internet bin ich auf dieses Tool gestoßen:
Link: http://www.mwti.net/antivirus/free_utilities.asp)http://www.mwti.net/antivirus/free_utilities.asp

Dieses hat den I-Worm.Klez.h gefunden und laut log auch beseitigt.
Ich habe noch mal wie im Internet häufig beschrieben Windows vom Internet getrennt, im abgesicherten Modus gestartet und ein scan drüber laufen lassen. Dieser scan ergab keine anzeichen mehr für I-Worm, leider funktioniert Firewall + Internet noch nicht, die Skiptblockierung des Antivirus ist noch blockiert und die Startseite verändert sich immer noch.

Hat jemand eine Idee oder Tools. Die die Wewehchen des Virus beenden, bzw noch jemand eine Idee an was es noch liegen könnte. Weitere Viren oder rojaner hat kein Scan gefunden.

Vielen Dank
Kind regards

Haui45 02.11.2004 15:30
Erstell mal bitte ein HijackThis Logfile und kopiere es ins Forum.

TrojanerBeginner 02.11.2004 17:02
Sorry das es so lange gedauert hat, aber ich konnte mit meinem Account die letzte Zeit nicht antworten.

Logfile of HijackThis v1.98.2
Scan saved at 16:02:32, on 02.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\ahead\InCD\InCD.exe
C:\WINDOWS\System\adtool.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Matze\LOKALE~1\Temp\Temporäres Verzeichnis 1 für
hijackthis1982[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.aomi.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.extrem-sex.info/gratisano2/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
http://www.aomi.info
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} -
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} -
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System\adtool.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet
Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Matze\LOKALE~1\Temp\mwavscan.com"
/s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search -
res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite -
{B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe


Ne Idee???

Danke

*Christian* 02.11.2004 20:53
Lösche die Datei C:\WINDOWS\System\adtool.exe im abg. Modus.

Dann fixe dies mit HijackThis:

O4 - HKLM\..\Run: [System] C:\WINDOWS\System\adtool.exe


Ansonsten schaut es sauber aus.

TrojanerBeginner 03.11.2004 19:54
Hi,
danke,
werde es morgen gleich mal ausprobieren, heute kam ich leider nicht mehr zu ihm und der Remote-Zugriff fehlt noch. :heulen:

Ich hoffe das löst die Probleme sonst versuche ich es wohl mit einer Neuinstallation, schadet wahrscheinlich auch nicht ihn mal wieder richtig aufzuräumen.

Thanks
Kind Regards

TrojanerBeginner 08.11.2004 13:40
Hi

Hat alles geklappt und funktioniert seitdem ohne Fehler.

Danke für die Hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:01 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129