| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Wurm Net Sky.PWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.05.2005, 19:03
| #1 |
 |  Wurm Net Sky.P Hallo, mein AntiVir hat gerade den Wurm "Net Sky.P" entdeckt.  Da dieser in einem Archiv steckt will AntiVir den nicht löschen! Kann mir bitte jemand helfen den Wurm zu löschen? Ihr habt mir das letzte mal so super geholfen, vielleicht klappt es ja auch diesmal. :aplaus: Vielen Dank für eure Mühe Gruß Sven Ich poste euch noch den AntiVir Report und HijackThis Log.file ___________________________________________________________ AntiVir Report: Plattform: Windows 98 Windows-Version: 4.90.3000 Benutzername: . Prozessor: Pentium Arbeitsspeicher: 228792 KB frei Guard: aktiv Versionsinformationen: AVWIN.DLL : 6.30.00.17 528424 16.03.2005 10:17:42 AVEWIN32.DLL : 6.30.0.12 819712 24.05.2005 18:10:22 SYS_RW16.DLL : 6.19.0 12800 17.03.2004 15:01:00 SYS_RW32.DLL : 6.19.0 16384 17.03.2004 15:01:02 AVGCTRL.EXE : 6.30.00.02 102455 16.03.2005 10:17:42 AVGUARD.VXD : 6.30.0.12 535927 24.05.2005 18:10:22 AVPACK32.DLL : 6.30.0.7 372816 16.03.2005 10:17:42 AVGETVER.DLL : 6.30.00.00 24576 16.03.2005 10:17:42 AVWIN.DLL : 6.30.00.17 528424 16.03.2005 10:17:42 AVSHLEXT.DLL : 6.30.00.01 40960 16.03.2005 10:17:42 AVSched32.EXE : 6.30.00.00 110632 16.03.2005 10:17:42 AVSched32.DLL : 6.30.00.00 122880 16.03.2005 10:17:42 AVREG.DLL : 6.30.00.03 41000 16.03.2005 10:17:42 AVRep.DLL : 6.30.00.195 1126440 24.05.2005 18:10:22 INETUPD.EXE : 6.30.00.17 266299 16.03.2005 10:17:42 INETUPD.DLL : 6.30.00.17 159744 16.03.2005 10:17:42 MFC42.DLL : 6.00.8665.0 995383 19.04.2004 17:37:48 MSVCRT.DLL : 6.10.8637.0 290869 08.06.2000 17:00:00 CTL3D32.DLL : 2.31.000 45056 08.06.2000 17:00:00 CTL3DV2.DLL : 2.31.001 27632 08.06.2000 17:00:00 Konfigurationsdaten: Name der Konfigurationsdatei: C:\PROGRAMME\AVPERSONAL\AVWIN.INI Name der Reportdatei: C:\PROGRAMME\AVPERSONAL\LOGFILES\AVWIN.LOG Startpfad: C:\PROGRAMME\AVPERSONAL Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\WINDOWS\TEMP [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [X] AVWin®/9x Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: A: Diskettenlaufwerk C: Festplatte D: CDRom E: CDRom Start des Suchlaufs: Dienstag, 24. Mai 2005 19:47 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK C:\WINDOWS WIN386.SWP Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\SYSTEM EB3ST000.DAT ArchiveType: CAB SFX (self extracting) --> \AGENT95_t\SAgent95.exe WARNUNG! Fehler beim Lesen der Datei --> \AGENTNT_t\SAgentNT.exe WARNUNG! Fehler beim Lesen der Datei --> \BASE_s\EBAPI.dll WARNUNG! Fehler beim Lesen der Datei --> \BASE_s\EBUtil.dll WARNUNG! Fehler beim Lesen der Datei --> \BASE_t\EBRR.exe WARNUNG! Fehler beim Lesen der Datei --> \BASE_t\STMSetup.ex0 WARNUNG! Fehler beim Lesen der Datei --> \BASE_t\STMSetup.exe WARNUNG! Fehler beim Lesen der Datei --> \EBAPI16_s\EBAPI16.DLL WARNUNG! Fehler beim Lesen der Datei --> \EBAPI16_s\EBAPI16S.EXE WARNUNG! Fehler beim Lesen der Datei --> \EBAPISET.dll WARNUNG! Fehler beim Lesen der Datei --> \EBAPISET.exe WARNUNG! Fehler beim Lesen der Datei --> \EBSETUP.dll WARNUNG! Fehler beim Lesen der Datei --> \Etc\EBAPI.ini WARNUNG! Fehler beim Lesen der Datei --> \IPX_t\EBP16B.EXE WARNUNG! Fehler beim Lesen der Datei --> \IPX_t\EBPIPX.dll WARNUNG! Fehler beim Lesen der Datei --> \IPX_t\EBPNWC.dll WARNUNG! Fehler beim Lesen der Datei --> \IPX_t\NWCALLS.DLL WARNUNG! Fehler beim Lesen der Datei --> \IPX_t\NWIPXSPX.DLL WARNUNG! Fehler beim Lesen der Datei --> \IPX_t\NWLOCALE.DLL WARNUNG! Fehler beim Lesen der Datei --> \IPX_t\NWNET.DLL WARNUNG! Fehler beim Lesen der Datei --> \IPX_t\NWPSRV.DLL WARNUNG! Fehler beim Lesen der Datei --> \IP_t\EBPIP.dll WARNUNG! Fehler beim Lesen der Datei --> \LPT95_s\EBPMON.DLL WARNUNG! Fehler beim Lesen der Datei --> \LPT95_s\ebpport.dat WARNUNG! Fehler beim Lesen der Datei --> \LPTNT_s\ebppmon.dll WARNUNG! Fehler beim Lesen der Datei --> \LPTW2K_s\EBPMON2.DLL WARNUNG! Fehler beim Lesen der Datei --> \LPTW2K_s\ebpport.dat WARNUNG! Fehler beim Lesen der Datei --> \LPT_s\ebpthp.dll WARNUNG! Fehler beim Lesen der Datei --> \LPT_s\ECBTEG.DLL WARNUNG! Fehler beim Lesen der Datei --> \LPT_t\Ebplpt.dll WARNUNG! Fehler beim Lesen der Datei --> \PtP_s\EBNP.dll WARNUNG! Fehler beim Lesen der Datei --> \PtP_s\EBNPP.dll WARNUNG! Fehler beim Lesen der Datei --> \SHARE_t\EbpShare.dll WARNUNG! Fehler beim Lesen der Datei C:\Programme\AVPersonal AVGUARD.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\_RESTORE\ARCHIVE FS37.CAB ArchiveType: CAB (Microsoft) --> A0012235.CPY [FUND!] Enthält Signatur des Wurmes Worm/NetSky.P Ende des Suchlaufs: Dienstag, 24. Mai 2005 19:58 Benötigte Zeit: 11:27 min 964 Verzeichnisse wurden durchsucht 41484 Dateien wurden geprüft 35 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Virus bzw. unerwünschtes Programm wurde gefunden _______________________________________________________________ Logfile of HijackThis v1.99.1 Scan saved at 19:16:19, on 24.05.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SOUNDMAN.EXE C:\PROGRAMME\A4TECH\MOUSE\AMOUMAIN.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\OLYMPUS\CAMEDIA MASTER 4.1\CM_CAMERA.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\HANSENET\ALICE\APP\TANGOMANAGER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\EIGENE DATEIEN\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hansenet.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\PROGRAMME\WS_FTP PRO\WSBHO2K0.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~1\HANSENET\ALICE\APP\TANGOM~1.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: EPSON Status Monitor 3.2 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE O4 - Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE |
|
24.05.2005, 19:06
| #2 |
| Moderator, a.D.   |  Wurm Net Sky.P Mach mal deinen Papierkorb leer, und besuche Windows-Update. Dein Internet Expoder ist veraltet.
__________________Gruß  Yopie |
|
24.05.2005, 19:12
| #3 |
| | Wurm Net Sky.P Hallo Yopie,
__________________im Papierkorb war nur die zip. Datei von HiJack. Und mit dem Internet Explorer wollte ich eh umsteigen auf Mozilla, hab gehört das ist sicherer. Aber vielen Dank für deine schnelle Reaktion |
|
24.05.2005, 19:19
| #4 | |
  | Wurm Net Sky.P Ich bin mir jetzt nicht ganz sicher, aber ist das nicht bei WinME der Ordner für die Systemwiederherstellung -> Zitat:
 Also einmal die Systemwiederherstellung deaktivieren und neu starten. Danach bei Bedarf wieder aktivieren. Ein Umstieg auf bspw. Mozilla ist durchaus begrüßenswert. Aber dennoch solltest Du den IE aktuell halten.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
24.05.2005, 19:19
| #5 | |
| Moderator, a.D. | Wurm Net Sky.P Sorry, ich hab mich vertan! Du musst die Systemwiederherstellung deaktivieren, um die Datei zu löschen. http://www.bsi.bund.de/av/texte/wiederher_me.htm Zitat:
Mozilla ist spitze! Aktuell ist Version 1.78, unter http://germaninstaller.sourceforge.net/ bekommst du die deutsche Installer-Version. edit: Hi Lutz, ich habs dann auch noch bemerkt... edit2: Typos verbessert.  Gruß Yopie Geändert von Yopie (24.05.2005 um 19:27 Uhr) |
|
24.05.2005, 19:25
| #6 | |
| | Wurm Net Sky.PZitat:
__________________ --> Wurm Net Sky.P |
|
24.05.2005, 19:26
| #7 |
| Moderator, a.D. | Wurm Net Sky.P Kein Thema, solange wir beide das Gleiche schreiben. Gruß Yopie |
|
26.05.2005, 19:43
| #8 |
| | Wurm Net Sky.P Ich Danke Euch, ich habe die Systemwiederherstellung deaktiviert, und schon ist der Wurm weg.  Gruß Sven |
|
| Themen zu Wurm Net Sky.P |
| .dll, adobe, antivir, bho, diverse, explorer, helfen, heulen, hijack, hijackthis, infizierte, internet, internet explorer, laufwerk c, logfiles, löschen, microsoft, msn, olympus, programme, registry, rundll, software, suche, super, träge, upd.exe, viren, virus, windows, wurm, zugriff verweigert |
Linear-Darstellung
