Hallo!

Habe mir den Sober.X eingefangen....

Weiß wer wie man den killt?

Gruß

@Icetiger1980
poste bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493

poste auch wo der soberX gefunden würde

chaosman

Logfile of HijackThis v1.99.1
Scan saved at 12:03:15, on 15.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Internet\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe
O4 - HKLM\..\RunOnce: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe %1
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [_WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - hxxp://download.mcafee.com/molbin/sh...0/mcinsctl.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - hxxps://img.web.de/v/mail/activex/mail_upload_1124.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - hxxp://download.mcafee.com/molbin/sh...23/mcgdmgr.cab
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Habe erfahren dass es der sober.x ist als ich auf der avpersonal-hp (antivir.de in der virus-warung) war um das neueste update zu installieren... gefunden wurde er vom AV programm noch nicht.. AV und hijack läuft nur im agesicherten modus

kommando zurück, er heißt sober.W!!!!

e-mail war so:

Subject:
Ihre eMail!





Body:


Guten Tag,
jemand schickte mir eine Mail mit einer Excel oder Access Tabelle (kenne
mich da nicht so aus!).
Jedenfalls ist diese Mail aber an ihre Mail Adresse adressiert, aber zu meiner gekommen??? Ist wohl irgendein Fehler.


Ok, hier haben Sie sie wieder zurueck!


gruss






Attachment:


excel_table.zip

Hallo,

Zitat:

Habe erfahren dass es der sober.x ist als ich auf der avpersonal-hp war um das neueste update zu installieren...

Kannst du das mal noch ein wenig näher erläutern? Weil dort Symptome beschrieben sind, die du hast? Hast du denn überhaupt einen Anhang einer fragwürdige E-Mail geöffnet?
Überprüfe mal folgende Datei:
C:\WINDOWS\ConnectionStatus\Microsoft\services.exe
hier und poste das Ergebnis.


P.S. Editiere deine Links im HijackThis log (aus http hxxp machen!)
Grüße Wildone

ergebnis The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

wenn ich die datei öffnen will heißt es ein anderes programm greift gerade darauf zu

habe anhang geöffnet... leider

Hallo,
naja dann löschen wir die datei halt ohne zu erfahren welche Sobervarinte das jetzt ist. Besorge dir Killbox und lösche die Datei mit "delete file on reboot" danach fixt(Haken davor und auf "fix checked") du mit HijackThis folgende Einträge:
O4 - HKLM\..\Run: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe
O4 - HKLM\..\RunOnce: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe %1
O4 - HKCU\..\Run: [_WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe

Hat das updaten von Antivir eigentlich funktioniert? Denn der sollte die neuen Sobervarianten eigentlich schon erkennen, siehe hier.


Grüße Wildone

Danke,

sieht gut aus...

ich konnte ja nicht das internet-update von antivir machen und hab das ganze programm nochmal runtergeladen... anscheinend war da noch nicht die neueste VDF drauf, weil beim update jetzt war auf pc .23 und server hatte .25 ... immerhin startet jetzt antivir und ich lass gleich laufen... danke für alles