|
Plagegeister aller Art und deren Bekämpfung: WORM/Ider.A.RkitWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.12.2005, 17:25 | #16 |
| WORM/Ider.A.Rkit OMG ich lösch die ja auch immer beim neustart! ^^ |
27.12.2005, 17:41 | #17 |
| WORM/Ider.A.Rkit So ich habe die Datei umbenannt und sie auf der o.g. Site analysieren lassen! Hier die Ergebnisse:
__________________Datei: böso.TMP.VIR Status: INFIZIERT/MALWARE Entdeckte Packprogramme: UPACK AntiVir Worm/Ider.A.Rkit gefunden ArcaVir Keine Viren gefunden Avast Win32:Zlob-AF gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Popuper gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.dk gefunden NOD32 a variant of Win32/StartPage.ADH gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Trojan.StartPage.83 gefunden (mögliche Variante) |
27.12.2005, 17:50 | #18 |
| WORM/Ider.A.Rkit Ok, danke. Arbeite bitte den Thread zu Entfernung des Trojaner Smitfraud.c durch.
__________________ |
27.12.2005, 18:05 | #19 |
| WORM/Ider.A.Rkit Ehhhm ja! Die interne Suchmaschiene wirft aber nur threads mit den unterschiedlichsten Möglichkeiten aus! Hast du einen bestimmten gemeint? (Link wäre super) mfG pRiNcE |
27.12.2005, 18:07 | #20 | |
| WORM/Ider.A.RkitZitat:
|
27.12.2005, 21:31 | #21 |
| WORM/Ider.A.Rkit Hallo , könnte mir bitte auch jemand helfen !!!! Ich hatte auch den Worm Ider.A.rKit und war im abgesicherten Modus. Logfile of HijackThis v1.99.1 Scan saved at 21:19:01, on 27.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Office Mouse\moffice.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Office Mouse\MOUSE32A.EXE C:\Programme\Medion\ScanPanel\ScnPanel.exe C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Outlook Express\msimn.exe C:\DOKUME~1\Frank\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe C:\DOKUME~1\Frank\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis[1].zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust...hoo.comLogfile of HijackThis v1.99.1 Scan saved at 21:16:23, on 27.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Office Mouse\moffice.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Office Mouse\MOUSE32A.EXE C:\Programme\Medion\ScanPanel\ScnPanel.exe C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Outlook Express\msimn.exe C:\DOKUME~1\Frank\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe C:\DOKUME~1\Frank\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - Default URLSearchHook is missing O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll (file missing) O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office Mouse\moffice.exe O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [Spyware Assassin v.4.0] "C:\Programme\Spyware Assassin 4.0\Spyware Assassin.exe" O4 - HKCU\..\Run: [POPUPWATCH] C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\PopUpWatch.exe /STARTUP O4 - HKCU\..\Run: [spywatch] C:\Programme\BulletProofSoft.com\SpywareRemover\SpyWatch.exe /STARTUP O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [BoontyBox] "C:\Programme\Boonty\BoontyBox\BoontyBox.exe" /boot O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ScanPanel.lnk = C:\Programme\Medion\ScanPanel\ScnPanel.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing) O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/148047af...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe O23 - Service: Network Security Service (__NS_Service_3) - Unknown owner - C:\WINDOWS\system32\mfcey32.exe (file missing) |
27.12.2005, 21:34 | #22 |
| WORM/Ider.A.Rkit |
27.12.2005, 21:45 | #23 |
| WORM/Ider.A.Rkit oh nein-ich hab mich schon angestrengt das ich das so hinbekommen habe.Wo ich doch keinen blassen Schimmer hatte was ein HijackThis logfile ist und und vom ganzen Rest ganz zu schweigen..... Die Männer mit der weißen Weste müssen eh bald anrücken..... |
27.12.2005, 22:26 | #24 |
/// Winkelfunktion /// TB-Süch-Tiger™ | WORM/Ider.A.Rkit Denk bitte auch daran die Links unkenntlich zu machen, sodass sie nicht anklickbar sind. Mach aus dem http am besten ein h**p.
__________________ Logfiles bitte immer in CODE-Tags posten |
27.12.2005, 22:54 | #25 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | WORM/Ider.A.RkitZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
27.12.2005, 23:11 | #26 |
| WORM/Ider.A.Rkit Kann auch sein das wenn nix mehr gemeldet wird, die unruhe erst richtig beginnt. Am besten FORMAT c: oder noch besser neuen PC kaufen. Und dann super duper firewall und megageilen virenscanner drauf |
27.12.2005, 23:14 | #27 | |
| WORM/Ider.A.RkitZitat:
__________________ Only cronos endures |
27.12.2005, 23:18 | #28 | |
| WORM/Ider.A.RkitZitat:
Und jetzt bitte mal wieder zurück zum Thema Geändert von Haui45 (27.12.2005 um 23:30 Uhr) |
27.12.2005, 23:22 | #29 | |
| WORM/Ider.A.RkitZitat:
Doch mehr als sich durch einige programme, versuchen zuschützen geht halt nicht ( Oder dochhhh ) |
27.12.2005, 23:25 | #30 |
| WORM/Ider.A.Rkit
__________________ Only cronos endures |
Themen zu WORM/Ider.A.Rkit |
antivir, classic, datei, folge, folgende, lästige, löschen, meldung, neuste, poste, posten, rechner, schön, signatur, stand, system, system32, update, windows, wurm, zusammen |