|
Plagegeister aller Art und deren Bekämpfung: iworm_attck v122.02aWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.07.2006, 16:18 | #1 |
| iworm_attck v122.02a Hallo, ich habe folgendes Problem oder besser gesagt folgenden Wurm: iworm_attck v122.02a, so zeigen mir es zumindest die tausenden Meldungen an meinem PC an. Ich habe schon gegoogelt nach dem Programm aber es kamen nur zwei Ergebnisse und zwar von euch, es wurden unter anderem immer ein Link hier genannt zur entfernung, der ist aber (momentan?) nicht aktiv. Wenn mir jeman helfen könnte wäre es genial bin verzweifelt |
12.07.2006, 16:38 | #2 |
Moderator, a.D. | iworm_attck v122.02a Die 7 goldenen Regeln im Trojaner-Board:
__________________1. Bevor Du postest, benutze Google sowie die Boardsuche und informiere Dich über Dein Problem. Du bist erfahrungsgemäß nicht der erste, der diese Frage stellt. Arbeite die empfohlenen Maßnahmen durch. 2. Wenn Du Dein Problem im Board schildern willst, poste es genau einmal. Fallen Dir danach wichtige Details ein, editiere und ergänze Dein Posting, anstatt ein neues zu erstellen. Mehrfach- und Crosspostings landen in der Mülltonne. 3. Wähle einen aussagekräftigen Titel, der Dein Problem kurz und klar zusammenfaßt. Titel wie "hüllfääää ... überall viren!!!" führen dazu, daß Dein Posting ignoriert wird. 4. Schreibe in verständlichem Deutsch und in ganzen Sätzen. Vergiß nicht: Dies ist ein Forum, kein Chat. Du hast Zeit! Beseitige Fehler, bevor du Deinen Beitrag erstellst. Hältst Du Dich nicht an diese Regel, kannst Du keine hilfreichen Antworten erwarten. 5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen, und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen. 6. Lies die Hinweise der Helfer sorgfältig und befolge sie. Verstehst Du etwas nicht, frage höflich nach. Hast Du Dein Problem erfolgreich gelöst, melde Dich. Vergiß nicht, Dich zu bedanken. Deine Helfer werden es nicht vergessen. 7. Zu guter Letzt: Zitiere externe Quellen immer mit Quellenangabe, da Du sonst das Team in rechtliche Schwierigkeiten bringst. Bei Nichtbeachtung dieser Regel werden entsprechende Postings kommentarlos gelöscht. |
12.07.2006, 17:00 | #3 |
| iworm_attck v122.02a oooooh tut mir leid wusste gar nicht das ich für ein einfachen externen Entfernungslink soviel angeben muss
__________________Also ich habe Windows XP (Home), SP2 mehr braucht euch nun wirklich nichts zu interessieren Zu meinem Problem kann ich auch nicht mehr sagen sonst wäre ich ja nicht hier oder!? Vielleicht hilft es euch wenn ihr den Thread durchlest, denn es schildert haargenau mein Problem http://www.trojaner-board.de/archive/index.php/t-24003.html |
12.07.2006, 17:05 | #4 | ||
Moderator, a.D. | iworm_attck v122.02aZitat:
Zitat:
Gruß Yopie |
12.07.2006, 17:08 | #5 |
| iworm_attck v122.02a |
12.07.2006, 17:43 | #6 | ||
| iworm_attck v122.02aZitat:
Zitat:
Danke Wildone ... ich probiers aus. |
12.07.2006, 17:53 | #7 | ||
Moderator, a.D. | iworm_attck v122.02aZitat:
Zitat:
Gruß Yopie |
12.07.2006, 18:16 | #8 |
| iworm_attck v122.02a juhu der Wurm oder was auch immer ist beseitigt - danke Wildone(für den entscheidenden Link) und Yopi. Und entschuldigt bitte mein "unhöfliches" Verhalten, ich war total schlecht drauf wegen dem Wurm oder was auch immer. |
12.07.2006, 18:19 | #9 | |
| iworm_attck v122.02aZitat:
Grüße Wildone |
12.07.2006, 18:24 | #10 |
| iworm_attck v122.02a Wie meinst du des? Hab ich was falsch gemacht? |
12.07.2006, 18:26 | #11 |
| iworm_attck v122.02a Hallo, schau nochmal in die Anleitung rein, suche nach dem zitierten Satz, dann weißt du was ich noch zur Kontrolle sehen will. Edit Dann kann ich dir wahrscheinlich auch gleich bei deinem anderen Problem helfen. Grüße Wildone Geändert von Wildone (12.07.2006 um 18:32 Uhr) |
12.07.2006, 18:33 | #12 | |
| iworm_attck v122.02a kann es sein das du Regel 6 meinst? Zitat:
|
12.07.2006, 18:37 | #13 | |
| iworm_attck v122.02a Hallo, du stehst wirklich dicke auf dem Schlauch, ich meine folgendes aus der Anleitung zur Entfernung von Zlob: Zitat:
Grüße Wildone |
12.07.2006, 18:44 | #14 |
| iworm_attck v122.02a Ach das meinst du sorry ... ok der Rapport: SmitFraudFix v2.70 Scan done at 19:39:27,81, 12.07.2006 Run from C:\Programme\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\----------\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\-----~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{86AA461F-2A5B-4889-B543-E1BBA6746D61}"="st3" [HKEY_CLASSES_ROOT\CLSID\{86AA461F-2A5B-4889-B543-E1BBA6746D61}\InProcServer32] @="C:\WINDOWS\system32\st3d.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{86AA461F-2A5B-4889-B543-E1BBA6746D61}\InProcServer32] @="C:\WINDOWS\system32\st3d.dll" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End (den vorherigen nach dem löschen hab ich nicht gespeichert bzw. nicht manuell!?) Logfile of HijackThis v1.99.1 Scan saved at 19:43:21, on 12.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\SyncroSoft\Pos\H2O\cledx.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\eAcceleration\Station\station.exe C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\DOKUME~1\CLAUDI~1\EIGENE~1\YMANTE~1\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\T-Online\T-Online_Software_6\Internet-Telefon\Phone.exe C:\Dokumente und Einstellungen\--------\Anwendungsdaten\??curity\n?pdb.exe c:\progra~1\intern~1\iexplore.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\DV Series\Console\Watch.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE C:\WINDOWS\Explorer.EXE C:\Programme\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: (no name) - {16C435FE-F810-DC9F-3523-886A62DADAC2} - C:\WINDOWS\system32\nag.dll (file missing) R3 - URLSearchHook: (no name) - {B4E42CFC-BB1A-999F-3C85-927B43872D96} - C:\WINDOWS\system32\idsjaxae.dll (file missing) R3 - URLSearchHook: (no name) - {E7BD8E73-1E9F-3E15-E21C-3E0144B775CE} - C:\WINDOWS\system32\koj.dll (file missing) R3 - URLSearchHook: (no name) - {CC705764-CCD6-B605-F7B9-E12C866B04C5} - C:\WINDOWS\system32\wvi.dll (file missing) R3 - URLSearchHook: (no name) - {208E0754-C8B5-E33F-CA9D-E6FC2BF0B6C4} - C:\WINDOWS\system32\yzfgqhdv.dll (file missing) R3 - URLSearchHook: (no name) - {64946E93-AF76-8FF1-0E92-834A3081A19E} - C:\WINDOWS\system32\nos.dll (file missing) R3 - URLSearchHook: (no name) - {B5B8396E-A1DA-895B-F839-89EA1AEB24C4} - C:\WINDOWS\system32\iks.dll F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe O1 - Hosts: 69.64.35.177 auto.search.msn.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - c:\programme\tempo\wsftp\ws ftp 8.03\wsbho2K0.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00303} - C:\WINDOWS\system32\adsldpby.dll (file missing) O2 - BHO: (no name) - {B5B8396E-A1DA-895B-F839-89EA1AEB24C4} - C:\WINDOWS\system32\iks.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Parallel Tasking] C:\Programme\Parallel Tasking\ptask.exe O4 - HKLM\..\Run: [mblujp] c:\windows\system32\mblujp.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ryb] C:\WINDOWS\ryb.exe O4 - HKLM\..\Run: [QuickTime Task] "c:\programme\tempo\qttask.exe" -atboottime O4 - HKLM\..\Run: [duda8usj] C:\WINDOWS\system32\duda8usj.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Olympic] C:\Dokumente und Einstellungen\-----\Anwendungsdaten\sgrunt\IE4321.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [Love Gram Move Noun] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\file wma love gram\title close.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [SoftwareStation] C:\Programme\eAcceleration\Station\station.exe /b Startup O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Programme\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus O4 - HKLM\..\Run: [webscan] "C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe" -k O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Wrat] "C:\DOKUME~1\CLAUDI~1\EIGENE~1\YMANTE~1\svchost.exe" -vt ndrv O4 - HKCU\..\Run: [SIPPS] "C:/Programme/T-Online/T-Online_Software_6/Internet-Telefon/Phone.exe" O4 - HKCU\..\Run: [16list] C:\DOKUME~1\CLAUDI~1\ANWEND~1\2ACE~1\copy admin.exe O4 - HKCU\..\Run: [Zhbrla] C:\Dokumente und Einstellungen\--------\Anwendungsdaten\??curity\n?pdb.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Programme\OpenOffice.org1.1.1\program\quickstart.exe O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O4 - Global Startup: Watch.lnk = C:\Programme\DV Series\Console\Watch.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\Tempo\AIM Messenger\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: www.archiviosex.net O15 - Trusted Zone: http://*.billingnow.com O15 - Trusted Zone: www.linkautomatici.com O15 - Trusted Zone: www.redfunny.com O15 - Trusted Zone: http://*.reliablestats.com O15 - Trusted Zone: www.sgrunt.biz O15 - Trusted Zone: www.skymasters.biz O15 - Trusted Zone: http://*.winantispyware.com O15 - Trusted Zone: http://*.winantivirus.com O15 - Trusted Zone: http://*.winantiviruspro.com O15 - Trusted Zone: http://*.winfixer.com O15 - Trusted Zone: http://*.winnanny.com O15 - Trusted Zone: http://*.winsoftware.com O15 - Trusted Zone: www.xbeta69.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1146871797107 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.sgrunt.biz/closer/close.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{4F1410C3-C7E2-462A-B48B-811A76E8B720}: NameServer = 217.237.150.188 217.237.150.97 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: st3d - C:\WINDOWS\system32\st3d.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing) O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe (falls du sagen willst mein PC is übelst durcheinander, befallen udn ungesichtert - ja da hast du recht aber werde es dank diesem Wurm von heute in angriff nehmen ihn sauber zu machen und halten) ps: ------ = Benutzername |
12.07.2006, 19:01 | #15 | ||
Administrator > Competence Manager | iworm_attck v122.02a Ohmein Gott, hättest du nun noch zusätzlich und vor allem aufmerksam die Regeln gelesen, würden jetzt keine aktiven Links in deinem Post vorhanden sein! Edititiere diese bitte z.B. so: Zitat:
Zitat:
(zumal das alles höchstwahrscheinlich nichts bringen wird! Aber das sehen wir dann!) Gruß Daniel
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
Themen zu iworm_attck v122.02a |
anderem, besser, confused, entfernung, ergebnisse, folge, folgenden, folgendes, genannt, genial, helfen, iworm, link, meldungen, momentan, problem, programm, tan, tausende, verzweifel, verzweifelt, wurm |