| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32.Worm.Viking.BUWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.07.2007, 14:18
| #1 |
| |  Win32.Worm.Viking.BU Servus Leutz! Bin ziemlich froh euer board gefunden zu haben und hoffe ihr könnt mir weiterhelfen: Habe mir den im Titel genannten Wurm eingefangen. Der Name stammt aus dem Bitdefender version 10. da ich unter diesem Namen nichts konkretes im netz finden konnte richte ich mich an euch. Zum Verhalten: Habe ein verzeichnis C:\Games. dort hüpft der Virus von ordner zu ordner und erstellt von jeder datei.exe eine datei.exe.exe und wenn ich ihm zeit lasse auch gerne eine datei.exe.exe.exe wie ihr euch vorstellen könnt konnte bitdefender das ding weder finden noch plätten und auch besagten erstellten dateien werden nicht direkt als virus oder infiziert erkannt. Aktiv ist das hässliche Ding scheinbar nur sporadisch, also das letzte mal vor heute zeigte er sich vor ca 2 wochen. auch adaware war erfolglos. wenn ich die "kinder" des wurms löschen möchte wird der zugriff verweigert also hab ich mir die daten mit dem unlocker angesehen und als einzig zugreifendes Programm ist C:\Windows\explorer.exe gelistet. dieser unter umständen aber auch 2 oder 3 mal. da es so aussieht das eine log file des hijack this zur näheren bestimmung gängiges mittel ist will ich sie hier auch gleich posten. (gibt es eigentlich ne art anleitung zur analyse dieser log? ) hoffe jemand kann mir weiterhelfen. zu sagen ist vielleicht noch zu welchem zeitpunkt ich diesen log erstellt habe: rechner lief nun schon ein paar stunden und als proggis der inetexplorer 7, acrobat reader 8, word 2003, adaware bitdefender, diverse tuneup 2006 module und ein winmedia classic player, ach ja: und der Wurm  danke schonmal im voraus für eure mühe und hier die log: Logfile of HijackThis v1.99.1 Scan saved at 15:13:51, on 06.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\HPQ\IAM\bin\asghost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\PROGRA~1\Softwin\BITDEF~2\bdmcon.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\TuneUp Utilities 2006\ProcessManager.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\Programme\Cisco Systems\VPN Client\vpngui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Cisco Systems\VPN Client\ipseclog.exe C:\WINDOWS\Explorer.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Internet Explorer\iexplore.exe D:\Software\HijackThis\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~2\bdmcon.exe O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183379012671 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{777F0A5A-6E69-4397-9328-60172C176D37}: Domain = *.de O17 - HKLM\System\CCS\Services\Tcpip\..\{777F0A5A-6E69-4397-9328-60172C176D37}: NameServer = eine ip O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = *.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = *.de O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) |
| Themen zu Win32.Worm.Viking.BU |
| ad-aware, adobe, bho, defender, desktop, excel, hijack, hijack this, hijackthis, infiziert, internet, internet explorer, locker, log file, object, programm, rundll, security, server, software, system, tuneup utilities, virus, windows, windows xp, word 2003, wurm, zugriff verweigert |
Baum-Darstellung