![]() |
|
Plagegeister aller Art und deren Bekämpfung: Email-Worm.Win32.Warezov.ndWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Email-Worm.Win32.Warezov.nd Hi, ich war so 20 min weg vom pc und als ich wieder kam , stand da so eine Antivir meldung, dass ein virus gefunden wurde. ( WORM.Stration.HQ ). Habe die Datei auch schon bei kaspersky hochgeladen und hat den fund bestätigt ( 9eu2zyx5.pif Infiziert: Email-Worm.Win32.Warezov.nd ) Jetzt habe ich ihn mit antivir gelöscht, doch bin ich mir nicht sicher , ob er wirklich gelöscht wurde... ( besonders weile eine fehlermeldung kam , aber die datei doch verschwand ) Gibt es eineige merkmale ? Und bei dem HijackThis logfile ist ganz unten die meldung "O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) " Ist das gefährlich ? Hier ein HijackThis Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:32:22, on 20.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\Programme\ICQLite\ICQLite.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\BOINC\boincmgr.exe C:\Programme\BOINC\boinc.exe C:\Valve\Steam\Steam.exe C:\Programme\Winamp\winamp.exe C:\Programme\BOINC\projects\boinc.bakerlab.org_rosetta\rosetta_5.69_windows_intelx86.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) -- End of file - 5191 bytes |
![]() | #2 |
/// AVZ-Toolkit Guru ![]() ![]() ![]() ![]() ![]() | ![]() Email-Worm.Win32.Warezov.nd Hallo Zui0.
__________________Führe bitte einen eScan nach Anleitung aus meiner Signatur durch. Funktioniert dein XP-Sicherheitscenter einwandfrei inkl. Update und autom. Update?
__________________ |
![]() | #3 |
![]() | ![]() Email-Worm.Win32.Warezov.nd Das sicherheitscenter lässt sich nicht starten , aber ich mach das jetzt erst mit dem escan
__________________![]() |
![]() | #4 | |
/// AVZ-Toolkit Guru ![]() ![]() ![]() ![]() ![]() | ![]() Email-Worm.Win32.Warezov.ndZitat:
Gehe nach dem eScan mal bitte wie folgt vor: -Downloade cCleaner und installiere das Prog. -Wechsel in den abgesicherten Modus (F8 beim Hochfahren). -Fixe mit HJT den benannten Eintrag: * O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) * -Lasse gleich danach CCleaner laufen (HINWEIS: Die Registry/Probleme musst du mehrmals durchsuchen und bereinigen lassen!) -Navigiere in den Ordner " C:\WINDOWS\C:\WINDOWS\System32\ " und lösche dort die Datei " svchost.exe " Der Dateipfad der zu Löschenden Datei lautet also " C:\WINDOWS\C:\WINDOWS\System32\svchost.exe ". Was befindet sich noch in dem gefakten " C:\WINDOWS\C:\WINDOWS\ " Ordner? -Lasse CCleaner abermals laufen. -Starte den Rechner neu und erstelle ein frisches HJT log. Taucht der Eintrag immer noch auf? Lässt sich das Sicherheitscenter nun starten?
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
![]() | #5 |
![]() | ![]() Email-Worm.Win32.Warezov.nd Also ich sitze grade an einem anderen pc ... EInen Virus hat eScan schon gefunden ( leider ging das update nicht , also habe ich den schritt übersprungen )... warte noch bis der scan fertig is dann mach ich das mitm ccleaner ... edit : gefundene viren mittlerweile bei 41 ![]() Wie lange dauert son scan ca. bin bei ca. 60.000 durchsuchten datein. Und bei ccleaner "-Navigiere in den Ordner " C:\WINDOWS\C:\WINDOWS\System32\ " und lösche dort die Datei " svchost.exe "" du meinst C:\WINDOWS\System32\ oder ? Geändert von Zui0 (20.10.2007 um 15:26 Uhr) |
![]() | #6 |
![]() | ![]() Email-Worm.Win32.Warezov.nd ist jetzt schon fast 2 stunden am scannen , ist das normal ? |
![]() |
Themen zu Email-Worm.Win32.Warezov.nd |
ad-aware, adobe, antivir, avira, bho, explorer, f-secure, fehlermeldung, helper, hijack, hijackthis, hijackthis logfile, infiziert, internet, internet explorer, kaspersky, logfile, monitor, nicht sicher, nvidia, software, svchost.exe, system, teamspeak, trend micro, virus, virus gefunden, windows, windows xp |