Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Email-Worm.Win32.Warezov.nd

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.10.2007, 13:45   #1
Zui0
 
Email-Worm.Win32.Warezov.nd - Standard

Email-Worm.Win32.Warezov.nd



Hi,
ich war so 20 min weg vom pc und als ich wieder kam , stand da so eine Antivir meldung, dass ein virus gefunden wurde.
( WORM.Stration.HQ ). Habe die Datei auch schon bei kaspersky hochgeladen und hat den fund bestätigt ( 9eu2zyx5.pif Infiziert: Email-Worm.Win32.Warezov.nd )
Jetzt habe ich ihn mit antivir gelöscht, doch bin ich mir nicht sicher , ob er wirklich gelöscht wurde... ( besonders weile eine fehlermeldung kam , aber die datei doch verschwand )
Gibt es eineige merkmale ?

Und bei dem HijackThis logfile ist ganz unten die meldung
"O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
" Ist das gefährlich ?

Hier ein HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:32:22, on 20.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\BOINC\boincmgr.exe
C:\Programme\BOINC\boinc.exe
C:\Valve\Steam\Steam.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\BOINC\projects\boinc.bakerlab.org_rosetta\rosetta_5.69_windows_intelx86.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

--
End of file - 5191 bytes

Alt 20.10.2007, 14:12   #2
undoreal
/// AVZ-Toolkit Guru
 
Email-Worm.Win32.Warezov.nd - Standard

Email-Worm.Win32.Warezov.nd



Hallo Zui0.

Führe bitte einen eScan nach Anleitung aus meiner Signatur durch.

Funktioniert dein XP-Sicherheitscenter einwandfrei inkl. Update und autom. Update?
__________________

__________________

Alt 20.10.2007, 14:22   #3
Zui0
 
Email-Worm.Win32.Warezov.nd - Standard

Email-Worm.Win32.Warezov.nd



Das sicherheitscenter lässt sich nicht starten , aber ich mach das jetzt erst mit dem escan poste das file gleich ....
__________________

Alt 20.10.2007, 14:34   #4
undoreal
/// AVZ-Toolkit Guru
 
Email-Worm.Win32.Warezov.nd - Standard

Email-Worm.Win32.Warezov.nd



Zitat:
Das sicherheitscenter lässt sich nicht starten
das lässt auf nichts Gutes schließen und passt zum HJT-Eintrag.

Gehe nach dem eScan mal bitte wie folgt vor:

-Downloade cCleaner und installiere das Prog.

-Wechsel in den abgesicherten Modus (F8 beim Hochfahren).

-Fixe mit HJT den benannten Eintrag:
* O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) *

-Lasse gleich danach CCleaner laufen (HINWEIS: Die Registry/Probleme musst du mehrmals durchsuchen und bereinigen lassen!)

-Navigiere in den Ordner " C:\WINDOWS\C:\WINDOWS\System32\ " und lösche dort die Datei " svchost.exe "

Der Dateipfad der zu Löschenden Datei lautet also " C:\WINDOWS\C:\WINDOWS\System32\svchost.exe ".

Was befindet sich noch in dem gefakten " C:\WINDOWS\C:\WINDOWS\ " Ordner?

-Lasse CCleaner abermals laufen.

-Starte den Rechner neu und erstelle ein frisches HJT log. Taucht der Eintrag immer noch auf? Lässt sich das Sicherheitscenter nun starten?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 20.10.2007, 15:06   #5
Zui0
 
Email-Worm.Win32.Warezov.nd - Standard

Email-Worm.Win32.Warezov.nd



Also ich sitze grade an einem anderen pc ...
EInen Virus hat eScan schon gefunden ( leider ging das update nicht , also habe ich den schritt übersprungen )...
warte noch bis der scan fertig is dann mach ich das mitm ccleaner ...


edit : gefundene viren mittlerweile bei 41
Wie lange dauert son scan ca. bin bei ca. 60.000 durchsuchten datein.

Und bei ccleaner

"-Navigiere in den Ordner " C:\WINDOWS\C:\WINDOWS\System32\ " und lösche dort die Datei " svchost.exe "" du meinst C:\WINDOWS\System32\ oder ?


Geändert von Zui0 (20.10.2007 um 15:26 Uhr)

Alt 20.10.2007, 16:30   #6
Zui0
 
Email-Worm.Win32.Warezov.nd - Standard

Email-Worm.Win32.Warezov.nd



ist jetzt schon fast 2 stunden am scannen , ist das normal ?

Antwort

Themen zu Email-Worm.Win32.Warezov.nd
ad-aware, adobe, antivir, avira, bho, explorer, f-secure, fehlermeldung, helper, hijack, hijackthis, hijackthis logfile, infiziert, internet, internet explorer, kaspersky, logfile, monitor, nicht sicher, nvidia, software, svchost.exe, system, teamspeak, trend micro, virus, virus gefunden, windows, windows xp




Ähnliche Themen: Email-Worm.Win32.Warezov.nd


  1. Unter anderem: Email-Worm.Win32.NetSky.q Verändert sich aber andauernd
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (2)
  2. Email-Worm.Win32.NetSky.q
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (4)
  3. Email Worm Win32.Luder.e
    Plagegeister aller Art und deren Bekämpfung - 05.11.2008 (10)
  4. "Email-Worm.Win32.Warezov.yb" macht Stress
    Plagegeister aller Art und deren Bekämpfung - 18.06.2008 (1)
  5. Email-Worm.Win32.Agent.l (Kaspersky Lab), Generic.dx (McAfee)
    Log-Analyse und Auswertung - 30.12.2007 (0)
  6. MalwareScope.Worm.Warezov.5
    Log-Analyse und Auswertung - 17.11.2007 (1)
  7. Win32:Warezov-CIU-DWI [Wrm] & Win32:KillAV-CP [Trj] & Win32:Sality-AM
    Plagegeister aller Art und deren Bekämpfung - 15.08.2007 (5)
  8. "Email-Worm.Win32.Luder.a“ - - beseitigt?
    Plagegeister aller Art und deren Bekämpfung - 09.04.2007 (7)
  9. EMail-Worm.Win32.Zhelatin.al via icq bekommen
    Plagegeister aller Art und deren Bekämpfung - 10.03.2007 (6)
  10. Worm.Warezov.fs sowie .jw .dq .jr
    Plagegeister aller Art und deren Bekämpfung - 24.01.2007 (6)
  11. Email-Worm.Win32.Warezov
    Plagegeister aller Art und deren Bekämpfung - 19.12.2006 (3)
  12. Wie bekomme ich den Email-Worm.Win32.warezov.gen weg???
    Plagegeister aller Art und deren Bekämpfung - 28.11.2006 (1)
  13. EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!
    Log-Analyse und Auswertung - 26.11.2006 (6)
  14. Email-Worm.Win32.Bagle.pac - alt aber noch resistent! Was kann ich tun?
    Plagegeister aller Art und deren Bekämpfung - 23.11.2005 (12)
  15. Email-Worm Win32 Bagle.pac - Logfile
    Mülltonne - 21.11.2005 (1)
  16. Email-Worm.Win32.NetSky.q.Bite brauch Hilfe
    Plagegeister aller Art und deren Bekämpfung - 11.05.2005 (7)
  17. Email-Worm.Win32.Sober.p
    Plagegeister aller Art und deren Bekämpfung - 05.05.2005 (9)

Zum Thema Email-Worm.Win32.Warezov.nd - Hi, ich war so 20 min weg vom pc und als ich wieder kam , stand da so eine Antivir meldung, dass ein virus gefunden wurde. ( WORM.Stration.HQ ). Habe - Email-Worm.Win32.Warezov.nd...
Archiv
Du betrachtest: Email-Worm.Win32.Warezov.nd auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.