|
Plagegeister aller Art und deren Bekämpfung: "security alert: networm-i.virus@fp"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.11.2007, 15:03 | #1 |
| "security alert: networm-i.virus@fp" So, hallo erstmal. Ich habe ein anscheinend momentan bei einigen Leuten auftauchendes Problem, das hier auch schon gepostet wurde, aber eine mir helfende Lösung habe ich nicht gefunden. Nachdem ich Daemon Tools Pro installiert hatte, ein Freund namens Dr. Albert Torränt hat es mit geschenkt.., und später dann runterverfahren wollte, kam eine Anzeige, "xpcom event manager" oder so reagiere nicht mehr. Am nächsten Tag Rechner an und gleich mal unten das gelbe Dreieck "security alert: networm-i.virus@fp" woraufhin sich Browser öffnen und mir sagen, wie infiziert mein Rechner doch sei, was er tatsächlich auch ist. Online Security Guide und Life Safety Center existieren auf einmal auf dem Desktop und erscheinen nach dem löschen erneut. Ähnliche Alerts erscheinen bei dem Dreieck immer wieder etc. So, viel Gelaber; hier die Logs: _________________________________________________________________ Erstmal eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.5.5 Sprache: German Virus-Datenbank Datum: 11/12/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({602d9049-b4ac-4a25-bf75- a9b54d747cba})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b- e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({dabf362d-d442-4402-9208- ca9ed70dd01e})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({5ac3a9ef-c0f8-41d4-b4e2- b7cebb794151})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({862def42-89aa-49fa-ae1f- 8a84b1b08a17})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({f6e4845d-1d13-4bc0-942d- b9191524cc48})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b- e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.htm)! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\tr.dll)! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.exe)! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\PROGRA~1\ADVANT~1)! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\ffext.mod)! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.db)! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\user.db)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\system32\__c00631B2.dat//PE_Patch.UPX//UPX infiziert von "Trojan- Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\__c00631B2.dat//PE_Patch.UPX//UPX infiziert von "Trojan- Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\pyvqvbuq.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\mstse.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\ephlqhvi.dll//PE_Patch.UPX//UPX infiziert von "Trojan- Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\pyvqvbuq.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\__c00631B2.dat//PE_Patch.UPX//UPX infiziert von "Trojan- Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\unaufge\DAEMON Tools Pro- V4.10.0218[CLEAN]\crack\DAEMON Tools v4.10.EXE//data0000.cab/wr-1- 922.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Small.gll" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\unaufge\DAEMON Tools Pro- V4.10.0218[CLEAN]\DTPro4100218Basic.exe//data0000.cab/wr-1- 922.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Small.gll" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Programme\advantage\advantage.htm Offending file found: C:\Programme\advantage\tr.dll Offending file found: C:\Programme\advantage\advantage.exe Offending file found: C:\PROGRA~1\ADVANT~1 Offending file found: C:\Programme\advantage\ffext.mod Offending file found: C:\Programme\advantage\advantage.db Offending file found: C:\Programme\advantage\user.db ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\netpumper Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\netpumper ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\netpumper !!! Offending Key found: HKCR\mead.1 !!! Offending Key found: HKCR\tr.trfactory !!! Offending Key found: HKCR\tr.trfactory.1 !!! Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\netpumper !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\Manfred Mustermann\Anwendungsdaten\uTorrent\utorrent.lng nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 90886 Gefundene Viren: 30 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 73 Dauer des Scans bisher: 00:50:31 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 14:27:14,32 Batchende: 14:27:26,04 _______________________________________________________ Dann der Hijack-Log: Logfile of HijackThis v1.99.1 Scan saved at 15:00:01, on 15.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe C:\Programme\PC-Zeit\trap.exe C:\Programme\Googlemail Notifier\gnotify.exe C:\WINDOWS\system32\DeltTray.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Tablet.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\WTablet\TabUserW.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\notepad.exe C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\dknnsptj.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe" O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Googlemail Notifier\gnotify.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [083b2e08] rundll32.exe "C:\WINDOWS\system32\dufiocki.dll",b O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1 \MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h..p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab? 1165927517781 O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h..p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h..p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab? 1165928031609 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h..p://acs.pandasoftware.com/activescan/as5free/asinst.cab O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00631B2.dat O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\pyvqvbuq.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 \nvsvc32.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe Ich wäre euch sehr dankbar, wenn jemand mal drüber schauen könnte. Liebe Grüße Anatole Noch als kleiner Edit: Das fehlende "C:\WINDOWS\system32\pyvqvbuq.exe" war seit ich das Problem im Task-Manager zu sehen. Bei msconfig konnte man es nicht aus dem Autostart nehmen, also hab ich es im abgesicherten Modus gelöscht. Vielleicht war das ja auch doof, aber eigentlich dürfte es ja nicht stören, wenn eine böse Datei weniger auf meinem Rechner ist. Im Gegenteil. Geändert von Atoll (15.11.2007 um 15:09 Uhr) Grund: "file missing" Erklärung, Links übersehen SRY |
15.11.2007, 15:47 | #2 | ||
| "security alert: networm-i.virus@fp" Hi,
__________________wahrscheinlich war/ist Dein per Torrent gezogener "Damon" der Übeltäter und hat Dir den Trojaner untergemogelt, der dann den Rest nach sich gezogen hat.... Folgende Dateien online prüfen lassen, poste die Ergebnisse mit Filename (nicht erkannt Files unten rausnehmen (AVENGER)): C:\WINDOWS\system32\dknnsptj.dll C:\WINDOWS\system32\dufiocki.dll C:\WINDOWS\system32\__c00631B2.dat C:\WINDOWS\system32\ephlqhvi.dll VirusTotal - Free Online Virus and Malware Scan Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Danach bitte Avenger (wenn die Files erkannt worden sind): Avenger avenger.zip - The Avenger Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten. Abgesicherter Modus, keine anderen Programme, Teatimer deaktiviert Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat:
__________________ |
16.11.2007, 21:18 | #3 |
| "security alert: networm-i.virus@fp" Hi Chris! Erstmal danke für die Hilfe!
__________________Hier die VirusTotal-Ergebnisse(schön hab ich sie nicht hinbekommen, sry): C:\WINDOWS\system32\dknnsptj.dll Antivirus Version Last Update Result AhnLab-V3 2007.11.17.0 2007.11.16 - AntiVir 7.6.0.34 2007.11.16 TR/Vundo.CA Authentium 4.93.8 2007.11.16 - Avast 4.7.1074.0 2007.11.15 - AVG 7.5.0.503 2007.11.16 Obfustat.VTX BitDefender 7.2 2007.11.16 Adware.Virtumonde.GHI CAT-QuickHeal 9.00 2007.11.16 - ClamAV 0.91.2 2007.11.16 - DrWeb 4.44.0.09170 2007.11.16 - eSafe 7.0.15.0 2007.11.14 - eTrust-Vet 31.2.5300 2007.11.16 - Ewido 4.0 2007.11.16 - FileAdvisor 1 2007.11.16 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.16 - F-Secure 6.70.13030.0 2007.11.16 - Ikarus T3.1.1.12 2007.11.16 not-a-virus:AdWare.Win32.SecToolBar.k Kaspersky 7.0.0.125 2007.11.16 not-a-virus:AdWare.Win32.SecToolBar.k McAfee 5165 2007.11.16 - Microsoft 1.3007 2007.11.12 - NOD32v2 2664 2007.11.16 Win32/Adware.SecToolbar Norman 5.80.02 2007.11.16 W32/Virtumonde.IIT Panda 9.0.0.4 2007.11.16 Spyware/Virtumonde Prevx1 V2 2007.11.16 Trojan.Zlob Rising 20.18.40.00 2007.11.16 - Sophos 4.23.0 2007.11.16 - Sunbelt 2.2.907.0 2007.11.16 - Symantec 10 2007.11.16 Trojan.Vundo TheHacker 6.2.9.132 2007.11.16 Trojan/BHO.ui VBA32 3.12.2.5 2007.11.16 - VirusBuster 4.3.26:9 2007.11.16 Adware.Vundo.V.Gen Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Vundo.CA C:\WINDOWS\system32\__c00631B2.dat Antivirus Version Last Update Result AhnLab-V3 2007.11.17.0 2007.11.16 - AntiVir 7.6.0.34 2007.11.16 TR/Dldr.Agen.ZV.1.B Authentium 4.93.8 2007.11.16 - Avast 4.7.1074.0 2007.11.15 - AVG 7.5.0.503 2007.11.16 Downloader.Small.AVS BitDefender 7.2 2007.11.16 Trojan.Downloader.Conhook.BI CAT-QuickHeal 9.00 2007.11.16 TrojanDownloader.ConHook.hl ClamAV 0.91.2 2007.11.16 Trojan.Downloader-16191 DrWeb 4.44.0.09170 2007.11.16 - eSafe 7.0.15.0 2007.11.14 suspicious Trojan/Worm eTrust-Vet 31.2.5300 2007.11.16 Win32/Darksma.FR Ewido 4.0 2007.11.16 Downloader.ConHook.hl FileAdvisor 1 2007.11.16 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.16 W32/Downldr2.AILP F-Secure 6.70.13030.0 2007.11.16 Trojan-Downloader.Win32.ConHook.hl Ikarus T3.1.1.12 2007.11.16 Trojan-Downloader.Win32.ConHook.hl Kaspersky 7.0.0.125 2007.11.16 Trojan-Downloader.Win32.ConHook.hl McAfee 5165 2007.11.16 Vundo Microsoft 1.3007 2007.11.12 - NOD32v2 2664 2007.11.16 Win32/TrojanDownloader.Agent.NSM Norman 5.80.02 2007.11.16 W32/ConHook.GT Panda 9.0.0.4 2007.11.16 Adware/PurityScan Prevx1 V2 2007.11.16 Trojan.Zlob Rising 20.18.40.00 2007.11.16 Trojan.DL.Win32.ConHook.hl Sophos 4.23.0 2007.11.16 Troj/Conhook-AK Sunbelt 2.2.907.0 2007.11.16 - Symantec 10 2007.11.16 Downloader TheHacker 6.2.9.132 2007.11.16 Trojan/Downloader.ConHook.hl VBA32 3.12.2.5 2007.11.16 Trojan-Downloader.Win32.ConHook.hl VirusBuster 4.3.26:9 2007.11.16 Trojan.DL.ConHook.CN Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Dldr.Agen.ZV.1.B Die anderen beiden sind entweder von mir manuell gelöscht worden - was ich ja schon geschrieben hatte und was villeicht blöd war - oder durch Spybot etc. entfernt. Jetzt mal Avanger machen. Ich berichte danach. Danke und liebe Grüße Anatole |
16.11.2007, 22:55 | #4 |
| "security alert: networm-i.virus@fp" So, ich hab den Avanger nun auch ausgeführt und der Rechner hat zwar nicht im Abgesicherten Modus rebootet - vielleicht hätte ich's manuel machen sollen? - aber nachdem ich dennoch mit HijackThis gefixt hab: und Spybot und Adaware noch ein paar Dinge gesäubert haben, kommt jetzt seit etwa 20 Minuten kein Anzeichen von dem Virus, wie vorher alle 10 Sekunden etwa. Juhuu. Mal sehen, ob das so bleibt. Ich lass mal noch eScan laufen und stelle ggf. das Log hoch. Danke!! Anatole |
17.11.2007, 14:24 | #5 |
| "security alert: networm-i.virus@fp" So, nächster Tag und das Dreieck blinkt wieder: "system alert: malware threats" blabla "networm-i.virus@fp", "system performance monitor: warning"Online Security Guide und Life Penis Center wieder auf dem Desktop. Escan- und Hijackthis-Log posten? Grüße Anatole |
19.11.2007, 07:25 | #6 |
| "security alert: networm-i.virus@fp" Hi, ja! Hast Du Dir das über Internet geholt (tauchte das nach Besuch einer Page auf?). Anwendung installiert? Welche Antiviren-SW hast Du und welche Firewall? Chris
__________________ --> "security alert: networm-i.virus@fp" |
19.11.2007, 22:31 | #7 |
| "security alert: networm-i.virus@fp" So! Ich glaube, er ist besiegt. Sind dauernd einige Dateien in system32 generiert worden. Durch mehrfaches Spybotten, Hijacken und Avengern und jetzt am Ende noch Vundofixen und Combofixen, LSP-Fixen sowie dauerndes leeren temporär gespeicherter Dateien (ATF-Cleaner) ist er jetzt so lahm, dass es nichts mehr macht und vielleicht weg ist. BitDefender Free Ed. und Pandascan haben auch ihre Teile beigetragen. Der Avenger hat oft geholfen, weil z.B. BitDefender oder HijackThis einige Dateien nicht löschen oder in Karantäne verschieben konnten. Ich hab keine Firewall und Antivirenprogramme nur dann, wenn ich so wie jetzt ein ernsthaftes Problem habe. Sonst lasse ich immer nur ab und an Spybot und Ad-Aware SE laufen. Beim Hijacken ging anfangs einiges weg, aber eine Security Toolbar blieb immer. Die ist jetzt auch weg. Hier trotzdem nochmal der Log (die vielen missing files habe ich NICHT durch wahlloses Avengern verursacht, die kamen einfach, so wie auch plötzlich wieder die Windows Firewall aktiviert war. Oo ): Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\SCardSvr.exe C:\Programme\PC-Zeit\trap.exe C:\Programme\Googlemail Notifier\gnotify.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\WINDOWS\system32\WTablet\TabUserW.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Tablet.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\PROGRA~1\Softwin\BITDEF~1\bdlite.exe C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cidaemon.exe (der ist auch plötzlich da) C:\Dokumente und Einstellungen\Julia Musterfrau\Desktop\HijackThis.exe O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe" O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Googlemail Notifier\gnotify.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165927517781 O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165928031609 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Sieht doch eigentlich ganz ok aus. Mal sehen, was sich tut, wenn der Rechner ein paar weitere Stunden läuft. Bin es am Ende ein bisschen autodidaktisch angegangen, aber die Grundlage habt ihr mir dennoch gegeben und oft hat auch einfach geholfen nach den bösen Dateien zu googeln (sowie etwa ..\system32\__c0088BC4.dat) und zu schauen, wie man die wegkriegt. Besten Dank und liebe Grüße Anatole Ich meld mich nochmal, falls es weiterhin gut ist oder falls es nicht gut ist. |
20.11.2007, 07:37 | #8 |
| "security alert: networm-i.virus@fp" Hi, bitte noch die Systemwiederherstellung bereinigen! http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu "security alert: networm-i.virus@fp" |
abgesicherten modus, alert, appinit_dlls, auf einmal, bonjour, browser, computer, dateisystem, desktop, drivers, einstellungen, explorer, fehler, festplatte, firefox, googlemail, hijackthis, hosts-datei, immer wieder, internet, internet explorer, maßnahme, mozilla, mozilla firefox, object, problem, prozesse, registry, rundll, security, senden, software, unknown file in winsock lsp, viren, windows, windows xp, windows\system32\drivers |