| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: "security alert: networm-i.virus@fp"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
| |
15.11.2007, 15:03
| #1 |
| |  "security alert: networm-i.virus@fp" So, hallo erstmal.  Ich habe ein anscheinend momentan bei einigen Leuten auftauchendes Problem, das hier auch schon gepostet wurde, aber eine mir helfende Lösung habe ich nicht gefunden. Nachdem ich Daemon Tools Pro installiert hatte, ein Freund namens Dr. Albert Torränt hat es mit geschenkt.., und später dann runterverfahren wollte, kam eine Anzeige, "xpcom event manager" oder so reagiere nicht mehr. Am nächsten Tag Rechner an und gleich mal unten das gelbe Dreieck "security alert: networm-i.virus@fp" woraufhin sich Browser öffnen und mir sagen, wie infiziert mein Rechner doch sei, was er tatsächlich auch ist. Online Security Guide und Life Safety Center existieren auf einmal auf dem Desktop und erscheinen nach dem löschen erneut. Ähnliche Alerts erscheinen bei dem Dreieck immer wieder etc. So, viel Gelaber; hier die Logs: _________________________________________________________________ Erstmal eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.5.5 Sprache: German Virus-Datenbank Datum: 11/12/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({602d9049-b4ac-4a25-bf75- a9b54d747cba})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b- e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({dabf362d-d442-4402-9208- ca9ed70dd01e})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({5ac3a9ef-c0f8-41d4-b4e2- b7cebb794151})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({862def42-89aa-49fa-ae1f- 8a84b1b08a17})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({f6e4845d-1d13-4bc0-942d- b9191524cc48})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b- e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.htm)! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\tr.dll)! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.exe)! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\PROGRA~1\ADVANT~1)! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\ffext.mod)! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.db)! Action taken: Keine Aktion vorgenommen. System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\user.db)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\system32\__c00631B2.dat//PE_Patch.UPX//UPX infiziert von "Trojan- Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\__c00631B2.dat//PE_Patch.UPX//UPX infiziert von "Trojan- Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\pyvqvbuq.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\mstse.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\ephlqhvi.dll//PE_Patch.UPX//UPX infiziert von "Trojan- Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\pyvqvbuq.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\__c00631B2.dat//PE_Patch.UPX//UPX infiziert von "Trojan- Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\unaufge\DAEMON Tools Pro- V4.10.0218[CLEAN]\crack\DAEMON Tools v4.10.EXE//data0000.cab/wr-1- 922.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Small.gll" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\unaufge\DAEMON Tools Pro- V4.10.0218[CLEAN]\DTPro4100218Basic.exe//data0000.cab/wr-1- 922.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Small.gll" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Programme\advantage\advantage.htm Offending file found: C:\Programme\advantage\tr.dll Offending file found: C:\Programme\advantage\advantage.exe Offending file found: C:\PROGRA~1\ADVANT~1 Offending file found: C:\Programme\advantage\ffext.mod Offending file found: C:\Programme\advantage\advantage.db Offending file found: C:\Programme\advantage\user.db ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\netpumper Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\netpumper ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\netpumper !!! Offending Key found: HKCR\mead.1 !!! Offending Key found: HKCR\tr.trfactory !!! Offending Key found: HKCR\tr.trfactory.1 !!! Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\netpumper !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\Manfred Mustermann\Anwendungsdaten\uTorrent\utorrent.lng nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 90886 Gefundene Viren: 30 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 73 Dauer des Scans bisher: 00:50:31 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 14:27:14,32 Batchende: 14:27:26,04 _______________________________________________________ Dann der Hijack-Log: Logfile of HijackThis v1.99.1 Scan saved at 15:00:01, on 15.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe C:\Programme\PC-Zeit\trap.exe C:\Programme\Googlemail Notifier\gnotify.exe C:\WINDOWS\system32\DeltTray.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Tablet.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\WTablet\TabUserW.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\notepad.exe C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\dknnsptj.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe" O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Googlemail Notifier\gnotify.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [083b2e08] rundll32.exe "C:\WINDOWS\system32\dufiocki.dll",b O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1 \MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h..p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab? 1165927517781 O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h..p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h..p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab? 1165928031609 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h..p://acs.pandasoftware.com/activescan/as5free/asinst.cab O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00631B2.dat O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\pyvqvbuq.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 \nvsvc32.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe Ich wäre euch sehr dankbar, wenn jemand mal drüber schauen könnte. Liebe Grüße Anatole Noch als kleiner Edit: Das fehlende "C:\WINDOWS\system32\pyvqvbuq.exe" war seit ich das Problem im Task-Manager zu sehen. Bei msconfig konnte man es nicht aus dem Autostart nehmen, also hab ich es im abgesicherten Modus gelöscht. Vielleicht war das ja auch doof, aber eigentlich dürfte es ja nicht stören, wenn eine böse Datei weniger auf meinem Rechner ist. Im Gegenteil. Geändert von Atoll (15.11.2007 um 15:09 Uhr) Grund: "file missing" Erklärung, Links übersehen SRY |
| Themen zu "security alert: networm-i.virus@fp" |
| abgesicherten modus, alert, appinit_dlls, auf einmal, bonjour, browser, computer, dateisystem, desktop, drivers, einstellungen, explorer, fehler, festplatte, firefox, googlemail, hijackthis, hosts-datei, immer wieder, internet, internet explorer, maßnahme, mozilla, mozilla firefox, object, problem, prozesse, registry, rundll, security, senden, software, unknown file in winsock lsp, viren, windows, windows xp, windows\system32\drivers |
Baum-Darstellung