Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan NetWorm-i-Virus.fp

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.11.2007, 08:49   #16
jeeny
 
Trojan NetWorm-i-Virus.fp - Standard

Trojan NetWorm-i-Virus.fp



huhuuu arne!

so, hier noch einmal der highjack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:45, on 24.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\highjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=h**p://www.yahoo.de/]Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=h**p://www.msn.de/]Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]h**p://go.microsoft.com/fwlink/?LinkId=488
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.msn.de/
O15 - Trusted Zone: h**p://poll.chat4free.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - [url]h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - [url]h**p://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132167629984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - [url]h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - [url]h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - h**p://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game18.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - h*p://www.beepworld.de/hp/activexeditor/editlive4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 7527 bytes

und dann auch noch der avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mvixndsi

*******************

Script file located at: \??\C:\WINDOWS\dacbhgxw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\__c008180C.dat not found!
Deletion of file C:\WINDOWS\system32\__c008180C.dat failed!

Could not process line:
C:\WINDOWS\system32\__c008180C.dat
Status: 0xc0000034



File C:\WINDOWS\system32\bmndoull.dll not found!
Deletion of file C:\WINDOWS\system32\bmndoull.dll failed!

Could not process line:
C:\WINDOWS\system32\bmndoull.dll
Status: 0xc0000034



File C:\WINDOWS\system32\dspcrues.exe not found!
Deletion of file C:\WINDOWS\system32\dspcrues.exe failed!

Could not process line:
C:\WINDOWS\system32\dspcrues.exe
Status: 0xc0000034



File C:\WINDOWS\system32\effsqmsv.dll not found!
Deletion of file C:\WINDOWS\system32\effsqmsv.dll failed!

Could not process line:
C:\WINDOWS\system32\effsqmsv.dll
Status: 0xc0000034



File C:\WINDOWS\system32\qwsnvoui.dll not found!
Deletion of file C:\WINDOWS\system32\qwsnvoui.dll failed!

Could not process line:
C:\WINDOWS\system32\qwsnvoui.dll
Status: 0xc0000034

Folder C:\Dokumente und Einstellungen\püppi\Lokale Einstellungen\Temporary Internet Files\Content.IE5 deleted successfully.
Folder C:\kazaa deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und hier ist die listing.txt Datei-Upload.eu - Kostenlos Dateien wie Bilder Programme oder Archive hochladen und verteilen

ich hab mich an dem silentrunners versucht, leider ist mein english nicht so prickelnd, irgendwie schaffe ich das nicht :-(. hab auch schon versucht, eine übersetzung zu finden, leider ohne erfolgt. hast du bei dir eine rumfliegen, womit kleine doofies umgehen können??


die systemwiederherstellung habe ich ausgemacht, und ich benutze nur noch den firefox.

ich denke, du hast recht, wenn das jetzt nicht deutlich besser aussieht, werd ich uns beide erlösen und mir jemanden suchen, der den rechner plattmacht.

asoooooooo, fast vergessen: beim hochfahren bekommen ich jetzt immer eine fehlermeldung: es macht sich ein fenster auf, und er meldet,

C:Windows/System32/cmd.exe (Datei konnte nicht gefunden werden) ist das schlimm? warum macht er das auf einmal? hab ich ausversehen was falsches gelöcht?

danke dir + schönen tag

LG

- jessica :-)
__________________
Woher soll ich wissen, was ich denke, bevor ich gehört habe, was ich sage??!!

Geändert von jeeny (26.11.2007 um 09:01 Uhr)

Alt 26.11.2007, 18:59   #17
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan NetWorm-i-Virus.fp - Standard

Trojan NetWorm-i-Virus.fp



Hi Jessica,

dein HJT-Log sieht erheblich besser aus, ich kann dort keine bösen Einträge mehr ausmachen. Allerdings solltest du mal Java aktualisieren - klick dort auf Download bei Java Runtime Environment (JRE) 6 Update 3.

Der Avenger konnte die meisten Dateien nicht löschen, da sie schon zum Zeitpunkt des Ausführens des Löschvorgangs bereits nicht mehr da waren. Aber zwei weitere Ordner mit verdächtigem/unnötigen Inhalt wurden gelöscht:
Zitat:
Folder C:\Dokumente und Einstellungen\püppi\Lokale Einstellungen\Temporary Internet Files\Content.IE5 deleted successfully.
Folder C:\kazaa deleted successfully.
Falls du was wichtiges in c:\kazaa noch haben solltest, ist das im backup.zip vom Avenger drin. Ist aber alles mit Vorsicht zu genießen, da gerade Kazaa (bzw. Tauschbörsen allgemein) mit viel Malware daherkommen, Kazaa als übler Spezialfall selbst kommt schon mit Spyware daher. Obendrein ist das meiste Zeuch aus Tauschbörsen eh illegal.

Die Flut der vielen Malwaredateien hat bei deinem System aber offensichtlich nachgelassen, vereinzelt sind noch verdächtige Dateien zu sehen:

Code:
ATTFilter
c:\zip.exe
C:\WINDOWS\system32\drivers\nsosislv.sys
         
Werte die nochmal bei Virustotal aus und poste die Ergebnisse.
Dann seh ich da noch diese Batchdatei: c:\nouhtxsy.bat
Öffne diese mit dem Editor (rechtsklick => Bearbeiten) und kopier den Inhalt hier in ein neues Posting hinein.

Führ auch noch die Tools Silentrunners und Combofix aus und poste die Logfiles.

Mach abschließend wieder ein escan nach Anleitung (mit neuen Siganturen) und dann sehen wir weiter.

Zitat:
asoooooooo, fast vergessen: beim hochfahren bekommen ich jetzt immer eine fehlermeldung: es macht sich ein fenster auf, und er meldet,
C:Windows/System32/cmd.exe (Datei konnte nicht gefunden werden) ist das schlimm? warum macht er das auf einmal? hab ich ausversehen was falsches gelöcht?
cmd.exe ist bei dir in genau diesem Pfad drin, so wie es sein soll, deswegen kann ich diese Meldung jetzt leider nicht nachvollziehen. Ich hoffe Silentrunners/Combofix geben Aufschluss...
__________________

__________________

Antwort

Themen zu Trojan NetWorm-i-Virus.fp
abgesicherten modus, alert, antivirus, antivirus scan, appinit_dlls, avast, avast!, desktop, einstellungen, excel, explorer, firefox, google, helfen, hijackthis, hkus\s-1-5-18, internet, internet explorer, keine ahnung, mehrere, monitor, mozilla, mozilla firefox, nicht sicher, outlook express, pop-up, rundll, s-1-5-18, scan, seiten, software, spyware, symantec, system, trend micro, trojan, trojaner, unknown file in winsock lsp, urlsearchhook, windows, windows xp




Ähnliche Themen: Trojan NetWorm-i-Virus.fp


  1. W 8.1,Trojaner kann von mir nicht entfernt werden.Virus: Trojan.GenericKD.1673711 (Engine A),Virus: Win32.Trojan.Pirpi.A (Engine B)
    Plagegeister aller Art und deren Bekämpfung - 21.08.2014 (3)
  2. BKA-Virus, PUM.UserWLoad, Trojan.Delf, Trojan.Ransom.Gen, alles auf einmal
    Log-Analyse und Auswertung - 18.11.2012 (23)
  3. 100 Euro Virus / IDP.Trojan.4724C1BC / AVG Anti-Virus nicht aktivierbar
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (18)
  4. Hilfe Virus! Internet tot!Trojan.Ransom.FGen Trojan.0Access
    Log-Analyse und Auswertung - 07.10.2012 (13)
  5. Nach system security Virus nun Trojan.sirefef und trojan.small in windows/installer
    Plagegeister aller Art und deren Bekämpfung - 18.07.2012 (23)
  6. ikarus virus utilities meldet Trojan.Win64 und Trojan.Win32.Small
    Plagegeister aller Art und deren Bekämpfung - 20.06.2012 (11)
  7. Windows gesperrt, BKA Virus, Trojan.Agent, Heuristics Shuriken, trojan.vupx.pl1 etc.
    Log-Analyse und Auswertung - 04.03.2012 (3)
  8. 50 € Virus , trojan.Banker, Trojan.Ransom
    Log-Analyse und Auswertung - 14.02.2012 (1)
  9. Bitte um Hilfe NetWorm-i.virus@fp zu entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.09.2008 (13)
  10. NetWorm-i.Virus@fp_Logfile of Trend Micro HijackThis
    Log-Analyse und Auswertung - 03.05.2008 (1)
  11. SPpyWorm.Win32 und networm-i.virus@fp --- was nun??
    Plagegeister aller Art und deren Bekämpfung - 11.02.2008 (1)
  12. "security alert: networm-i.virus@fp"
    Plagegeister aller Art und deren Bekämpfung - 20.11.2007 (7)
  13. NetWorm-i.Virus@fp habe schon alles ausprobiert
    Mülltonne - 14.11.2007 (0)
  14. Probleme mit Virus, Trojaner: networm-i.virus@fp, PSW.x-Vir trojan, ...@ms
    Log-Analyse und Auswertung - 07.08.2007 (11)
  15. Überfodert mit networm-i.virus@fp! Wer kann helfen?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2007 (11)
  16. Problem mit networm-i.virus@fp,
    Plagegeister aller Art und deren Bekämpfung - 03.05.2007 (1)
  17. Probleme mit Trojan-Spy.Win32@mx, NetWorm-i.virus@fp
    Plagegeister aller Art und deren Bekämpfung - 26.01.2007 (9)

Zum Thema Trojan NetWorm-i-Virus.fp - huhuuu arne! so, hier noch einmal der highjack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:52:45, on 24.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 - Trojan NetWorm-i-Virus.fp...
Archiv
Du betrachtest: Trojan NetWorm-i-Virus.fp auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.