Probleme wg. worm.win32netsky

Tangomaus · 07.01.2008, 17:35

Hallo erst mal,
ich hoffe, Ihr koennt mir helfen. Nach "System-Alert", dass sich "worm.win32netsky" auf dem Rechner befindet, wurde mit Spybot, Antivir und Adaware das System zunaechst einmal bereinigt. Zuvor wurde staendig in kleinen Fenstern nach Downloads von Antispyware gefragt, die automatisch den Internet-Explorer oeffneten.
Ebenso konnte auf den Taskmanager nicht zugegriffen werden, obwohl dieser Computer nur einen User (Admin) hat.
Nach loeschen der gefundenen Schaedlinge ist der Taskmanager wieder zu oeffnen und die Warnmeldungen und das automatische Oeffnen von Internet-Seiten mit Antispyware hat sich auch eingestellt, allerdings gibt es jetzt kein Desktop-Hintergrundbild mehr und das Fenster der "Eigenschaften von Anzeige" laesst sich nicht ueber Kontextmenue auf Desktop oeffnen.
Ueber die Systemsteuerung kann ich die Eigenschaften zwar aufrufen und dort ist auch alles so, wie es vom Eigentuemer des PC mal eingestellt war, aber der Desktop-Hintergrund ist kein Bild mehr, so wie dort eingestellt, sondern weiss!
Habe schon mal Smitfraudfix, Hijackthis und Silentrunner laufen lassen und habe die rapports angehaengt.
Ich kenne mich zwar ein wenig aus, allerdings doch weniger mit Viren und Wuermern....
Bitte um Hilfe, was man nun tun kann!

**Sunny** · 07.01.2008, 18:59

Hallo Tangomaus!

DNS-Einträge entfernen

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)

-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A2F2997B-5E01-406F-B00E-38771282B80E}: NameServer = 85.255.113.118,85.255.112.21
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5714D-5754-4E3F-A8EE-9976DE0E8408}: NameServer = 85.255.113.118,85.255.112.21
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.118 85.255.112.21
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.118 85.255.112.21
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.118 85.255.112.21

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Gruß

Sunny

Tangomaus · 07.01.2008, 23:31

Hallo Sunny,
erst einmal vielen Dank fuer Deine Hilfe soweit. Habe so ausgefuehrt wie beschrieben, allerdings gibt es ein Problem mit MWAV. Es erscheint irgendwann nach ueber einer Stunde scan die Nachricht: "Das Zeitlimit des angegebenen E/A-Vorgangs auf \Device\Harddisk1\DR3 wurde erreicht, bevor der E/A-Vorgang abgeschlossen wurde.
Die ersten Male habe ich dort auf "weiter" geklickt, aber da die Meldung immer wieder erschien, habe ich dann noch "wiederholen" versucht, aber auch da immer wieder dieselbe Meldung. Ausserdem lassen sich die "Energieoptionen" in der Systemsteuerung nicht oeffnen.
Mir blieb dann nix anderes als "abbrechen".
Trotzdem im Anhang die "find.bat".
Ich hoffe Du weisst noch weiter!???

**Sunny** · 08.01.2008, 15:59

Das mit der Fehlermeldung ist nicht schlimm, versuch nun bitte folgende Programme zu abzuarbeiten:

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Tangomaus · 08.01.2008, 20:20

Okay, diesmal liefen beide progs problemlos durch.
Hier also die combofix-log:

ComboFix 08-01-07.5 - user 2008-01-08 18:53:54.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.675 [GMT 0:00]
ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\user\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\user\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\user\Favoriten\Spyware&Malware Protection.url
C:\WINXP\ampkfst.dll
C:\WINXP\foxflpd.exe
C:\WINXP\regedit.com
C:\WINXP\system32\kr_done1
C:\WINXP\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-08 bis 2008-01-08 ))))))))))))))))))))))))))))))
.

2008-01-08 18:52 . 2000-08-31 08:00 51,200 --a------ C:\WINXP\NirCmd.exe
2008-01-07 22:11 . 2008-01-07 22:12 <DIR> d-------- C:\bases_x
2008-01-07 20:38 . 2008-01-07 20:38 <DIR> d-a------ C:\WINXP\zts2.exe
2008-01-07 20:38 . 2008-01-07 20:38 <DIR> d-a------ C:\WINXP\system32\vcmgcd32.dll
2008-01-07 20:38 . 2008-01-07 20:38 <DIR> d-a------ C:\WINXP\system32\iifgfgf.dll
2008-01-07 20:38 . 2008-01-07 20:38 <DIR> d-a------ C:\WINXP\rundll16.exe
2008-01-07 20:38 . 2008-01-07 20:38 <DIR> d-a------ C:\WINXP\rundl132.dll
2008-01-07 20:38 . 2008-01-07 20:38 <DIR> d-a------ C:\WINXP\logo1_.exe
2008-01-07 20:34 . 2004-03-11 23:10 152,576 --a------ C:\WINXP\R.COM
2008-01-07 20:34 . 2004-03-11 23:10 140,800 --a------ C:\WINXP\system32\T.COM
2008-01-07 20:34 . 2008-01-07 20:37 50 --a------ C:\WINXP\Lic.xxx
2008-01-07 17:18 . 2008-01-07 17:18 <DIR> d-------- C:\00000 - HOTELS - JANUAR 08
2008-01-07 15:40 . 2008-01-07 15:40 <DIR> d-------- C:\Programme\Lavasoft
2008-01-07 15:40 . 2008-01-07 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-07 15:39 . 2008-01-07 15:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-06 00:07 . 2008-01-06 00:07 <DIR> d-------- C:\Programme\Trend Micro
2008-01-05 23:26 . 2008-01-07 16:08 482 --a------ C:\WINXP\system32\tmp.reg
2008-01-05 23:20 . 2008-01-05 23:20 <DIR> d-------- C:\Programme\WinAce
2008-01-05 22:59 . 2008-01-05 22:59 <DIR> d-------- C:\FOUND.010
2008-01-02 18:38 . 2008-01-02 18:38 <DIR> d-------- C:\Programme\MediaSupplyCodec
2007-12-25 15:01 . 2007-12-25 15:01 982 --a------ C:\WINXP\system32\PQ_BATCH.PQB
2007-12-24 13:28 . 2007-12-24 13:28 <DIR> d-------- C:\Programme\PowerQuest
2007-12-24 13:28 . 2001-08-10 07:00 1,284,280 --------- C:\WINXP\system32\XMNT2001.EXE
2007-12-24 13:28 . 2001-08-10 07:00 3,252 --------- C:\WINXP\system32\drivers\PQNTDRV.SYS
2007-12-23 13:36 . 2007-12-23 13:36 <DIR> d-------- C:\Programme\Bios Kompendium
2007-12-19 01:06 . 2007-12-19 01:06 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\EPSON
2007-12-19 00:47 . 2004-03-12 00:45 15,104 --a------ C:\WINXP\system32\drivers\usbscan.sys
2007-12-19 00:47 . 2004-03-12 00:45 15,104 --a------ C:\WINXP\system32\dllcache\usbscan.sys
2007-12-19 00:43 . 2002-06-17 00:00 86,016 --a------ C:\WINXP\system32\Epfb5cpl.dll
2007-12-19 00:43 . 2002-02-08 00:00 47,104 --a------ C:\WINXP\system32\escimgn.dll
2007-12-19 00:43 . 2001-11-15 00:00 47,104 --a------ C:\WINXP\system32\escimgd.dll
2007-12-19 00:43 . 2002-02-08 00:00 35,840 --a------ C:\WINXP\system32\escwian.dll
2007-12-19 00:43 . 2001-11-15 00:00 33,280 --a------ C:\WINXP\system32\esccm.dll
2007-12-19 00:43 . 2002-06-20 00:00 32,256 --a------ C:\WINXP\system32\escwiad.dll
2007-12-19 00:43 . 2001-11-15 00:00 32,256 --a------ C:\WINXP\system32\escwiab.dll
2007-12-19 00:43 . 2001-11-15 00:00 27,648 --a------ C:\WINXP\system32\escimg.dll
2007-12-19 00:43 . 2002-02-08 00:00 23,552 --a------ C:\WINXP\system32\esccmn.dll
2007-12-19 00:43 . 2002-06-20 00:00 22,528 --a------ C:\WINXP\system32\esccmd.dll
2007-12-19 00:42 . 2007-12-19 00:42 <DIR> d-------- C:\EPSON
2007-12-19 00:42 . 2002-08-09 00:00 184,320 --a------ C:\WINXP\system32\ESDTR.dll
2007-12-19 00:42 . 2002-01-31 00:00 126,976 --a------ C:\WINXP\system32\Esint23.dll
2007-12-19 00:42 . 2002-09-04 00:00 90,112 --a------ C:\WINXP\system32\epcomdd.dll
2007-12-19 00:42 . 2001-05-21 00:00 77,824 --a------ C:\WINXP\system32\Esintpl.dll
2007-12-19 00:42 . 2000-10-11 00:00 53,248 --a------ C:\WINXP\system32\ESICM.dll
2007-12-14 02:33 . 2007-12-14 02:33 <DIR> d-------- C:\CloneDVDTemp
2007-12-14 02:01 . 2007-12-14 02:01 <DIR> d-------- C:\Programme\SlySoft
2007-12-10 19:01 . 2007-12-10 19:01 <DIR> d-------- C:\00000 - HOTELS - DEZEMBER 07

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-20 14:45 --------- d-----w C:\Programme\Netscape
2007-11-14 13:47 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\Talkback
2007-11-14 13:37 --------- d-----w C:\Programme\Opera
2007-11-04 16:32 482 ---ha-w C:\os635093.bin
2005-03-31 22:17 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 01:16 68856]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-05-10 16:09 23395880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 23:55 249896]
"NeroFilterCheck"="C:\WINXP\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"winsys001"="qvxgamet3.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\system32\CTFMON.EXE" [2004-03-11 23:10 14336]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 02:17 443968]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-06-21 19:41:04]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ampkfst"= {8548E2FE-6182-42E2-824F-D710ED459B59} - C:\WINXP\ampkfst.dll [ ]
"bklgvsf"= {39C97067-B455-4011-8C41-221C0DA8E71F} - C:\WINXP\bklgvsf.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
C:\WINXP\system32\dla\tfswctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2007-03-27 15:22 4670968 C:\Programme\Yahoo!\Messenger\YahooMessenger.exe

R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINXP\system32\drivers\epm-psd.sys [2004-07-19 13:10]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINXP\system32\drivers\epm-shd.sys [2005-04-07 18:08]
R2 osaio;osaio;C:\WINXP\system32\drivers\osaio.sys [2005-06-30 16:58]
R2 osanbm;osanbm;C:\WINXP\system32\drivers\osanbm.sys [2005-01-14 15:57]
R2 SBKUPNT;SBKUPNT;C:\WINXP\system32\Drivers\SBKUPNT.SYS [2001-07-13 13:56]

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 18:58:03
Windows 5.1.2600 Service Pack 2, v.2096 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-08 18:58:32
ComboFix-quarantined-files.txt 2008-01-08 18:58:30

Und die Hijackthis-log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:03:56, on 8.1.2008
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\acs.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINXP\explorer.exe
C:\Programme\Trend Micro\HijackThis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINXP\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: (no name) - {96AB91E2-7D18-4BF5-9930-2C213B9658A4} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [winsys001] qvxgamet3.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2F2997B-5E01-406F-B00E-38771282B80E}: NameServer = 85.255.113.118,85.255.112.21
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5714D-5754-4E3F-A8EE-9976DE0E8408}: NameServer = 85.255.113.118,85.255.112.21
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.118 85.255.112.21
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.118 85.255.112.21
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.118 85.255.112.21
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O21 - SSODL: ampkfst - {8548E2FE-6182-42E2-824F-D710ED459B59} - C:\WINXP\ampkfst.dll (file missing)
O21 - SSODL: bklgvsf - {39C97067-B455-4011-8C41-221C0DA8E71F} - C:\WINXP\bklgvsf.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINXP\system32\acs.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

--
End of file - 6155 bytes

**Sunny** · 08.01.2008, 20:30

Dr.Web Cureit

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
(Wie man einen neuen Ordner anlegen kann, kannst du diesem Windows Tutorial entnehmen.
Kostenloses, sehr gutes Zip Programm: Free IZArc

NEW CureIt!
(FREE Dr.Web CureIt!)

Lies nun zuerst unsere deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINXP\zts2.exe
C:\WINXP\system32\vcmgcd32.dll
C:\WINXP\system32\iifgfgf.dll
C:\WINXP\rundll16.exe
C:\WINXP\rundl132.dll
C:\WINXP\logo1_.exe
C:\WINXP\system32\tmp.reg
C:\WINXP\ampkfst.dll
C:\WINXP\foxflpd.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen

Desweiteren, hast du das Hijacklogfile neu erstellt oder ist es noch das alte aus dem ersten Post?
Hast du das Fixewareout angewendet so wie ich es beschrieben habe oder gab es Probleme?!

Ansonsten danach das Fixewareout durchführen:

[size="3"]DNS-Einträge entfernen/size]

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)

-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A2F2997B-5E01-406F-B00E-38771282B80E}: NameServer = 85.255.113.118,85.255.112.21
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5714D-5754-4E3F-A8EE-9976DE0E8408}: NameServer = 85.255.113.118,85.255.112.21
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.118 85.255.112.21
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.118 85.255.112.21
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.118 85.255.112.21

Probleme wg. worm.win32netsky

Log-Analyse und Auswertung: Probleme wg. worm.win32netsky