Hallo. Ich bin es mal wieder. Habe, wenn ich meinen Rechner starte, immer wenn der Desktop einige Sekunden ohne irgendetwas zu öffnen sichtbar ist, den Fund WORM/Ntech.Z.4 angezeigt. Auffundort ist: C:WINDOWS\Temp\BN3.tmp Kann mir jemand helfen, wie diese Meldung fort bekomme. Ich hatte in der letzten Woche einen Virenbefall, den ich mit eurer Hilfe einigermaßen gut hinbekommen habe. Möchte auch hier noch einmal feststellen, dass ich ein totaler Laie bin, also nicht ärgern, wenn ich nachfrage, was was ist. Bitte:aplaus:Bitte helft mir.

LG wildhild26

Soll natürlich WORM heißen.

Halli hallo.

Poste bitte ein HijackThis log und führe einen escan durch. Anleitung gibts in meiner Signatur und im FAQ Bereich.

PS:

Zitat:

Soll natürlich WORM heißen.

der "Editieren"-Button ist nicht nur Zierde...

Hallo Undoreal,
habe,wie du mir geraten hast, den Rechner auf abgesicherten Modus mit dem escan gescannt. Ich bin nun soweit, dass ich in das offene Konsolenfenster -
notepad %systemdrive%\bases x\escan neu.txt - getippt habe. Wenn ich nun die enter Taste drücke, zeigt mir der Rechner - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch. - Ich habe den Text auch wahlweise mit Unterstrich oder Freizeichen geschrieben. Kannst du mir bgitte weiterhelfen?

Halli hallo.

Du kannst auch einfach nach der Datei suchen. In meiner Signatur gibt es wieder den Link dazu .. Suchwort: " escan neu.txt " (ohne die Anführungszeichen)

Oder du suchst sie dir zu Fuß raus. Sie sollte sich in folgendem OrdnerPfad befinden: C:\bases x\escan neu.txt

Bleibe ich bei der Suche nach der " escan neu.txt " Datei weiterhin im abgesicherten Modus?

Nein, das ist nicht erforderlich. Sollte aber auch dort klappen..

Habe dir hier das Protokoll gepostet. Hoffe, du kannst etwas damit anfangen. ich habe auch ein Protokoll über alle Dateien im rechner angelegt. Wenn du das benötigst, ist aber wie ich gesehen habe ellenlang.

Lieben Gruß wildhild26


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.9
Sprache: German
Virus-Datenbank Datum: 2/9/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "asktbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "asktbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with asktbar Toolbar ({fe063db9-4ec0-403e-8dd8-394c54984b2c})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with clientman Spyware/Adware (browserhelper.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with clientman Spyware/Adware (browserhelper.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with remacc.multiwebsurv Generic Malware (C:\WINDOWS\iun6002.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\ovvigdvr.exe infiziert von "Trojan.Win32.Small.adx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\asktbar
Offending Folder found: C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\asktbar !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Daten\Unterrichtsfächer\PDF Designer1\pdfdesigner!.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 87452
Gefundene Viren: 10
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 45
Dauer des Scans bisher: 00:49:56
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:57:49,00
Batchende: 19:57:57,32

Hallo.


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\ovvigdvr.exe
C:\WINDOWS\iun6002.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Und schau mal bitte nach, ob du unter Systemsteuerung->Software einen "Asktbar" Eintrag findest.. wenn ja => Deinstallieren.

Zur Sicherheit enfernen wir die danach noch manuell:

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Folders to delete:

C:\Programme\asktbar

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit "->#ENTER# drücken!

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:

HKLM\Software\asktbar

Danach lasse cCleaner dein System bereinigen. Die Registry (blaues Bauklotz-Symbol links) musst du merhmals durchsuchen und bereinigen lassen bis nichts mehr gefunden wird.
Installation des cCleaners bitte ohne die Toolbar! Benutzerdefinierte Installation wählen.

Dann startest du den Rechner im normalen Modus neu.

Hier hast du einmal das Ergebnis der ovvigdvr.exe Datei:


Datei ovvigdvr.exe empfangen 2008.02.09 10:34:16 (CET)
Status: Beendet

Ergebnis: 13/32 (40.62%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - Generic9.AZFQ
BitDefender - - -
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - PUA.Packed.MEW-1
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - Suspicious:W32/Malware!Gemini
Ikarus - - Virus.Win32.Agent.OXW
Kaspersky - - Trojan.Win32.Small.adx
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - Mal/EncPk-BA
Sunbelt - - VIPRE.Suspicious
Symantec - - Downloader
TheHacker - - Trojan/Downloader.gen
VBA32 - - -
VirusBuster - - Packed/MEW
Webwasher-Gateway - - Win32.Malware.gen (suspicious)
weitere Informationen
MD5: 5cedc646b418ed678a9c3f39544393fa
SHA1: 1c1071ddb606dce6ec0657922a766d55637f04d2
SHA256: f39e7240ae25c1ab03037ebe6e9e7e47139b7b20b672e6d60f8c1b2d485fe0a5
SHA512: 54e8271aa200822ceb99ad1e053fc8412076fc992fbf5e204691354e241af96f 65fedc72723f444bbc7b867abb0223b9076f9a650f41289acd90921dac5c66ea



und hier das Ergebnis der


0 bytes size received / Se ha recibido un archivo vacio



Ist das okay so für dich? Ich mache indes weiter. Bis später. Wahrscheinlich morgen erst wieder. Danke erstmal und einen schönen Abend dir noch

Gruß Lothar

Zitat:

und hier das Ergebnis der


0 bytes size received / Se ha recibido un archivo vacio

der was?

Dieser Datei C:\WINDOWS\iun6002.exe ? Das kann eigentlich nicht ganz sein.. eine .exe mit 0bytes..

Hallo und guten Morgen.

Ich habe noch einmal die beiden exe Dateien überprüft und komme zum selben Ergebnis. Es steht wirklich 0 Bytes in der zweiten exe Datei. Ich prüfe das aber gerne noch einmal nach.
Jetzt gerade befinde ich mich im abgesicherten Modus und arbeite mit regedit. Ich habe die Datei exportiert und weiss nun nur nicht, was mit links zu den Schlüsseln gemeint ist. Kannst du mir als Laie, dass verständlich herüber bringen.

Habe gerade noch einmal meine Ausdrucke angeschaut. Habe festgestellt, dass ich einen Übertragungsfehler gefunden habe. Habe vergessen 6002 miteinzugeben. Ich überprüfe das aber sobald ich mit regedit fertig bin nach und poste das Ergebnis. Sorry.

Hallo. Hier habe ich noch einmal die Dateien C:\ovvigdvr.exe und C:\WINDOWS\iun6002.exe mit Virustotal durchprüfen lassen.

Hier das Ergebnis von C:\ovvigdvr.exe:

_Datei 20080208_Malekal_morte_load_me.ex empfangen 2008.02.10 20:47:20 (CET)
Status: Beendet

Ergebnis: 13/32 (40.62%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.6.10 2008.02.05 -
AntiVir 7.6.0.62 2008.02.10 -
Authentium 4.93.8 2008.02.08 -
Avast 4.7.1098.0 2008.02.10 -
AVG 7.5.0.516 2008.02.10 Generic9.AZFQ
BitDefender 7.2 2008.02.10 -
CAT-QuickHeal None 2008.02.08 (Suspicious) - DNAScan
ClamAV 0.92 2008.02.10 PUA.Packed.MEW-1
DrWeb 4.44.0.09170 2008.02.10 -
eSafe 7.0.15.0 2008.01.28 suspicious Trojan/Worm
eTrust-Vet 31.3.5522 2008.02.08 -
Ewido 4.0 2008.02.10 -
FileAdvisor 1 2008.02.10 -
Fortinet 3.14.0.0 2008.02.10 -
F-Prot 4.4.2.54 2008.02.10 -
F-Secure 6.70.13260.0 2008.02.10 Trojan.Win32.Small.adx
Ikarus T3.1.1.20 2008.02.10 Virus.Win32.Agent.OXW
Kaspersky 7.0.0.125 2008.02.10 Trojan.Win32.Small.adx
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.10 -
NOD32v2 2861 2008.02.09 -
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.10 -
Prevx1 V2 2008.02.10 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.10 Mal/EncPk-BA
Sunbelt 2.2.907.0 2008.02.09 VIPRE.Suspicious
Symantec 10 2008.02.10 Downloader
TheHacker 6.2.9.215 2008.02.09 Trojan/Downloader.gen
VBA32 3.12.6.0 2008.02.09 -
VirusBuster 4.3.26:9 2008.02.10 Packed/MEW
Webwasher-Gateway 6.6.2 2008.02.10 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 5624 bytes
MD5: 5cedc646b418ed678a9c3f39544393fa
SHA1: 1c1071ddb606dce6ec0657922a766d55637f04d2
PEiD: MEW 11 SE v1.2 -> Northfox[HCC]
packers: MEW
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
________________________________________________________________________

Habe noch einmal die Datei C:\WINDOWS\iun6002.exe mit Virustotal überprüfen lassen. Hier das Ergebnis.
_________________________________________________________________________

Datei iun6002.exe empfangen 2008.02.11 03:41:28 (CET)
Status: Beendet

Ergebnis: 0/32 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.6.10 2008.02.05 -
AntiVir 7.6.0.62 2008.02.10 -
Authentium 4.93.8 2008.02.10 -
Avast 4.7.1098.0 2008.02.10 -
AVG 7.5.0.516 2008.02.10 -
BitDefender 7.2 2008.02.11 -
CAT-QuickHeal None 2008.02.08 -
ClamAV 0.92 2008.02.10 -
DrWeb 4.44.0.09170 2008.02.10 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5522 2008.02.08 -
Ewido 4.0 2008.02.10 -
FileAdvisor 1 2008.02.11 -
Fortinet 3.14.0.0 2008.02.10 -
F-Prot 4.4.2.54 2008.02.10 -
F-Secure 6.70.13260.0 2008.02.10 -
Ikarus T3.1.1.20 2008.02.11 -
Kaspersky 7.0.0.125 2008.02.11 -
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.10 -
NOD32v2 2862 2008.02.10 -
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.10 -
Prevx1 V2 2008.02.11 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.10 -
Sunbelt 2.2.907.0 2008.02.09 -
Symantec 10 2008.02.11 -
TheHacker 6.2.9.215 2008.02.09 -
VBA32 3.12.6.0 2008.02.10 -
VirusBuster 4.3.26:9 2008.02.10 -
Webwasher-Gateway 6.6.2 2008.02.11 -
weitere Informationen
File size: 737280 bytes
MD5: 456462905091db042141487fe030e3c9
SHA1: bb57b4850528c3c8d9bf159fb5b9f414ddc7d5d7
PEiD: Armadillo v1.71

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:

C:\ovvigdvr.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Hey,

ich habe gerade deinen Anweisungen gefolgt und habe Avenger benutzt. Habe als Meldung erhalten

1.) Fatal Error: could not create new script file.

Ich habe dann ok gedrückt, da die Meldung mir keine andere Möglichkeit bot. Dann öffnete sich:

2.) Error Code0 Error logged to Errorlog.txt. Aborting now

Auch hier habe ich aus dem gleichen Grund mit ok bestätigt.