Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
worm.win32.NetSky : wie werde ich ihn los??

worm.win32.NetSky : wie werde ich ihn los??


Plagegeister aller Art und deren Bekämpfung: worm.win32.NetSky : wie werde ich ihn los??

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.03.2008, 15:05   #1
pL4y
 
worm.win32.NetSky : wie werde ich ihn los?? - Ausrufezeichen

worm.win32.NetSky : wie werde ich ihn los??


Hallo Zusammen,

seit heute morgen habe ich einen wurm namens: worm.win32.NetSky aufm meinem pc.

Auf meinem Destop sind auch drei Dateien drauf:
1. Spyware und Malware Protection,
2. Error Cleaner und
3. Privacy Protector.
Ausserdem öffen sich immer der Microsoft Internet Explorer und Warnungsmeldefenster sich:
Spyware alert,Securety Warning,Worm.Win32.NetSky detectet on your maschine sowie System Alert.
Ein weiteres problem ist, dass zwischen offenen Fenstern hin und hergeswicht wird, ohne dass ich etwas mache.

Kann mir irgendjemand helfen wie ich diesen wurm wieder entfernen kann?? Ich habe eigentlich keine lust zu formatieren, da ich erst neulich formatiert habe.
Außerdem hab ich sogut wie keine ahnung von dem zeug.

Vielen Dank schonmal im Voraus.

Grüße pL4y

Alt 18.03.2008, 15:23   #2
Sabina
 
worm.win32.NetSky : wie werde ich ihn los?? - Standard

worm.win32.NetSky : wie werde ich ihn los??


Hallo,

du hast keinen worm.win32.NetSky - sondern Viren + Faketools, die dir einreden wollen, du hättest den worm.win32.NetSky........

befolge alle Schritte + poste alle Logs

1.
wende sdfix an - funktioniert nur im abgesicherten Modus
SDFix
poste dann hier den report

2.
wende combofix an + poste den report
combofix

3.
poste das log vom HijackThis
Hijackthis - deutsche Anleitung
__________________

__________________
Alt 18.03.2008, 16:02   #3
pL4y
 
worm.win32.NetSky : wie werde ich ihn los?? - Standard

worm.win32.NetSky : wie werde ich ihn los??


Also als erstes der sdfix report:

Code:
ATTFilter
SDFix: Version 1.158 

Run by Kai on 18.03.2008 at 15:40

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\Kai\Desktop\SDFIX\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default HomePage Value
Restoring Default Desktop Components Value

Rebooting


Checking Files : 

Trojan Files Found:

C:\Dokumente und Einstellungen\Kai\Desktop\Error Cleaner.url - Deleted
C:\Dokumente und Einstellungen\Kai\Favoriten\Error Cleaner.url - Deleted
C:\Dokumente und Einstellungen\Kai\Desktop\Privacy Protector.url - Deleted
C:\Dokumente und Einstellungen\Kai\Favoriten\Privacy Protector.url - Deleted
C:\Dokumente und Einstellungen\Kai\Desktop\Spyware&Malware Protection.url - Deleted
C:\Dokumente und Einstellungen\Kai\Favoriten\Spyware&Malware Protection.url - Deleted
C:\WINDOWS\drnpfdxkvw.dll - Deleted
C:\WINDOWS\altvxvm.dll  - Deleted
C:\WINDOWS\bokpkov.dll  - Deleted
C:\WINDOWS\etlrlws.dll  - Deleted
C:\WINDOWS\fmsxwqs.exe  - Deleted





Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-18 15:43:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:83,b6,5f,10,d0,9f,e0,70,b0,8c,db,e9,34,a2,26,91,94,b2,16,27,8a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,35,3b,8c,8e,c2,fb,26,53,fd,35,c8,18,13,5c,43,2a,cb,..
"khjeh"=hex:27,9d,c4,1a,48,93,d6,98,23,af,e6,ff,f3,eb,5d,4b,6a,c3,21,98,f2,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:65,d7,b5,74,41,32,de,75,11,b1,ab,2c,d5,76,e3,d9,74,c7,eb,18,cc,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:83,b6,5f,10,d0,9f,e0,70,b0,8c,db,e9,34,a2,26,91,94,b2,16,27,8a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,35,3b,8c,8e,c2,fb,26,53,fd,35,c8,18,13,5c,43,2a,cb,..
"khjeh"=hex:27,9d,c4,1a,48,93,d6,98,23,af,e6,ff,f3,eb,5d,4b,6a,c3,21,98,f2,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:65,d7,b5,74,41,32,de,75,11,b1,ab,2c,d5,76,e3,d9,74,c7,eb,18,cc,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\ICQ6\\ICQ.exe"="D:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"="C:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"D:\\Programme\\ICQLite\\ICQLite.exe"="D:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"D:\\Programme\\LimeWire\\LimeWire.exe"="D:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"D:\\Sierra\\Counter-Strike\\cstrike.exe"="D:\\Sierra\\Counter-Strike\\cstrike.exe:*:Enabled:CounterStrike Launcher"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"D:\\Programme\\Electronic Arts\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"="D:\\Programme\\Electronic Arts\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe:*:Enabled:Crysis_32_sp_demo"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"D:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"="D:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe:*:Enabled:Battlefield 2"
"C:\\Programme\\Steam\\steamapps\\pl4yb0y_89\\counter-strike\\hl.exe"="C:\\Programme\\Steam\\steamapps\\pl4yb0y_89\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"

Remaining Files :


File Backups: - C:\DOKUME~1\Kai\Desktop\SDFIX\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 20 Jan 2008           355 ...H. --- "C:\Boot.BAK"
Wed 16 Jan 2008            48 ..SH. --- "C:\WINDOWS\S6A1DC62B.tmp"
Wed 28 Nov 2007             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9abd05361f9a8989001560352e910162\BIT3.tmp"

Finished!

dann hier der die log-file von combofix:

Code:
ATTFilter
ComboFix 08-03-17.1 - Kai 2008-03-18 15:54:02.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1629 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kai\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

*Non default MBR detected - Run MBR check*
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Administrator\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Administrator\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx

.
(((((((((((((((((((((((   Dateien erstellt von 2008-02-18 bis 2008-03-18  ))))))))))))))))))))))))))))))
.

2008-03-18 15:42 . 2008-03-18 15:42	<DIR>	d--------	C:\WINDOWS\system32\xircom
2008-03-18 15:42 . 2008-03-18 15:42	<DIR>	d--------	C:\Programme\microsoft frontpage
2008-03-18 15:40 . 2008-03-18 15:40	<DIR>	d--------	C:\WINDOWS\ERUNT
2008-03-18 15:40 . 2004-08-04 13:00	579,584	--a------	C:\WINDOWS\system32\dllcache\user32.dll
2008-03-18 12:06 . 2008-03-18 12:06	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-18 12:06 . 2008-03-18 12:06	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-18 12:06 . 2008-03-18 12:06	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-18 12:06 . 2008-03-18 12:06	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-18 11:10 . 2008-03-18 12:05	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-18 11:10 . 2008-03-18 12:06	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-18 11:10 . 2008-03-18 15:54	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-18 11:10 . 2008-03-18 12:05	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-14 17:20 . 2008-03-14 17:20	<DIR>	d--------	C:\Programme\ReflexiveArcade
2008-03-11 16:24 . 2008-03-11 16:24	<DIR>	d--------	C:\DVDVideoSoft
2008-03-10 15:38 . 2008-03-10 15:38	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-02-26 19:49 . 2004-01-16 17:50	35,178	--a------	C:\WINDOWS\system32\drivers\keilul.sys
2008-02-26 19:49 . 2003-02-04 12:06	20,005	--a------	C:\WINDOWS\system32\drivers\keillp.sys
2008-02-26 19:22 . 2008-02-26 19:23	<DIR>	d--------	C:\Programme\AtmelISP
2008-02-19 18:18 . 2008-02-19 18:18	30,312	--a------	C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-02-19 15:34 . 2008-02-19 15:34	<DIR>	d--------	C:\Dokumente und Einstellungen\Kai\WINDOWS
2008-02-19 15:34 . 1996-11-06 12:05	302,592	--a------	C:\WINDOWS\unin0407.exe
2008-02-18 21:10 . 2008-02-18 21:10	<DIR>	d--------	C:\Programme\MSECache

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-18 13:41	---------	d-----w	C:\Programme\Steam
2008-03-14 15:59	---------	d-----w	C:\Dokumente und Einstellungen\Siggi\Anwendungsdaten\OpenOffice.org2
2008-03-11 18:35	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-03-11 17:34	---------	d-----w	C:\Programme\PokerStars.NET
2008-03-11 15:27	---------	d-----w	C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Ahead
2008-03-11 13:31	---------	d-----w	C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Skype
2008-03-07 15:52	---------	d-----w	C:\Programme\Java
2008-03-06 14:44	---------	d-----w	C:\Programme\ICQToolbar
2008-02-25 20:11	---------	d-----w	C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\OpenOffice.org2
2008-02-19 17:23	---------	d-----w	C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\gtk-2.0
2008-02-07 10:22	---------	d-----w	C:\Programme\Microsoft Silverlight
2008-02-07 10:14	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-02-07 10:12	---------	d-----w	C:\Programme\Microsoft.NET
2008-02-07 10:12	---------	d-----w	C:\Programme\Gemeinsame Dateien\Merge Modules
2008-02-07 10:11	---------	d-----w	C:\Programme\Microsoft SDKs
2008-02-07 10:08	---------	d-----w	C:\Programme\MSBuild
2008-02-06 17:51	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-02-06 12:44	---------	d-----w	C:\Programme\Reference Assemblies
2008-01-25 15:39	---------	d-----w	C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Earthsim
2008-01-25 15:39	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Earthsim
2008-01-25 15:35	---------	d-----w	C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Winamp
2008-01-24 09:04	---------	d-----w	C:\Dokumente und Einstellungen\Siggi\Anwendungsdaten\DivX
2008-01-23 18:01	---------	d-----w	C:\Programme\Winamp
2008-01-20 15:51	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
2008-01-20 15:37	---------	d-----w	C:\Programme\Gemeinsame Dateien\LightScribe
2008-01-20 15:37	---------	d-----w	C:\Programme\Gemeinsame Dateien\Ahead
2008-01-20 15:32	---------	d-----w	C:\Programme\Nero
2008-01-20 15:32	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-01-11 05:34	315,392	----a-w	C:\WINDOWS\HideWin.exe
2007-10-12 16:19	32,768	--sha-w	C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007101220071013\index.dat
.

------- Sigcheck -------

2004-08-04 13:00  579584  78785eff8cb90cec1862a4ccfd9a3c3a	C:\WINDOWS\system32\user32.dll
2004-08-04 13:00  579584  78785eff8cb90cec1862a4ccfd9a3c3a	C:\WINDOWS\system32\dllcache\user32.dll

2007-08-20 10:48  825344  283d85f8192fa54f2ca978b659965739	C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
2007-10-11 00:20  825344  6a1aef7b9e513acb566b16b0ba133c7c	C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
2004-08-04 13:00  823808  26db81279fed58d5199235c26d4836e2	C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
2004-08-04 13:00  823808  26db81279fed58d5199235c26d4836e2	C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
2004-08-04 13:00  823808  26db81279fed58d5199235c26d4836e2	C:\WINDOWS\system32\wininet.dll
2007-10-11 00:46  824832  fa5fa22e6f36f8453e9377810b3f9939	C:\WINDOWS\system32\dllcache\wininet.dll

2004-08-04 13:00  360576  b2220c618b42a2212a59d91ebd6fc4b4	C:\WINDOWS\system32\drivers\tcpip.sys

2007-02-28 18:06  2019840  5aa6fe8b36d7d4074542925c38c142be	C:\WINDOWS\system32\ntkrnlpa.exe
2004-08-04 13:00  2061696  9b9ca27ad315c02b71510238574894b2	C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\ntkrnlpa.exe

2007-02-28 18:06  2140160  fd51b755255e963b1e78b010b575fa7c	C:\WINDOWS\system32\ntoskrnl.exe
2004-08-04 13:00  2184448  e1de7a10d46959560c3b617227d95c19	C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\ntoskrnl.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 19:08 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-10-13 14:40 185632]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 20:43 7630848]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 20:43 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="regsvr32 /s /n /i:U shell32" []
"nltide_3"="advpack.dll" [2004-08-04 13:00 124928 C:\WINDOWS\system32\advpack.dll]

C:\Dokumente und Einstellungen\Siggi\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56 393216]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kai^Startmenü^Programme^Autostart^OpenOffice.org 1.1.5.lnk]
path=C:\Dokumente und Einstellungen\Kai\Startmenü\Programme\Autostart\OpenOffice.org 1.1.5.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 1.1.5.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kai^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=C:\Dokumente und Einstellungen\Kai\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-r------- 2005-05-03 11:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICustomerCare]
--a------ 2007-10-04 18:38 307200 C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
--a------ 2007-10-16 05:39 26112 C:\WINDOWS\system32\Ati2mdxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 15:16 171464 D:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-06-20 12:49 451872 C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-07-04 14:20 161064 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-08-11 20:43 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
C:\Programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-03 17:08 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RSShutdown]
--a------ 2004-06-24 16:16 20480 C:\Programme\RichiStudios\Shutdown\Autostart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2007-09-13 12:31 22880040 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-01-25 17:09 1266936 C:\Programme\Steam\Steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\ICQLite\\ICQLite.exe"=
"D:\\Programme\\LimeWire\\LimeWire.exe"=
"D:\\Sierra\\Counter-Strike\\cstrike.exe"=
"D:\\Programme\\Electronic Arts\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"D:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"C:\\Programme\\Steam\\steamapps\\pl4yb0y_89\\counter-strike\\hl.exe"=

R0 DlPortio;DlPortio;C:\WINDOWS\system32\dlportio.sys [2001-02-27 11:50]
R2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 16:16]
S3 aaudstum;aaudstum;C:\DOKUME~1\Kai\LOKALE~1\Temp\aaudstum.sys []
S3 ALLOW-IO;ALLOW-IO;G:\ALLOW-IO.sys []
S3 zlportio;zlportio;D:\Programme\Ultra Star\zlportio.sys []


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-18 15:54:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-18 15:54:48
ComboFix-quarantined-files.txt  2008-03-18 14:54:41
.
2007-12-13 12:25:02	--- E O F ---

hijack ist im nächsten post, sonst wird er zu lang....
__________________
Alt 18.03.2008, 16:03   #4
pL4y
 
worm.win32.NetSky : wie werde ich ihn los?? - Standard

worm.win32.NetSky : wie werde ich ihn los??


Und hier zuletzt noch die Hijack log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:57:40, on 18.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\RichiStudios\Shutdown\service.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe

--
End of file - 6341 bytes
Ich hoffe das ist so alles richtig.

Danke schonmal

Grüße pL4y

Alt 18.03.2008, 16:06   #5
Sabina
 
worm.win32.NetSky : wie werde ich ihn los?? - Standard

worm.win32.NetSky : wie werde ich ihn los??


das ging aber fix
im Grunde sollte schon alles wieder o.k. sein ...kommen noch popups ?

«
VirusTotal - Kostenloser online Viren- und Malwarescanner
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren


C:\WINDOWS\system32\user32.dll
C:\WINDOWS\system32\dllcache\user32.dll

-----------------------------------------------------------
««
scanne + poste den report
Malwarebytes Anti-Malware

__________________
MfG Sabina

Alt 18.03.2008, 16:24   #6
pL4y
 
worm.win32.NetSky : wie werde ich ihn los?? - Standard

worm.win32.NetSky : wie werde ich ihn los??


Vielen vielen dank für diene schnelle hilfe!!!

es ist soweit wieder alles in ordnung.

Grüße pL4y

Antwort

Themen zu worm.win32.NetSky : wie werde ich ihn los??
ahnung, alert, cleaner, dateien, entfernen, error, error cleaner, explorer, formatieren, hallo zusammen, helfen, heute, internet, internet explorer, keine ahnung, malware, malware protection, microsoft, morgen, namens, offene, problem, secure, spyware, system, warning, worm.win32.netsky, wurm, zusammen


« Trojaner Problem "Net-pumper" | win32.VB.jl / Tojaner-Backdoor »


Ähnliche Themen: worm.win32.NetSky : wie werde ich ihn los??


  1. Worm.Win32.NetSky hat mich flachgelegt
    Log-Analyse und Auswertung - 05.02.2010 (2)
  2. Email-Worm.Win32.NetSky.q
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (4)
  3. Worm Win32 NetSky...
    Log-Analyse und Auswertung - 01.07.2008 (4)
  4. Worm.Win32.Netsky - meine Scanfiles
    Log-Analyse und Auswertung - 24.03.2008 (16)
  5. worm.win32.netsky logfile
    Log-Analyse und Auswertung - 21.03.2008 (2)
  6. Worm.Win32.NetSky
    Log-Analyse und Auswertung - 05.03.2008 (1)
  7. Worm.Win32.Netsky; ständige Installationsaufforderung
    Log-Analyse und Auswertung - 04.03.2008 (4)
  8. Probs mit worm.win32.netsky
    Log-Analyse und Auswertung - 01.03.2008 (1)
  9. Worm.Win32.NetSky
    Mülltonne - 24.02.2008 (0)
  10. Worm.Win32.NetSky
    Plagegeister aller Art und deren Bekämpfung - 18.02.2008 (24)
  11. Worm.Win32.NetSky Was Tun?
    Mülltonne - 10.02.2008 (0)
  12. worm.win32.netsky Hilfe
    Log-Analyse und Auswertung - 03.02.2008 (5)
  13. Worm.win32.netsky was tun?
    Log-Analyse und Auswertung - 27.01.2008 (2)
  14. Win32.netsky worm
    Log-Analyse und Auswertung - 07.01.2008 (4)
  15. Worm.Win32.NetSky
    Plagegeister aller Art und deren Bekämpfung - 02.01.2008 (4)
  16. Worm.Win32.Netsky... mal wieder
    Plagegeister aller Art und deren Bekämpfung - 27.12.2007 (0)
  17. worm.win32.netsky
    Log-Analyse und Auswertung - 26.12.2007 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema worm.win32.NetSky : wie werde ich ihn los?? - Hallo Zusammen, seit heute morgen habe ich einen wurm namens: worm.win32.NetSky aufm meinem pc. Auf meinem Destop sind auch drei Dateien drauf: 1. Spyware und Malware Protection, 2. Error Cleaner - worm.win32.NetSky : wie werde ich ihn los??...
Archiv
Du betrachtest: worm.win32.NetSky : wie werde ich ihn los?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55