|
Plagegeister aller Art und deren Bekämpfung: benötige hilfe beim worm.win32.netbooster2Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.04.2008, 13:15 | #1 |
| benötige hilfe beim worm.win32.netbooster2 hallo allerseits. ich bin neu hier (extra angemeldet) und hab auch nicht soo viel ahnung vom pc. jedenfalls hab ich nun den netbooster2 aufm rechner, und weiss nichtm ehr weiter. ich hab bereits ein wenig vorgearbeitet, anscheinend zwecklos: als erstes hab ich systemwiederherstellung deaktiviert, im abgesicherten modus gestartet und die betroffene datei C://windows/system32/qappsrv.exe gelöscht. einige werden jetzt lachen oder so, aber jaa, es hat nichts gebracht. 2. hab ich spybot sd geladen und durchlaufen lassen, da waren auch etliche einträge die er gelöscht hat. hat aber auch nicht wirklich geholfen. 3. hab ich hier im forum gestöbert und es dann auch mit hijack this probiert und bei einem ähnlichen fall von gestern (mikke) die sachen, die ungefähr gleich waren, markiert und gelöscht. hat aber auch nicht wirklich was gebracht außer das sich jetzt spybot sd durchgehend meldet mit den einträgen omlbpkaw und pmsoarbf, die ich natürlich immer verweigere. wer kann mir hierbei bitte zur seite stehen?? danke und grüße, dermarcy |
16.04.2008, 13:28 | #2 |
| benötige hilfe beim worm.win32.netbooster2 Hallo derMarcy
__________________Willkommen hier an Bord « wende CCleaner an CCleaner « lade bitte Combofix, /Warnmeldung wegklicken) und poste hier in den Report, der erstellt wird. combofix « dann erstelle bitte auch ein Log vom HijackThis - bitte so editieren, dass keine persönlichen Daten miterstellt werden. Hijackthis - deutsche Anleitung «
__________________ |
18.04.2008, 13:31 | #3 |
| benötige hilfe beim worm.win32.netbooster2 hallo,
__________________sorry dass ich mich nicht mehr gemeldet habe. bin aber kurz nachdem ich hier den ersten eintrag verfasst habe ins krankenhaus gekommen und wurd erst heut vormittag entlassen. nunja, ich habe soweit die log dateien. erstma hijjack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:16:50, on 18.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe C:\Programme\Mouse Driver\mouse_2k.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\domino.exe C:\WINDOWS\VMSnap1.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\sistray.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: DVA Storm - {069E8B19-0EAC-45D6-A5B3-A10FF9B69F4C} - C:\WINDOWS\lgmxvpatfbo.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Explorer - {7348D74C-731B-DECE-9F8A-A37D8214708E} - C:\WINDOWS\system32\wlcstp32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {EE01E805-98C8-4D3B-B4E0-24080AADF8C6} - C:\WINDOWS\system32\opnoOEVO.dll (file missing) O2 - BHO: (no name) - {F3AEF888-A3E2-44EB-BD85-F0C85BA7673F} - (no file) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Keyboard driver ] C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe O4 - HKLM\..\Run: [SANSUNMouse ] C:\Programme\Mouse Driver\mouse_2k.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [domino] C:\WINDOWS\domino.exe O4 - HKLM\..\Run: [VMSnap1] C:\WINDOWS\VMSnap1.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [uphkmjpl] C:\WINDOWS\system32\qbipqjsj.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O21 - SSODL: SrvVolume - {f5573aac-a3d2-4fc1-bdc1-ae5ac3073744} - (no file) O21 - SSODL: omlbpkaw - {81B5CFDC-A318-45A8-BAEB-FC258C88B52A} - C:\WINDOWS\omlbpkaw.dll O21 - SSODL: pmsoarbf - {701AAA13-F21E-446C-9B8B-3D0040953843} - C:\WINDOWS\pmsoarbf.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe -- End of file - 8135 bytes und dann combofix: ComboFix 08-04-15.4 - *** 2008-04-18 13:12:44.2 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\***\Desktop\Error Cleaner.url C:\Dokumente und Einstellungen\***\Desktop\Privacy Protector.url C:\Dokumente und Einstellungen\***\Desktop\Spyware&Malware Protection.url C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\***r\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url C:\WINDOWS\rs.txt . ---- Previous Run ------- . C:\Dokumente und Einstellungen\***\Desktop\Error Cleaner.url C:\Dokumente und Einstellungen\***\Desktop\Privacy Protector.url C:\Dokumente und Einstellungen\***\Desktop\Spyware&Malware Protection.url C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url C:\WINDOWS\resources\SrvVolume.dll C:\WINDOWS\rs.txt C:\WINDOWS\system32\efcYPJYp.dll C:\WINDOWS\system32\khfCspMD.dll C:\WINDOWS\system32\OVEOonpo.ini C:\WINDOWS\system32\OVEOonpo.ini2 C:\WINDOWS\system32\pYJPYcfe.ini C:\WINDOWS\system32\pYJPYcfe.ini2 C:\WINDOWS\system32bdn.com C:\WINDOWS\system32hxiwlgpm.dat C:\WINDOWS\system32ssvchost.com C:\WINDOWS\system32taack.dat C:\WINDOWS\system32VBIEWER.OCX . ((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 )))))))))))))))))))))))))))))) . 2008-04-16 15:34 . 2008-04-16 15:34 <DIR> d-------- C:\Programme\CCleaner 2008-04-16 13:22 . 2008-04-16 13:22 <DIR> d-------- C:\Programme\Trend Micro 2008-04-16 12:17 . 2008-04-16 12:42 407 --a------ C:\WINDOWS\wininit.ini 2008-04-16 12:10 . 2008-04-16 15:39 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons 2008-04-16 11:53 . 2008-04-16 11:53 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-04-16 11:53 . 2008-04-16 12:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-04-16 10:41 . 2008-04-16 22:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\izgjmdwt 2008-04-16 10:41 . 2008-04-16 10:07 266,240 --a------ C:\WINDOWS\omlbpkaw.dll 2008-04-16 10:41 . 2008-04-16 10:07 225,280 --a------ C:\WINDOWS\pmsoarbf.dll 2008-04-16 10:41 . 2008-04-16 10:07 217,088 --a------ C:\WINDOWS\lgmxvpatfbo.dll 2008-04-16 10:41 . 2008-04-16 10:07 184,320 --a------ C:\WINDOWS\qtvglped.dll 2008-04-16 10:41 . 2008-04-16 10:07 106,496 --a------ C:\WINDOWS\npqtsrak.exe 2008-04-16 10:41 . 2008-04-16 10:07 81,920 --a------ C:\WINDOWS\rtqmekwg.exe 2008-04-16 10:41 . 2008-04-16 10:41 10,240 --a------ C:\WINDOWS\system32\wlcstp32.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-18 05:22 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2 2008-04-17 10:28 --------- d-----w C:\Programme\Norton AntiVirus 2008-04-17 10:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-03-24 15:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll . ((((((((((((((((((((((((((((( snapshot@2008-04-16_15.48.51.29 ))))))))))))))))))))))))))))))))))))))))) . + 2008-04-17 10:49:55 36,864 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\InfoCockpit.PluginInterface\6.5.0.0__0c48f48b72fcaa42_4d18af69\InfoCockpit.PluginInterface.dll + 2008-04-17 10:49:59 503,808 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\InfoCockpit\6.5.4.24202___4d18af69\InfoCockpit.exe + 2008-04-17 10:49:52 20,480 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\Interop.Notifier\1.0.0.0___4d18af69\Interop.Notifier.dll + 2008-04-17 10:49:53 409,600 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\Interop.WMPLib\1.0.0.0___4d18af69\Interop.WMPLib.dll + 2008-04-17 10:49:58 319,488 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\log4net\1.2.0.30714__b32731d11ce58905_f2f4a50e\log4net.dll + 2008-04-17 10:50:12 10,584,064 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\Microsoft.mshtml\7.0.3300.0__b03f5f7f11d50a3a_8ab14e72\Microsoft.mshtml.dll + 2008-04-17 10:49:51 45,056 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\MsHtmHstInterop\0.0.0.0___4d18af69\MsHtmHstInterop.dll + 2008-04-17 10:49:52 225,280 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\SHDocVw\1.1.0.0___4d18af69\SHDocVw.dll + 2008-04-17 10:49:54 36,864 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\ShockwaveFlashObjects\1.0.0.0___4d18af69\ShockwaveFlashObjects.dll + 2008-04-17 10:49:54 28,672 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\ToUtil\1.1.0.0___4d18af69\ToUtil.dll - 2008-04-16 13:43:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-04-18 05:22:13 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{069E8B19-0EAC-45D6-A5B3-A10FF9B69F4C}] 2008-04-16 10:07 217088 --a------ C:\WINDOWS\lgmxvpatfbo.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7348D74C-731B-DECE-9F8A-A37D8214708E}] 2008-04-16 10:41 10240 --a------ C:\WINDOWS\system32\wlcstp32.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EE01E805-98C8-4D3B-B4E0-24080AADF8C6}] C:\WINDOWS\system32\opnoOEVO.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] "uphkmjpl"="C:\WINDOWS\system32\qbipqjsj.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSPower"="SiSPower.dll" [2006-06-28 21:05 49152 C:\WINDOWS\system32\SiSPower.dll] "SoundMan"="SOUNDMAN.EXE" [2006-06-20 23:42 577536 C:\WINDOWS\soundman.exe] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-01-31 12:56 58728] "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-05-22 07:18 100056] "Keyboard driver "="C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe" [2002-11-29 20:08 65536] "SANSUNMouse "="C:\Programme\Mouse Driver\mouse_2k.exe" [2004-12-21 16:02 253952] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 12:45 63712] "domino"="C:\WINDOWS\domino.exe" [2006-07-04 15:16 49152] "VMSnap1"="C:\WINDOWS\VMSnap1.exe" [2006-07-17 12:27 49152] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 11:04 282624] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "DJSNetCN"="C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe" [2004-09-17 12:10 42648] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] "InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "omlbpkaw"= {81B5CFDC-A318-45A8-BAEB-FC258C88B52A} - C:\WINDOWS\omlbpkaw.dll [2008-04-16 10:07 266240] "pmsoarbf"= {701AAA13-F21E-446C-9B8B-3D0040953843} - C:\WINDOWS\pmsoarbf.dll [2008-04-16 10:07 225280] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= . Inhalt des "geplante Tasks" Ordners "2008-02-15 20:15:57 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - ***.job" - C:\PROGRA~1\NORTON~1\Navw32.exel/task: . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-18 13:15:24 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-18 13:18:27 ComboFix-quarantined-files.txt 2008-04-18 11:18:24 9 Verzeichnis(se), 153,125,175,296 Bytes frei 12 Verzeichnis(se), 153,128,927,232 Bytes frei . 2008-04-09 20:51:46 --- E O F --- ich hoffe auf weitere hilfe und danke reeecht herzlichst!! |
18.04.2008, 15:01 | #4 | |
| benötige hilfe beim worm.win32.netbooster2 derMarcy «« deaktiviere kurzzeitig den Search & Destroy\TeaTimer.exe «« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat:
2. OTMoveIt by OldTimer öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move Code:
ATTFilter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\izgjmdwt C:\WINDOWS\wininit.ini C:\WINDOWS\omlbpkaw.dll C:\WINDOWS\pmsoarbf.dll C:\WINDOWS\lgmxvpatfbo.dll C:\WINDOWS\qtvglped.dll C:\WINDOWS\npqtsrak.exe C:\WINDOWS\rtqmekwg.exe C:\WINDOWS\system32\wlcstp32.dll ----------------------------------------------------------------- «« dann wende bitte Combofix noch mal an + poste den neuen Report + ein neues Log vom hijackThis
__________________ MfG Sabina |
18.04.2008, 21:41 | #5 |
| benötige hilfe beim worm.win32.netbooster2 n´abend allerseits! ich bin deinen anweisungen gfolgt, sabina, und präsentiere hier die 2 neuen log´s: ComboFix 08-04-17.1 - *** 2008-04-18 22:26:07.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.579 [GMT 2:00] ausgeführt von:: E:\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url . ((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 )))))))))))))))))))))))))))))) . 2008-04-18 22:19 . 2008-04-18 22:19 <DIR> d-------- C:\_OTMoveIt 2008-04-16 15:34 . 2008-04-16 15:34 <DIR> d-------- C:\Programme\CCleaner 2008-04-16 13:22 . 2008-04-16 13:22 <DIR> d-------- C:\Programme\Trend Micro 2008-04-16 12:10 . 2008-04-16 15:39 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons 2008-04-16 11:53 . 2008-04-18 22:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-04-16 10:41 . 2008-04-16 10:07 184,320 --a------ C:\WINDOWS\qtvglped.dll 2008-04-16 10:41 . 2008-04-16 10:07 106,496 --a------ C:\WINDOWS\npqtsrak.exe 2008-04-16 10:41 . 2008-04-16 10:07 81,920 --a------ C:\WINDOWS\rtqmekwg.exe 2008-04-16 10:41 . 2008-04-16 10:41 10,240 --a------ C:\WINDOWS\system32\wlcstp32.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-18 20:12 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2 2008-04-17 10:28 --------- d-----w C:\Programme\Norton AntiVirus 2008-04-17 10:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-03-24 15:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll . ((((((((((((((((((((((((((((( snapshot@2008-04-16_15.48.51.29 ))))))))))))))))))))))))))))))))))))))))) . + 2008-04-17 10:49:55 36,864 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\InfoCockpit.PluginInterface\6.5.0.0__0c48f48b72fcaa42_4d18af69\InfoCockpit.PluginInterface.dll + 2008-04-17 10:49:59 503,808 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\InfoCockpit\6.5.4.24202___4d18af69\InfoCockpit.exe + 2008-04-17 10:49:52 20,480 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\Interop.Notifier\1.0.0.0___4d18af69\Interop.Notifier.dll + 2008-04-17 10:49:53 409,600 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\Interop.WMPLib\1.0.0.0___4d18af69\Interop.WMPLib.dll + 2008-04-17 10:49:58 319,488 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\log4net\1.2.0.30714__b32731d11ce58905_f2f4a50e\log4net.dll + 2008-04-17 10:50:12 10,584,064 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\Microsoft.mshtml\7.0.3300.0__b03f5f7f11d50a3a_8ab14e72\Microsoft.mshtml.dll + 2008-04-17 10:49:51 45,056 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\MsHtmHstInterop\0.0.0.0___4d18af69\MsHtmHstInterop.dll + 2008-04-17 10:49:52 225,280 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\SHDocVw\1.1.0.0___4d18af69\SHDocVw.dll + 2008-04-17 10:49:54 36,864 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\ShockwaveFlashObjects\1.0.0.0___4d18af69\ShockwaveFlashObjects.dll + 2008-04-17 10:49:54 28,672 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\ToUtil\1.1.0.0___4d18af69\ToUtil.dll - 2008-04-16 13:43:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-04-18 20:12:25 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSPower"="SiSPower.dll" [2006-06-28 21:05 49152 C:\WINDOWS\system32\SiSPower.dll] "SoundMan"="SOUNDMAN.EXE" [2006-06-20 23:42 577536 C:\WINDOWS\soundman.exe] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-01-31 12:56 58728] "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-05-22 07:18 100056] "Keyboard driver "="C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe" [2002-11-29 20:08 65536] "SANSUNMouse "="C:\Programme\Mouse Driver\mouse_2k.exe" [2004-12-21 16:02 253952] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 12:45 63712] "domino"="C:\WINDOWS\domino.exe" [2006-07-04 15:16 49152] "VMSnap1"="C:\WINDOWS\VMSnap1.exe" [2006-07-17 12:27 49152] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 11:04 282624] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "DJSNetCN"="C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe" [2004-09-17 12:10 42648] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] "InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128] C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\ OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 23:57:56 393216] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe [2007-05-21 20:59:50 262144] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "pmsoarbf"= {29365FAF-E8C9-4F65-9242-EBBF43AC7C4C} - C:\WINDOWS\pmsoarbf.dll [ ] "omlbpkaw"= {2B74C03B-E718-41BD-9C1F-5B7D10BA3525} - C:\WINDOWS\omlbpkaw.dll [ ] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-08-03 17:34] S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46] . Inhalt des "geplante Tasks" Ordners "2008-04-18 20:06:47 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - ***.job" - C:\PROGRA~1\NORTON~1\Navw32.exel/task: . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-18 22:27:21 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-18 22:29:37 ComboFix-quarantined-files.txt 2008-04-18 20:29:09 10 Verzeichnis(se), 153,128,325,120 Bytes frei 13 Verzeichnis(se), 153,118,056,448 Bytes frei . 2008-04-09 20:51:46 --- E O F --- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:31:18, on 18.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe C:\Programme\Mouse Driver\mouse_2k.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\domino.exe C:\WINDOWS\VMSnap1.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\sistray.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Keyboard driver ] C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe O4 - HKLM\..\Run: [SANSUNMouse ] C:\Programme\Mouse Driver\mouse_2k.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [domino] C:\WINDOWS\domino.exe O4 - HKLM\..\Run: [VMSnap1] C:\WINDOWS\VMSnap1.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O21 - SSODL: pmsoarbf - {29365FAF-E8C9-4F65-9242-EBBF43AC7C4C} - C:\WINDOWS\pmsoarbf.dll (file missing) O21 - SSODL: omlbpkaw - {2B74C03B-E718-41BD-9C1F-5B7D10BA3525} - C:\WINDOWS\omlbpkaw.dll (file missing) O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe -- End of file - 7233 bytes soo, das wars. ich kann immer wieder nur danke sagen!! |
18.04.2008, 23:09 | #6 | |
| benötige hilfe beim worm.win32.netbooster2 Hallo, das hat nicht funktioniert 1. fixe mit hijackThis Zitat:
GV Killer Doppelklick GV-Killer und TextEditor wird sich öffnen kopiere das Unterstehende rein: Code:
ATTFilter C:\WINDOWS\qtvglped.dll C:\WINDOWS\npqtsrak.exe C:\WINDOWS\rtqmekwg.exe C:\WINDOWS\system32\wlcstp32.dll input.txt - Speichern Klicke "Kill on reboot" und lass den Rechner neu starten ------------- 3. wende rvaxo im abgesicherten Modus an + poste den report RVAXO 4. Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" 5. scanne, lasse alles gefunde entfernen + poste den report Malwarebytes Anti-Malware 6. lade combofix neu + poste den report combofix «
__________________ --> benötige hilfe beim worm.win32.netbooster2 |
26.04.2008, 14:06 | #7 |
| benötige hilfe beim worm.win32.netbooster2 hallo leute, tut mir leid, aber die ganze chose hat sich erledigt... vadder hat den ganzen pc neu aufgesetzt, war ja immerhin auch seiner :-D naja, jedenfalls vielen herzlichen dank!! :aplaus: |
Themen zu benötige hilfe beim worm.win32.netbooster2 |
abgesicherten, abgesicherten modus, ahnung, angemeldet, datei, deaktiviert, einträge, ellung, forum, gestartet, hijack, hijack this, lache, lachen, modus, netbooster, neu, nichts, rechner, sache, sachen, seite, spybot, systemwiederherstellung, this, wirklich, worm.win32.netbooster |