hallo,ich habe seit etwa einer Woche den Wurm Francette .L.1 bei mir zu Gast und werde ihn nicht mehr los. Beim Hochfahren meldet mir "Anti Vir" den Wurm und er wird dann von mir gelöscht. Der Computer kann nicht richtig runtergefahren werden.In der registry ist keiner der beiden bekannten Einträge vorhanden.Übrigens, Betriebssystem ist Windows 200. Kann jemand helfen??

Scanne mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste evtl. noch ein HijackThis-Log: http://filepony.de/download-hijackthis/

hallo zusammen,
schön das ich nicht die einzige bin die sich mit francette herumschlägt.

ich habe xp, mein antivir findet bei jedem start den wurm, kann ihn aber nicht löschen, und ich kann meinen rechner nicht mehr herunterfahren, nur wenn ich aus meinem profil herausgehe und dann vom willkommen-bildschirm aus herunterfahre - soweit zum problem!

hab alle eure guten tipps gelesen, bin mir aber nun nicht sicher wie das mit dem escan funktioniert.
kommt der sich irgendwie mit dem antivir in die quere und muss ich dieses dann deaktivieren?
und wie kann ich im abgesicherten modus das programm ausführen?
sorry, aber ich bin in solchen fragen überhaupt nicht versiert...
hoffe mir kann jemand helfen!!

grüße, juli

Hi Juli,

schau dir mal diesen Link an, da ist E-Scan erklärt:

http://www.trojaner-board.de/42731-escan-anleitung.html

Im abgesicherten Modus musst du Antivir auch nicht deaktivieren, da ist es automatisch nicht geladen, dürfte sich aber auch im normalen nicht mit E-Scan in die Quere kommen.

danke dir, das probier ich gleich mal aus!!

viiiielen dank MountainKing,
die wurmkur scheint geklappt zu haben!
das e-scan hat einiges gefunden und wohl auch erfolgreich eliminiert, denn: ich kann wieder ganz normal herunterfahren!!

ist das eigentlich schlimm, wenn einige virenbefallene dateien nicht gelöscht, sondern nur umbenannt werden konnten?
und was genau bringt "hijackthis"? das hab ich irgendwie nicht so ganz nachvollziehen können...

aber danke erstmal fürs schnelle helfen,
juli

ich bekam von AntiVir nach dem hochfahren die mitteilung, dass Francette.L gefunden wurde.

christians ratschlag (escan im abgesicherten modus) habe ich befolgt und erhalte nun beim hochfahren keine meldung mehr.

hier die funde von escan:

File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\32RUNdll.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\syshost.exe infected by "Worm.Win32.Francette.n" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Wendeline\Desktop\erledigen\Pocket PC\Entfernprogramm für überflüssige Dateien für Pocket PC.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE infected by "not-a-virus:AdvWare.Toolbar.MyWay.b" Virus. Action Taken: File Renamed.
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL infected by "not-a-virus:AdvWare.Toolbar.MyWay.e" Virus. Action Taken: File Renamed.
File C:\Wendelines Programme\AVPersonal\INFECTED\LOL.DLL.001 infected by "TrojanSpy.Win32.Small.q" Virus. Action Taken: File Deleted.
File C:\Wendelines Programme\AVPersonal\INFECTED\LOL.DLL.002 infected by "TrojanSpy.Win32.Small.q" Virus. Action Taken: File Deleted.
File C:\Wendelines Programme\AVPersonal\INFECTED\LOL.DLL.VIR infected by "TrojanSpy.Win32.Small.q" Virus. Action Taken: File Deleted.
File C:\WINDOWS\browserxtras\pn\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted.

und hier die log-datei von hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 20:25:18, on 19.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Wendeline\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\WENDEL~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [strtfx] "C:\Wendelines Programme\Telekom\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Wendelines Programme\Telekom\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Wendelines Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Wendelines Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: LAN-Verbindung 2.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\WENDEL~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\WENDEL~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

ich habe keinen blassen schimmer ob mein problem nun beseitigt ist oder ob sich aus dem für mich unverständlichen kauderwelsch oben ergibt, dass alles noch viiiel schlimmer ist als es zu beginn aussah...

SOS ! was soll ich tun?

Zuerst besuche www.windowsupdate.com und installiere dir alle Patches und Updates.

Dies ist min. zu fixen:
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.b
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Zitat:

Zitat von *Christian*

Zuerst besuche www.windowsupadate.com und installiere dir alle Patches und Updates.

Dies ist min. zu fixen:
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.b
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

auf der seite gibt es massenweise links zu anderen seiten... meintest du nicht eher www.windowsupdate.de?

und was ist "fixen"? ich versteh leider nur bahnhof...

Der richtige Link ist www.windowsupdate.com das war ein Tippfehler. Oder du gehst einfach im IE auf Extras/Windows Update,

Fixen bedeutet, dass du in Hujackthis vor den entsprechenden Eintrag ein Häkchen machst und danach auf "Fix checked" klickst.

vielen Dank !!!!!!!! der scan im abges. Modus hat gereicht!!
Gruß Tom

Du solltest trotzdem sicherheitshalber ein log erstellen und posten oder wenigstens mal in der automatischen Auswertung nachschauen www.hijackthis.de Falls da *nicht grüne*-Einträge drin sind, das log hier posten

Hi, bei mir hat sich dieser blöde virus ebenfalls eingeschliechen, das mit dem abgesichtern modus hab ich ebenfalls getan, ich benutze AntiVir, er wurde auch gelöscht doch als ich wieder ins normale windows zurückkehrte war er wieder da, was soll ich nur tun

Zitat:

Scanne mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste evtl. noch ein HijackThis-Log: http://filepony.de/download-hijackthis/
14.08.2004 12:50

Die Vorgehensweise hatte *Christain* schon beschrieben!
Deine Informationen sind etwas dürftig.

Wo wurde dieser Wurm Francette .L.1 gefunden?

der virus wurde in system32 gefunden, die datei heisst lol.dll !
hier der Log:

Logfile of HijackThis v1.98.2
Scan saved at 21:25:27, on 16.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM\winlogon.exe
C:\WINDOWS\System32\msnmsg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\pixel\LOKALE~1\Temp\Rar$EX00.828\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Local Service] runddl32.exe
O4 - HKLM\..\Run: [msn] msnmsg.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\RunServices: [Local Service] runddl32.exe
O4 - HKLM\..\RunServices: [msn] msnmsg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Local Service] runddl32.exe
O4 - HKCU\..\Run: [msn] msnmsg.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{0499D777-84D3-4929-A0DB-6B2FF05F8A23}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0499D777-84D3-4929-A0DB-6B2FF05F8A23}: NameServer = 217.237.151.225 194.25.2.129