I-Worm.klez.h

TrojanerBeginner · 02.11.2004, 15:01

Hi, mein Freund hat leider eine email geöffnet.

Symptome: Der IE stellt sich immer auf eine neue Startseite um und die Skriptblockierung im Norton Antivirus wurde irgendwie verändert, Outlook funktioniert zwar, aber um Internetseiten zu öffnen muss man die Firewall deaktivieren

Nach einer kleinen Suche im Internet bin ich auf dieses Tool gestoßen:
Link: http://www.mwti.net/antivirus/free_utilities.asp)http://www.mwti.net/antivirus/free_utilities.asp

Dieses hat den I-Worm.Klez.h gefunden und laut log auch beseitigt.
Ich habe noch mal wie im Internet häufig beschrieben Windows vom Internet getrennt, im abgesicherten Modus gestartet und ein scan drüber laufen lassen. Dieser scan ergab keine anzeichen mehr für I-Worm, leider funktioniert Firewall + Internet noch nicht, die Skiptblockierung des Antivirus ist noch blockiert und die Startseite verändert sich immer noch.

Hat jemand eine Idee oder Tools. Die die Wewehchen des Virus beenden, bzw noch jemand eine Idee an was es noch liegen könnte. Weitere Viren oder rojaner hat kein Scan gefunden.

Vielen Dank
Kind regards

Haui45 · 02.11.2004, 15:30

Erstell mal bitte ein HijackThis Logfile und kopiere es ins Forum.

TrojanerBeginner · 02.11.2004, 17:02

Sorry das es so lange gedauert hat, aber ich konnte mit meinem Account die letzte Zeit nicht antworten.

Logfile of HijackThis v1.98.2
Scan saved at 16:02:32, on 02.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\ahead\InCD\InCD.exe
C:\WINDOWS\System\adtool.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Matze\LOKALE~1\Temp\Temporäres Verzeichnis 1 für
hijackthis1982[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.aomi.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.extrem-sex.info/gratisano2/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
http://www.aomi.info
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} -
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} -
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System\adtool.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet
Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Matze\LOKALE~1\Temp\mwavscan.com"
/s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search -
res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite -
{B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Ne Idee???

Danke

02.11.2004, 20:53

Lösche die Datei C:\WINDOWS\System\adtool.exe im abg. Modus.

Dann fixe dies mit HijackThis:

O4 - HKLM\..\Run: [System] C:\WINDOWS\System\adtool.exe

Ansonsten schaut es sauber aus.

TrojanerBeginner · 03.11.2004, 19:54

Hi,
danke,
werde es morgen gleich mal ausprobieren, heute kam ich leider nicht mehr zu ihm und der Remote-Zugriff fehlt noch.

Ich hoffe das löst die Probleme sonst versuche ich es wohl mit einer Neuinstallation, schadet wahrscheinlich auch nicht ihn mal wieder richtig aufzuräumen.

Thanks
Kind Regards

TrojanerBeginner · 08.11.2004, 13:40

Hi

Hat alles geklappt und funktioniert seitdem ohne Fehler.

Danke für die Hilfe

02.11.2004, 20:53	#4
Christian Gast	I-Worm.klez.h Lösche die Datei C:\WINDOWS\System\adtool.exe im abg. Modus. Dann fixe dies mit HijackThis: O4 - HKLM\..\Run: [System] C:\WINDOWS\System\adtool.exe Ansonsten schaut es sauber aus.

I-Worm.klez.h

Plagegeister aller Art und deren Bekämpfung: I-Worm.klez.h

I-Worm.klez.h

I-Worm.klez.h

I-Worm.klez.h

I-Worm.klez.h

I-Worm.klez.h

I-Worm.klez.h

Ähnliche Themen: I-Worm.klez.h

02.11.2004, 15:30	#2
Haui45	I-Worm.klez.h Erstell mal bitte ein HijackThis Logfile und kopiere es ins Forum. __________________

03.11.2004, 19:54	#5
TrojanerBeginner	I-Worm.klez.h Hi, danke, werde es morgen gleich mal ausprobieren, heute kam ich leider nicht mehr zu ihm und der Remote-Zugriff fehlt noch. Ich hoffe das löst die Probleme sonst versuche ich es wohl mit einer Neuinstallation, schadet wahrscheinlich auch nicht ihn mal wieder richtig aufzuräumen. Thanks Kind Regards

08.11.2004, 13:40	#6
TrojanerBeginner	I-Worm.klez.h Hi Hat alles geklappt und funktioniert seitdem ohne Fehler. Danke für die Hilfe