| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hilfe!!! Schon wieder infiziert???Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.11.2004, 13:14
| #1 |
 |  Hilfe!!! Schon wieder infiziert??? Hallo! Seit Tagen werden wir mit Mail von Fremden beschossen! Wie es scheint, haben wir uns da was eingefangen, denn wir haben auch unwillkürlich Mails versendet! Wer kann mir wie helfen? Liebe Grüße Leni  |
|
23.11.2004, 13:22
| #2 | ||
| Moderator, a.D.   |  Hilfe!!! Schon wieder infiziert??? Erstmal: Tief durchatmen, keine Panik!
__________________ Zitat:
Zitat:
Ein Scan mit einem aktuellen AV-Programm kann natürlich nicht schaden. Gruß  Yopie |
|
23.11.2004, 13:24
| #3 |
 | Hilfe!!! Schon wieder infiziert??? Ja, ein wenig dünn die Info, hört sich nach einem Mail-Worm an, poste mal ein HJT.
__________________Liebe Grüße, Charlie Nachtrag; da war wer schneller!
__________________ |
|
23.11.2004, 14:13
| #4 |
| | Hilfe!!! Schon wieder infiziert??? Danke erst einmal. Aber ich benötige ine Schritt-für-Schritt-Erklärung, da ich nicht so fit bin am PC. Warum ich glaube, dass wir Mails versenden? Mein Mann hat im Büro eine Mail erhalten, die einen Verteiler hat, der ein Bekannter von uns ist und uns manchmal Mails sendet. Es war ja nur ´ne Vermutung. Wie gehe ich jetzt vor? Gruß und Danke LENI |
|
23.11.2004, 15:01
| #5 |
| | Hilfe!!! Schon wieder infiziert??? HijackThis Logfile erstellen und ins Forum kopieren. eScan im abgesicherten Modus laufen lassen und posten was gefunden wurde (falls was gefunden wird). |
|
24.11.2004, 10:22
| #6 |
| | Hilfe!!! Schon wieder infiziert??? und jetzt???? Logfile of HijackThis v1.97.7 Scan saved at 19:14:18, on 23.11.2004 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\WINDOWS\SYSTEM\Winmodem.101\wmexe.exe C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PQSC\PROGRAM\SCTRAY.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\WINDOWS\DIT.EXE C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\NETSCAPE.EXE C:\PROGRAMME\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SecondChance] C:\PQSC\PROGRAM\SCTRAY.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [dit] dit.exe O4 - HKLM\..\RunServices: [Winmodem] Winmodem.101\wmexe.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE" O4 - Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .scr: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/sa/commo.../bin/cabsa.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/nav/comm...in/avsniff.cab O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...852.0579050926 O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab |
|
24.11.2004, 12:51
| #7 |
| | Hilfe!!! Schon wieder infiziert??? @leni bitte den aktuellen version http://www.hijackthis.de/ und nach möglichkeit ein freundlichere schriftart wählen  chaosman
__________________ Bonus vir semper tiro |
|
24.11.2004, 14:08
| #8 |
| | Hilfe!!! Schon wieder infiziert??? download hat funktioniert. Aber sie öffne ich die zip-datei????? |
|
24.11.2004, 14:23
| #9 |
| | Hilfe!!! Schon wieder infiziert??? Also DOCH! Ich habe niemals eine Mail dorthin versendet! Ich habe gerade folgende Mail erhalten. Wie lösche ich den Virus???? VIRUS ALERT Our virus checker found virus: W32/Netsky.p@MM in your email to the following recipient: -> m1.hotline@compugroup.com Delivery of the email was stopped! Please check your system for viruses, or ask your system administrator to do so. For your reference, here are headers from your email: ------------------------- BEGIN HEADERS ----------------------------- Received: from compugroup.com (p508DC22F.dip0.t-ipconnect.de [80.141.194.47]) by SMXKO1.compugroup.com (Postfix on SuSE Linux 8.0 (i386)) with ESMTP id 94DB262AED for <m1.hotline@compugroup.com>; Tue, 23 Nov 2004 11:00:54 +0100 (CET) From: birgit.chulek@web.de To: m1.hotline@compugroup.com Subject: Date: Tue, 23 Nov 2004 10:51:14 +0100 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_0016----=_NextPart_000_0016" X-Priority: 3 X-MSMail-Priority: Normal Message-Id: <20041123100054.94DB262AED@SMXKO1.compugroup.com> -------------------------- END HEADERS ------------------------------ Received: from compugroup.com (p508DC22F.dip0.t-ipconnect.de [80.141.194.47]) by SMXKO1.compugroup.com (Postfix on SuSE Linux 8.0 (i386)) with ESMTP id 94DB262AED for <m1.hotline@compugroup.com>; Tue, 23 Nov 2004 11:00:54 +0100 (CET) From: birgit.chulek@web.de To: m1.hotline@compugroup.com Subject: Date: Tue, 23 Nov 2004 10:51:14 +0100 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_0016----=_NextPart_000_0016" X-Priority: 3 X-MSMail-Priority: Normal Message-Id: <20041123100054.94DB262AED@SMXKO1.compugroup.com> |
|
24.11.2004, 20:18
| #11 |
| | Hilfe!!! Schon wieder infiziert??? Ich gehe über BERGNET ins Internet. Sorry für die doppelte Frage! Wie gehe ich jetzt mit der zip-datei weiter? gruß leni |
|
24.11.2004, 21:06
| #12 |
| Moderator, a.D. | Hilfe!!! Schon wieder infiziert??? Die Zip-Datei entpackst Du mit einem Zip-Programm wie z.B. 7-Zip http://www.7-zip.org/ oder Winzip http://www.winzip.de/ Dann die enthaltene Exe in einen neuen Ordner entpacken und ausführen. Stinger kannst Du so laufen lassen. Eine Infektion würde Dir angezeigt. Bzgl. des Providers kann ich Dir leider noch keine Entwarnung geben. Der Wurm wurde imho von einem T-DSL-Anschluß versandt (IP 80.141.194.47) , und den habt ihr ja auch bei Bergnet. Lass am besten den Stinger laufen, dann hast Du Gewissheit. Gruß Yopie |
|
24.11.2004, 21:56
| #13 |
| | Hilfe!!! Schon wieder infiziert??? was würde stinger melden? das? cAfee AVERT Stinger Version 2.4.5.1 built on Nov 19 2004 Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved. Virus data file v1000 created on Nov 19 2004. Ready to scan for 45 viruses, trojans and variants. Scan initiated on Wed Nov 24 20:37:25 2004 Number of clean files: 97999 |
|
24.11.2004, 22:18
| #14 |
| | Hilfe!!! Schon wieder infiziert??? hier noch die meldung von hijack: Logfile of HijackThis v1.98.2 Scan saved at 22:26:30, on 24.11.2004 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\WINDOWS\SYSTEM\Winmodem.101\wmexe.exe C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\PQSC\PROGRAM\SCTRAY.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\WINDOWS\DIT.EXE C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\NETSCAPE.EXE C:\PROGRAMME\WINZIP\WZQKPICK.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SecondChance] C:\PQSC\PROGRAM\SCTRAY.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [dit] dit.exe O4 - HKLM\..\RunServices: [Winmodem] Winmodem.101\wmexe.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE" O4 - Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .scr: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/sa/commo.../bin/cabsa.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/nav/comm...in/avsniff.cab O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
|
24.11.2004, 22:21
| #15 |
| Moderator, a.D. | Hilfe!!! Schon wieder infiziert??? Eine evtl. Infektion mit Netsky.P hätte Dir Stinger gemeldet: Das hätte dann so ähnlich wie hier ausgesehen: C:\Dokumente und Einstellungen\Yopie\Anwendungsdaten\Mozilla\Profiles\default\oecggqbn.slt\Mail\Local Folders\Ablage.sbd\Malware.sbd\Netsky.P\message.scr Found the W32/Netsky.p@MM virus !!! Wenn keine solche Meldung kam, dann kannst Du eine Infektion mit Netsky und den anderen Würmern, die Stinger erkennt, auf Deinem Rechner ausschließen. ACHTUNG: Stinger löscht in der Default-Einstellung sofort. Mir hat er dabei einige Mailordner meiner "Wurmfarm" in die ewigen Jagdgründe geschickt. Naja, selbst schuld....  Gruß Yopie |
|
| Themen zu Hilfe!!! Schon wieder infiziert??? |
| eingefangen, fremde, fremden, gefangen, helfen, heulen, hilfe, hilfe!, hilfe!!, hilfe!!!, infiziert, infiziert?, mail, mails, schei, tagen, versendet, willkürlich |
Linear-Darstellung
