|
Probleme bei nideiect.com (amvo.exe) Beseitigung Hallo, mein Notebook (WinXP) hat sich nen netten Wurm eingefangen und ich versuch schon die ganze Nacht erfolglos ihn wieder los zu werden... ich kann keine versteckten files sehen und wenn man einen USB Stick ansteckt wird sofort ein fenster geöffnet und es werden darauf 2 dateien angelegt: nideiect.com und ein autostart datei Der Wurm hat Antivir und Zonealarm ausgeschaltet hab schon alle möglichen anleitungen ausm netzt befolgt, aber irgendwas hat nie gestimmt (zB fehlt mir im Regestry der HIDDEN folder) Ich bitte um Hilfe, da ich echt nicht mehr weiter weiß habs jetzt doch geschafft hijackthis zu installieren hier ist die logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 06:58:01, on 14.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\agrsmsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\system32\mqtgsvc.exe C:\Programme\HPQ\IAM\bin\asghost.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutorunsDisabled O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunCasino.exe (file missing) O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunCasino.exe (file missing) O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.hp.com O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - h**ps://components.viewpoint.com/MTSInstallers/MetaStream3.cab O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///E:/components/hidinputmonitorx.ocx O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///E:/components/A9.ocx O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: MSCamSvc - Unknown owner - C:\Programme\Microsoft LifeCam\MSCamS32.exe (file missing) O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\Windows\system32\ZoneLabs\vsmon.exe (file missing) -- End of file - 7898 bytes So ich geh jetzt schlafen - hab keine Lust mehr auf den Sch**ß Ich hoffe auf Hilfe und sag jetzt schon mal Danke an jeden, der es sich zumindest angesehen hat |
Hi, leider hast du im falschen Unterforum gepostet, aber ich denke man wird es verschieben. ;) Zu deinem Problem: Zitat:
Hast du was aus dem Internet installiert, oder einen fremden USB-Stick angeschlossen? Zitat:
Zitat:
Der Guard ist noch nicht gelöscht, aber ZoneAlarm: Zitat:
Zitat:
mfg |
Danke für die Antwort. So laut Virustotal: autorun.inf=TP/PSW.Nilag.bvl.1 nideiect.com=HLDRRR.EXE.Muestra_EliBagle_v116 Ich hab ein Programm von einem USB-Stick installiert (wurde aber vorher von Antivir mit neuster Virendefinition durchgecheckt (ohne was zu finden)). AV und ZoneAlarm wurden nach der installation vom virus/wurm ausgeschalten und AntiVir lässt sich nicht mehr starten - da krieg ich folgende Fehlermeldung: "C:\Programme\Antivir PersonalEdition Classic\avcenter.exe ist keine zulässige Win32-Anwendung." Das Programm lässt auch keine Programme installieren und im abgesicherten Modus krieg ich nen Bluescreen. Und zur Neuinstallation hab ich mich auch schon entschlossen...Irgendwelche Tipps? Hab zu Antivir kein Vertrauen mehr *edit: hier der Text der Autorun.inf: [AutoRun} open=nideiect.com ;shell\open=Open(&O) shell\open\Command=nideiect.com shell\open\Default=1 ;shell\explore=Manager(&X) shell\explore\Command=nideiect.com |
Zitat:
In Zukunft kannst du dich mit einem Image-Programm wie Acronis True Image auseinandersetzen, dann kannst du in so einem extremen Fall wie diesem hier ein sauberes Image drüberspielen und ersparst dir ein Neuaufsetzen, was wesentlich länger dauert. Zitat:
Eignet sich auch zum gelegentlichen Scannen, wenn du auf einen installierbedürftigen Scanner verzichten willst. Ich hoffe, das hast du so in der Art gemeint. ;) mfg Edit: Zitat:
|
Ja, ist ein Bagle... Ich hab eh eine Sicherung mit der WindowsCD auf der der großteil der Software und Windows updates schon integriert sind, nur die CD liegt ungefhär 130 km entfernt... Naja wurde eh Zeit den PC mal wieder aufzusetzen Das Programm war photozoom 2 |
Ok, kannst du die Virustotalergebnisse trotzdem posten? Bzgl. der nideiect.com. mfg |
aber sicher doch: hier mal die autorun.inf: MD5: 4ffff6724a4956aa6e5c4d4fe759b430 First received: 2008.04.05 20:11:05 (CET) Datum 2008.07.12 02:11:08 (CET) [>33D] Ergebnisse 23/33 Permalink: analisis/96fa75d9b9ea52b621def1706a3a17bb Virustotal. MD5: 4ffff6724a4956aa6e5c4d4fe759b430 Generic!atr Trojan-PSW.Win32.Nilage.bvl INF/Autorun Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - TR/PSW.Nilage.bvl.1 Authentium - - IS/Autorun.P Avast - - INF:AutoRun-P AVG - - - BitDefender - - Trojan.Autorun.UA CAT-QuickHeal - - - ClamAV - - - DrWeb - - Win32.HLLW.Autoruner.1020 eSafe - - - eTrust-Vet - - INF/Rolepi Ewido - - Trojan.Nilage.bvl F-Prot - - IS/Autorun.P F-Secure - - Trojan-PSW.Win32.Nilage.bvl Fortinet - - - GData - - Trojan-PSW.Win32.Nilage.bvl Ikarus - - Trojan-PWS.Win32.Nilage.bvl Kaspersky - - Trojan-PSW.Win32.Nilage.bvl McAfee - - Generic!atr Microsoft - - Worm:Win32/Taterf!inf NOD32v2 - - INF/Autorun Norman - - BAT/AutoRun.AE Panda - - Trj/Lineage.GQI Prevx1 - - - Rising - - - Sophos - - W32/Bagle-TT Sunbelt - - INF.Autorun (v) Symantec - - - TheHacker - - Trojan/Small.autorun TrendMicro - - Mal_Otorun1 VBA32 - - - VirusBuster - - INF.Autorun.Gen Webwasher-Gateway - - Trojan.PSW.Nilage.bvl.1 weitere Informationen MD5: 4ffff6724a4956aa6e5c4d4fe759b430 SHA1: 4ecc1754b78cb5b5dc9f4310341293b207b92057 SHA256: 11eaf5bef6dcbc527e433efeff6e5034fc934338823e4844263e6b1bc6f7c309 SHA512: 85f61ed0b1032bae67accecdbe997d3fb228dbeb8e8a5e8f0538e3474b2db38e6233f08e37efa50b4a59ddb616b130d6afecaee0560c5b63c332cda3c25b6fae |
und die nideiect.com MD5: dba79e0ef26bbb30dec7a1c8528cf081 First received: 2008.08.13 15:41:10 (CET) Datum 2008.08.14 16:19:21 (CET) [<1D] Ergebnisse 15/34 Permalink: analisis/803db4db36ab37c2fa1a9d602ae73b30 http://www.virustotal.com/de/analisis/803db4db36ab37c2fa1a9d602ae73b30 Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - TR/Dldr.Bagle.YB Authentium - - W32/Heuristic-THX!Eldorado Avast - - Win32:Trojan-gen {Other} AVG - - - BitDefender - - Trojan.Downloader.Bagle.JS CAT-QuickHeal - - (Suspicious) - DNAScan ClamAV - - PUA.Packed.Themida DrWeb - - - eSafe - - - eTrust-Vet - - - Ewido - - - F-Prot - - W32/Heuristic-THX!Eldorado Fortinet - - W32/Bagle.VV!tr.dldr GData - - Trojan-Downloader.Win32.Bagle.yb Ikarus - - Trojan-Downloader.Win32.Bagle.yb K7AntiVirus - - - Kaspersky - - Trojan-Downloader.Win32.Bagle.yb McAfee - - - Microsoft - - - NOD32v2 - - - Norman - - - Panda - - - PCTools - - Packed/Themida Rising - - - Sophos - - Mal/Behav-285 Sunbelt - - - Symantec - - - TheHacker - - - TrendMicro - - - VBA32 - - - ViRobot - - - VirusBuster - - Packed/Themida Webwasher-Gateway - - Trojan.Dldr.Bagle.YB weitere Informationen MD5: dba79e0ef26bbb30dec7a1c8528cf081 SHA1: 0af256943946a6bd107eb4f6447e0c23809fb03b SHA256: a79392f8ba98e3b40905e38ed337d5e3c40596cb2c112f41ebd2e8dd0c6f5335 SHA512: 753cc3a454df55ae4d75749ba78c6f4ac4c6557528da8b33f00f0d8a89b449c11230743db8a8271ff98cd7fa07a9d9f2b6a9f17932d34c6726e9e7697d40112a |
Okay, der Fall bzgl. der autorun.inf ist klar, der Rest ergibt sich durch die .com-Datei. ;) Edit: Die Erkennung der AV-Programme ist nicht zufriedenstellend, scheint wohl das Werk eines lustigen Scriptkiddies zu sein, einen Bagle mit der autorun.inf zu versetzen. Wenn du die nideiect.com noch hast, packe sie in ein ZIP-Archiv (am besten passwortgeschützt; Passwort = abc) und sende sie an meine Emailaddresse (siehe Profil). In den nächsten Tagen kann ich dir dann näheres zu der Datei sagen. Und noch was: Egal von wem du den USB-Stick hast, bzw. wem du ihn ausgeliehen hast oder von dem du dieses "Programm" erhalten hast, dem würd ich mal links und rechts eine watschen. :D mfg |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board