![]() |
worm.win32.netsky bekomm ihn nicht weg hallo hab seit 2 tagen das Problem, was hier auch ölfters geschildert wurde. nach dem neustart sind 3 dateien auf meinem desktop: error cleaner, privecy protector und spyware&maleware protector. dann kommen immerwieder aufforderungen, dass ich irgendwelche sicherheitssoftware downloaden soll und in der taskleiste, dei der uhr, blink ein roter button mit nem weißen kreuz... solche späße halt. es kam auch die meldung, dass ich den worm.win32.skynet hab. hab den daraufhin dann gegooglet und gelesen, dass man ihn mit virusfinder löschen kann...denkste :headbang: naja gestern abend war er weg, nachdem ich spybot und virusfinder 2-3 mal laufen lassen habe und abschließen antivir ( da fand er 42 würmer!!!) ; auch nach diversen neustarts. heute morgen dann war alles beim alten -> 3 datein aufn desktop+ diverse aufforderungen zum software download... ich brauch dringend hilfe!!:heulen: hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:37:41, on 13.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE C:\VIRUSfighter\Npm\Bin\Zanda.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe C:\WINDOWS\system32\CTsvcCDA.exe c:\Programme\LRZ VPN Client\cvpnd.exe c:\programme\mcafee.com\agent\mcdetect.exe c:\PROGRA~1\mcafee.com\agent\mctskshd.exe C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\VIRUSfighter\Npm\bin\NJEEVES.EXE C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\VIRUSfighter\Npm\bin\ZLH.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\VIRUSfighter\Nvc\BIN\NIP.EXE C:\Programme\Opera\Opera.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Personalisierte Startseite R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Dell-Suchseite R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Dell-Suchseite R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UltimateCleaner 2007 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dell Deutschland -Startseite - Computer, Computerausrüstung, Elektronik und Service. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dell Deutschland -Startseite - Computer, Computerausrüstung, Elektronik und Service. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Dell-Suchseite R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = Personalisierte Startseite O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) O3 - Toolbar: etlrlws - {1CCD29F9-75D8-4D7E-8E93-BCBF1AA6C86A} - C:\WINDOWS\etlrlws.dll (file missing) O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\Npm\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...1/mcinsctl.cab O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - studiVZ | Bist Du schon drin? O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pu...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3C622955-9B5D-45D3-97FF-A668781676C0}: NameServer = 192.168.178.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: altvxvm - {40620C64-D0C9-4A7C-B683-1DB14BB76B42} - C:\WINDOWS\altvxvm.dll O21 - SSODL: bokpkov - {6D42F095-C722-43F4-95DE-66ECEA8A346F} - C:\WINDOWS\bokpkov.dll O21 - SSODL: AlrtKernel - {167f24cc-7d21-443d-9c16-d4d38a43682e} - C:\WINDOWS\Installer\{167f24cc-7d21-443d-9c16-d4d38a43682e}\AlrtKernel.dll (file missing) O21 - SSODL: zip - {f3973e9b-1745-46d1-b3cc-e4f51ad8f8c3} - C:\WINDOWS\Installer\{f3973e9b-1745-46d1-b3cc-e4f51ad8f8c3}\zip.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\Npm\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Norman ASA - C:\VIRUSfighter\Npm\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm -- End of file - 11066 bytes |
kann mir denn keiner helfen??? |
Folgende Dateien bitte bei Virustotal.com hochladen und vollständige Ergbenisse hier posten: C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\VIRUSfighter\Npm\bin\NJEEVES.EXE C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE C:\VIRUSfighter\Npm\bin\ZLH.EXE C:\VIRUSfighter\Nvc\BIN\NIP.EXE O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) --->Mit HiJackThis fixen! Unbekannt O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe O21 - SSODL: altvxvm - {40620C64-D0C9-4A7C-B683-1DB14BB76B42} - C:\WINDOWS\altvxvm.dll O21 - SSODL: bokpkov - {6D42F095-C722-43F4-95DE-66ECEA8A346F} - C:\WINDOWS\bokpkov.dll O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm Danach im Windowx Explorer folgendes machen: >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. 1. Lade das filelist.zip auf deinen Desktop herunter. 2. entpacke die Zip-Datei auf deinen Desktop (kostenlose Zip-Tools) 3. starte deinen Rechner neu auf 4. öffne die nun auf deinem Desktop vorhandene filelist.bat mit einem Doppelklick auf die Datei 5. dein Editor (Textverarbeitungsprogramm) wird sich öffnen 6. markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien deinem nächsten Beitrag an * Ein dickes Dankeschön an unseren Moderator Karl83 für die filelist.bat (Anleitung) Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: C:\ C:\WINDOWS\System32 C:\WINDOWS C:\WINDOWS\Prefetch C:\WINDOWS\tasks C:\WINDOWS\Temp C:\DOCUME~1\Name\LOCALS\~1\Temp 3. Poste noch bitte die andere Scan-Ergebnisse auch Wir werden es genau so wie hier machen: h**p://forum.hijackthis.de/showthread.php?t=25736 **=tt -> Das Programm und den Text habe ich von dort. |
Danke erstmal für die antwort. also habe die dateien durch Virustotal.com durchlaufen lassen und alle bis auf eine waren ohne ergebnis. das ergebnis der infizierten poste ich jetzt : Code: C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE alles andere hab ich auch gemacht. die anderen sachen ( also die mit der lilelist.bat) die du haben willst kommen jetzt: Code: Verzeichnis von C:\ Code:
und jetzt??? |
Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Starte es dann und lass das System durchsuchen. (Option 2) -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! |
also mein antivir will mir den zugriff auf diese 2 neuen programme verweigern und ich glaube auch nicht, dass sie so gu sind, da das 2te sogar immer das ist, was der worm.win32.natsky immer runterladen will... also sunny, ich weiß nciht so recht...ich mach das mal nicht. da vertrau ich mal lieber Usagi.:party: |
ohne usagi zu nahe treten zu wollen, dann wirst du nicht weit kommen. lies dir mal den letzten hinweis hier durch SmitFraudFix schalte antivir aus und setze das um, was sunny gepostet hat. EDIT: bitte auch das beachten: combofix auf den desktop herunterladen, alle programme, guards, firewall etc. schliessen. während des scans nichts am computer machen. |
okay ich habs gemacht.. also das erste von SmitFraudFix: Code:
und vom ComboFix: Code:
|
ja und jetzt? :confused: |
Hallo, VirusTotal - Kostenloser online Viren- und Malwarescanner Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren C:\Program Files\barotv\barotv.exe C:\WINDOWS\system32\muzapp.exe C:\Programme\Gamez.exe C:\WINDOWS\system32\bgsvcgen.exe C:\WINDOWS\IFinst26.exe C:\Dokumente und Einstellungen\Nick.DON_CORLEONE\Desktop\hfs.exe poste hier die Reporte º--------------------------------------------------------------------- lade OTMoveIt by OldTimer öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move Code: C:\winxplogon.sys In Datei C:\_OTMoveIt\MovedFiles\ Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" »» wende noch mal smitfraud fix an - OPTION 2 SmitfraudFix poste hier den report |
hallo also das erste was du wolltest, da poste ich nur die dateien wo was gefunden wurde: Code:
Code:
Code:
|
1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Code: cd\ wende bitte datfindbat an + poste den report Datfindbat |
listen.bat : Code:
|
datFind.bat ist viel zu lang deswegen in 4 teilen. Teil 1: Code: Volume in Laufwerk C: hat keine Bezeichnung. |
Teil 2: Code: 01.09.2005 02:44 19.968 linkinfo.dll |
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board