Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   bw2.exe und dann gings los (https://www.trojaner-board.de/12004-bw2-exe-dann-gings-los.html)

Shadowdance 14.01.2005 02:00
@ gn8

Lade das Clear Prog runter, mach ein Häkchen' bei "Clear all" und klicke auf "Clear".

diese Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, Datei markieren/kopieren, in die Windows Suche übertragen -> löschen:

infected by "not-a-virus:AdWare.Look2Me.u"

C:\WINNT\system32\fjamebuf.dll
C:\WINNT\system32\iOsperf.dll
C:\WINNT\system32\ltghours.dll
C:\WINNT\system32\m8640ijqe8oe0.dll
C:\WINNT\system32\obeprn.dll
C:\WINNT\system32\wxaueng.dll
C:\WINNT\system32\wxcsapi.dll
C:\WINNT\system32\fjamebuf.dll
C:\WINNT\system32\iOsperf.dll
C:\WINNT\system32\ltghours.dll
C:\WINNT\system32\m8640ijqe8oe0.dll
C:\WINNT\system32\obeprn.dll
C:\WINNT\system32\wxaueng.dll
C:\WINNT\system32\wxcsapi.dll

Solltest Du die dll's nicht löschen können, versuche es so:

Cidre und Chaosman zum löschen von DLL's zitiert:
"entweder probierst du dies http://www.windows-tweaks.info/html/dllsuchexp.html oder du machst es so: Lade Dir Winfile.exe (einen älteren NT-Dateimanager) herunter und starte ihn. Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menue Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit [OK]. Dann wähle im selben Menue die Option Owner und klicke auf [Besitz übernehmen]. Bestätige mit OK. Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit [OK] bzw. [Ja] bestätigen. Anschließend sollte die Datei sich löschen lassen: C:\WINNT\system32\fjamebuf.dll ." Lösche/fixe nun auch die anderen Einträge.

Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Wenn das auch nicht funktioniert, lade die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter. (Antwort zum DSO Exloit bei der Anwendung von Spybot-Search & Destroy 1.3). Scanne Deinen Rechner mit den beiden Programmen nacheinander und lass alle bestehenden Probleme beheben.


Entfernung von Würmern:

trendmicro:
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_behindertenrat\Trash\MESSAGES.TBB infected by "I-Worm.Bagle.at"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\kunden\kobinet\MESSAGES.TBB infected by "I-Worm.Tanatos.a"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\erledigt\MESSAGES.TBB infected by "I-Worm.BadtransII"

Anti W32.Klez (Varianten A-I):
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\Andrea Trenner\erledigt\MESSAGES.TBB infected by "I-Worm.Klez.h"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_behindertenrat\Sent\MESSAGES.TBB infected by "I-Worm.Klez.e"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\kunden\lebenshilfe\MESSAGES.TBB infected by "I-Worm.Klez.h"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\Sent\MESSAGES.TBB infected by "I-Worm.Klez.h"

Anti W32.NetSky (alle Varianten):
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\mailadmin\MESSAGES.TBB infected by "I-Worm.NetSky.b"

gn8 14.01.2005 11:30
Clear all ist gemacht.

Anzeige aller Dateien ist und bleibt immer eingestellt (gewesen).

Habe w2k und kann keine Systemwiederherstellung ausschalten.

DLLs ließen sich problemlos löschen.

Spyware und Adware haben bestehende Probleme behoben.

An den anderen "Infekten" arbeite ich jetzt manuell, da sie teilweise nicht einmal erkannt wurden (Netsky z.B.).

Vorläufiges Ergebnis: Rechner läuft, keine Werbeseiten seit 4 Stunden, jedoch zu hoher Traffic (sowohl senden wie empfangen). Papierkorb des Nutzers noch immer als gefüllt angezeigt, Löschrückfrage nach 2 Datein, die bleiben unsichtbar, lassen sich aber auch nicht löschen. Neue gelöschte Dateien sind im Papierkorb auch nicht sichtbar. Dies alles nur beim Nutzer, nicht beim Administrator.

gn8 15.01.2005 11:50
Es bleiben noch oder immer noch:

Jan 15 00:59:18 2005 => WINNT\system32\cwmuid.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Jan 15 00:59:49 2005 => WINNT\system32\irpol5731.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Jan 15 00:59:51 2005 => WINNT\system32\jr4025hmg.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Jan 15 01:01:10 2005 => WINNT\system32\wunsock.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Jan 15 01:54:21 2005 => DuE\wdt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.

... obwohl MSIE seitdem nicht mehr geöffnet.

Papierkorb unverändert nicht "normal", Traffic noch immer zu hoch

gn8 16.01.2005 00:03
WINNT\system32\cwmuid.dll infected by "not-a-virus:AdWare.Look2Me.u"
WINNT\system32\irpol5731.dll infected by "not-a-virus:AdWare.Look2Me.u"
WINNT\system32\jr4025hmg.dll infected by "not-a-virus:AdWare.Look2Me.u"
WINNT\system32\wunsock.dll infected by "not-a-virus:AdWare.Look2Me.u"
\Dokumente und Einstellungen\wdt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus.

Das ist, zusammen mit dem gefüllten und unansehbaren sowie unlöschbaren Papierkorb der derzeitige Stand, auch nach mehrmaligem Verwenden der Tools.

Hat jemand zum mysteriösen Papierkorb eine Idee? Ich denke, dass dort eine Quelle (oder zwei) zu finden sein wird.

Cidre 16.01.2005 02:02
@ gn8

Befolge diese Vorgehensweise dann ist das Papierkorb Problem behoben.
http://www.pcwelt.de/forum/showpost....99&postcount=4

Zum Rest deiner Leidensgeschichte:
Ich bin zwar nicht begeistert aber versuchs mal mit dem Uninstaller -> http://www.look2me.com/cgi-bin/UnInstaller

gn8 17.01.2005 23:20
Zitat:
Zitat von Cidre
... diese Vorgehensweise dann ist das Papierkorb Problem behoben.
Jetzt ist das Papierkorbsymbol vom Desktop verschwunden, jedoch auf jeder Festplatte blieb der Ordner RECYCLER mit einem Inhalt von einem Papierkorbsymbol unter dem Namen: S-1-5-21-1482476501-920026266-1343024091-1000 das sich nicht löschen lässt weil angeblich in Benutzung (weder im gesicherten noch sonstwie Modus).

Zitat:
Zitat von Cidre
... versuchs mal mit dem Uninstaller
Unter dem Link verbarg sich zwar ein sogenanntes "Lizenzabkommen", aber Klicken auf I accept brachte nix (kein Download). Im Quelltext der Seite war leider auch nix zu erkennen. Vielleicht sammeln die da nur weitere Opfer, denn kurz danach hatte ich wieder zwei exe in den Downloaded Internet Files :pukeface: .

Wenn niemandem nix erhellendes mehr einfällt kaufe ich mir morgen eine neue Platte, die beiden Datenplatten sind ja glücklich nicht betroffen.

Dank für alle Bemühungen! :juul:


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:29 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131