|
W32.Sober.Q@mm Habe mir gestern den Wurm W32.Sober.Q@mm durch eigene Dummheit eingefangen. :heulen: Ich vermute, dass es mit ihm zusammenhängt, dass ich keine DSL bzw. Internetverbindung mehr bekomme. Kann mir jemand helfen, was da noch zu retten ist? Wäre total dankbar!!!! :bussi: P.s. habe schon antivir drüber gelassen. wurm wurde auch gefunden und gelöscht _____________ Anm. Erstelle zukünftig eine sinnvolleren Titel für deine Thema und verzichte auf Buchstabenvervielfältigung und Wörter, wie z.B. Hilfe. ;) LG Cidre S-Mod TB |
Poste mal ein HJT-Log. Halte Dich genau an Cidres Anleitung: http://www.trojaner-board.de/showthread.php?t=17493 |
Ok, ich hoffe, ich hab das alles richtig gemacht: Logfile of HijackThis v1.99.1 Scan saved at 19:00:21, on 07.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\S3hotkey.exe C:\WINDOWS\system32\S3tray2.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Dictionary4Free\FreeDict.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\hack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Dictionary4Free] C:\Programme\Dictionary4Free\FreeDict.exe AUTOSTART O4 - HKLM\..\Run: [IncrediMail] IncMail.exe /c O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - [urlk]www.pixaco.de/static/download/iedropupload.cab[/url] O16 - DPF: {F9043C85-F6F2-101A-A3C9-08002B2F49FB} (Microsoft Common Dialog Control, version 5.0 (SP2)) - file://C:\Programme\OpenCube\NavStudio\program\comdlg32.cab O18 - Protocol: vskype - (no CLSID) - (no file) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe |
Wo ist denn das Problem, Tool laden: http://securityresponse.symantec.com...tool.html?Open |
danke, ich werde es versuchen... hoffe, es hilft. |
hat leider nix gebracht. dsl verbindung ist immer noch zerstört und ich komm nach wie vor nicht online :heulen: |
Lade mal das Tool und wende es an: http://www.cexx.org/lspfix.htm |
auch das hat leider nix gebracht... |
Wie wäre es mal, wenn Du diesen Eintrag aus dem HJT Logfile fixt: R3 - Default URLSearchHook is missing ...nur so ne Idee... cacatoa |
auch das hab ich gemacht. auch das hat nix verändert... ich glaube, jetzt hilft nur noch: :kloppen: oder hat noch jemand eine andere idee???? |
Hallo, du kannst mal noch Escan (Anleitung sorgfältig lesen!) drüberlaufen lassen, vielleicht findet der noch was. Grüße Wildone |
das hatte ich auch schon gemacht... |
Dann erstelle nochmals ein HJT-Log und poste es. Ebenfalls mache einen neuen escan und poste das mit der find.bat erstellte Log. Lösche aber vorher die Datei mwav.log im Verzeichnis c:\bases_x. |
ok. hier neues logfile. tut mir leid, dass ich nichts mehr von mir hören liess. war weg. Logfile of HijackThis v1.99.1 Scan saved at 12:38:15, on 10.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Dictionary4Free] C:\Programme\Dictionary4Free\FreeDict.exe AUTOSTART O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - h**p://www.pixaco.de/static/download/iedropupload.cab O16 - DPF: {F9043C85-F6F2-101A-A3C9-08002B2F49FB} (Microsoft Common Dialog Control, version 5.0 (SP2)) - file://C:\Programme\OpenCube\NavStudio\program\comdlg32.cab O18 - Protocol: vskype - (no CLSID) - (no file) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe |
Also, das Logfile ist sauber. Was sagt eScan? Ist Dein Prob jetzt weg? cacatoa |
der sagt leider auch nichts, mein problem ist nach wie vor da. allerdings kann ich bei escan ja kein update machen, da ich ja mit meinem rechner nicht online komme.... |
hier aktueller escan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Oct 11 20:44:02 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue Oct 11 21:31:46 2005 => Scanning Folder: C:\Programme\Security Stronghold\True Sword\Infected\*.* Tue Oct 11 22:07:34 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Oct 11 22:07:34 2005 => Total Virus(es) Found: 0 Tue Oct 11 22:07:34 2005 => Total Errors: 3 Tue Oct 11 22:07:34 2005 => Time Elapsed: 02:09:04 Tue Oct 11 22:07:34 2005 => Total Objects Scanned: 75546 Tue Oct 11 19:54:44 2005 => Virus Database Date: 2005/10/08 Tue Oct 11 22:07:34 2005 => Virus Database Date: 2005/10/08 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
Hi, also jetzt glaub ich schön langsam an ein Hardware-Problem; mindetens aber ein Netzwerkverbindungsprob. Wie gehst Du ins Netz? (Router oder nicht?) cacatoa |
habe eine fritzbox mit dsl sag: was ist mit der datei pagefile.sys? da meldet escan einen error beim scannen... |
bin über ein netzwerk mit dem pc nebenan verbunden, aber da komme ich auch nicht mehr ran. das komische ist, dass ich besagte klassentreffenmail gelesen und geöffnet hatte, bevor ich wusste, was es ist. der pc blieb den ganzen tag an und ich hatte keine netzwerkprobleme - ich kam immer online. dann fuhr ich den pc runter und später nochmals hoch. ab da ging nix mehr. auch das hochstarten dauerte ewig... |
Hi, errors beim eScan entstehen, wenn bestimmte Dateien gerade verwendet werden. Der eScan ist o.k. Hast Du die Routerkonfiguration der FritzBox schon geprüft? Sind Deine Netzwerkverbindungen aktiv? cacatoa |
Zitat:
Routerkonfig weiß ich nicht, wie ich das machen muss. Wie gesagt: Am PC nebenan, der über die gleiche Box online ist, funktioniert alles einwandfrei... |
Ich hab jetzt mal cidre zu Rate gezogen. Mir fällt im Moment nix mehr ein. Aber wir kümmern uns weiter. O.k.? cacatoa |
das ist total lieb von euch!!! vielen, vielen dank! bin auch total ratlos :( gute nacht |
Auch gute Nacht für heute... http://www.cosgan.de/images/smilie/muede/k035.gif cacatoa |
Guten morgen allerseits, habe offenbar ein identisches Problem mit dem "Klassentreffen"... Ich habe den Wurm gestern im abgesicherten Modus per Diskette mit Symantec-Enfernungstool "entfernt". Dennoch pack ich es nicht, mit meinem PC wieder ins Internet (DSL) zu kommen. Auch meine Viren-Definitionen (AntiVir) kann ich daher nicht updaten. Eins ist jedoch sicher: meine Internet Verbindung läuft, denn mit meinem Zweit-PC geht alles prima. Gibt's neue Erkenntnisse zu diesem Mistvieh? Danke und Gruß an alle. |
irgendwie beruhigend, dass ich nicht alleine mit dem problem bin, auch wenn mir das natürlich leid tut für dich. das mit dem antivir war bei mir auch so, allerdings geht das wieder, seit ich am zweit pc das update geladen und bei mir auf den rechner übertragen habe. hoffe, dass unser pc bald wieder gesund ist. lg melancholia |
Kommst du denn jetzt wieder ins internet? |
schön wärs... rien ne va plus |
@Melancholia Was mich dabei stört ist folgendes: Sober schießt eigentlich keine I-Net-Verbindung ab - ganz im Gegenteil: wenn keine besteht, baut er sie auf.... Ich suche weiter... cacatoa |
@Melancholia Routerkonfig weiß ich nicht, wie ich das machen muss. Hast du ein Handbuch/oder CD Gebrauchsanleitung? Hast du schon mal bei AVM nachgeschaut? http://www.avm.de/FRITZBox/service/index.html Tipp der Woche. LG chaosman Edit: Klasse Haui :daumenhoc |
Also, meine Fritz Box konfiguriert sich selber.@Melancholia: Hast Du sie schon mal für ca 5 sek. vom Netz genommen und dann wieder eingesteckt? cacatoa Servus chaosman! Thx! :party: |
|
Mensch, haui, Du bist der Hammer!!! :knuddel: cacatoa |
Zitat:
BTW: mass-mailing-Würmer finde ich ja eher langweilig, deshalb hab' ich mich nicht näher damit befasst, aber ich meine mich dennoch dunkel daran erinnern zu können, dass Sober eine Hintertür öffnet. Ich würde das betroffene System neu aufsetzen. |
Zitat:
cacatoa |
ihr lieben, ihr seid echt klasse. danke, dass ihr euch so einsetzt! mein router konfiguriert sich auch von selbst. vom netz genommen habe ich sie schon des öfteren ... jetzt werde ich hauis vorschlag testen. ich berichte dann... gruß, melancholia |
also, ich habe ein problem: neu aufsetzen ist nur möglich, wenn ich zuvor wieder eine netzwerkverbindung habe. mein betroffener laptop hat keinen brenner, damit ich meine daten sichern kann. und da ich diese nicht per netzwerk auf den anderen pc spielen kann, weil es ja nicht funktioniert, weiß ich nicht, was tun..... was die tcpip.sys betrifft. wo bekäme ich eine saubere der gleichen version denn her??? und wie gehe ich dann genau vor beim überschreiben? (doch nicht nur ersetzen, oder?) grüßle, melancholia |
Na, ja, die tcpip.sys müßte ja auf Deinem anderen Rechner sauber drauf sein. Du solltest sie hier finden: C:\Windows\System32\drivers\tcpip.sys Notfalls schick ich sie Dir per e-Mail. cacatoa |
auf meinem anderen rechner ist aber eine andere version drauf. wäre lieb, wenn du sie mir schicken könntest. ähhhm... und dann die alte nur durch die neue ersetzen im explorer? |
Leute, ihr seid der Hammer!!!!!!!!!!!!!!!!!!! Haui, das wars!!!! Bin wieder online, seit ich die tcpip.sys ersetzt habe. Unglaublich!!! Bin total happy und euch tierisch dankbar!!! *einerundeschmeiss* Gute Nacht. Selig, Melancholia |
Na das ist doch schön, wenn alles wieder funktioniert. :) |
Mein Rechner läuft auch wieder. Auch von hier vielen Dank. Wie können wir uns in Zukunft besser schützen (und auf "Klassentreffen" geh' ich bestimmt nicht mehr!!!)? Meint ihr, es wäre aus Sicherheitsgründen angebracht, die Festplatte zu formatieren, oder sollte jetzt soweit alles in Ordnung sein? Viele Grüße an alle. |
Zitat:
oder ganz ausführlich http://www.trojaner-board.de/showpos...28&postcount=2 Zitat:
Ich persönlich würde das System wie gesagt neu aufsetzen, da dieser Sober wohl doch recht tief ins System eingreift. Was du letztendlich machst, bleibt dir selbst überlassen! |
Hallo miteinander, ich hatte ebenfalls das DSL-Problem und habe Euch durch Suchserver gefunden. Mit dem Hinweis auf tcpip.sys konnte ich das Problem schnell lösen. Nach dem Löschen des Virus mit FxSbr.exe blieb zunächst das DSL-Problem übrig, mit T-Com war aber zu klären, daß die DSL-Verbindung an sich in Ordnung war. Der Virus hatte die tcpip.sys derart verändert, daß nicht mehr die Original-Benutzerkennung an den Provider gesendet wurde. Somit war ich beim Provider nicht mehr bekannt, auch eine Sperre wie bei mehrfacher Eingabe eines falschen Paßwortes erfolgte natürlich nicht - ein ganz fieser Schaden. Die veränderte tcpip.sys ist einfach zu erkennen: sie trug in meinem Falle das Datei-Datum 06.10.2006 ist war mit Sicherheit kein Original-MS-WINDOWS-Datum. Herzlichen Dank für Eure Hilfe. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board