Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Opasoft macht mir zu schaffen (https://www.trojaner-board.de/23481-opasoft-macht-mir-schaffen.html)

N8eule 09.11.2005 14:30
Opasoft macht mir zu schaffen
 
Hallo, ich bin neu hier und habe mit dem Opasoft ein ähnliches Problem.
Mein Vierenscanner hat den Wurm Opasoft.S2 erkannt und dann hab ich eine Systemwiederherstellung (bin sogar bis Anfang Oktober zurück gegangen, nur um sicher zu sein) im abgesicherten Modus gemacht. Leider bin ich jetzt nicht sicher, ob nicht doch noch irgendwo was von diesem Wurm ist.
Und dann würd ich gern noch wissen, wie ich mich im Internet besser schützen kann. Ich hab zwar eine Firewall, aber ich bin nicht sicher ob das so ausreicht. Ich bin auch leider nicht so ein Computerfrak, der super Ahnung hat. )

Für eine Hilfe wär ich super dankbar!

Dufte Grüße

N8eule

stupormundi 09.11.2005 14:38
Servus, N8eule!
Als erstes: Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
Zur Absicherung (nicht gleich neu Aufsetzen - nur wegen der Tipps) lies´ Dir mal diese Anleitung von Cidre http://www.trojaner-board.de/showthread.php?t=12154 durch!
Zitat:
Vierenscanner hat den Wurm Opasoft.S2
wo hat Dein Virenscanner (<-- welcher) denn diesen Opavirus(?) (Pfadangabe, Dateiname) erkannt?
stupormundi

N8eule 09.11.2005 15:12
Vorab schon mal vielen lieben Dank für deine schnelle Antwort!

Ich hab den Norton Antivierenscanner, so ein kleiner Regenschim in der Leiste unten. Und gefunden hat er den im System 32.

Das andere kann ich erst heut abend schicken, bin grad an einem anderen Rechner!

N8eule

N8eule 09.11.2005 20:02
Ach ich bin ja zu blöd!

Also die Datei heißt: A0050977.exe
Verzeichnis: /harddisk/hda1/System Volume Information/_restor{20D90BDE-A932-4373-B4D5-C0DAB52D1FA7}/RP141
Name: Net-Worm.Win32.Opasoft.S
und Trojan-Downloader.BAT.Ftp.z

mein Vierenscanner: AntiVir Guard

und hier mein Logfile

Logfile of HijackThis v1.99.1
Scan saved at 19:42:24, on 09.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\wanmpsvc.exe
D:\Fotoprogramme\FotoImage\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
D:\Fotoprogramme\FotoImage\HP Share-to-Web\hpgs2wnf.exe
D:\Arbeitsprogramme\OmniPage 12\Opware12.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Fotoprogramme\FotoImage\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Opware12] "D:\Arbeitsprogramme\OmniPage 12\Opware12.exe"
O4 - HKLM\..\Run: [DInfoSetup] d:\arbeitsprogramme\D-Info2001\SDinfo.exe /INIKEY
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Brennprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\ARBEIT~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: BINGOOO - {C037A0BD-6B14-4ABD-84FC-13BACFD43E53} - D:\Arbeitsprogramme\D-Info2001\Bingooo\BINGOOO.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107974348463
O23 - Service: AntiVir Service (AntiVirService) - ** - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - ** - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: W2k PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\System32\UAService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe




Bitte bitte helft mir!!!
:heulen:

stupormundi 09.11.2005 20:29
Der Fund, den Du postest, liegt in einem der Systemwiederherstellungspunkte.
Deaktiviere diese einmal http://www.systemwiederherstellung-d...indows-xp.html
boote neu und schalte sie anschließend wieder ein.
Dann ist zumindest dieser Fund weg.
Du hast zwei Viren aber nur eine Datei!
wo ist der andere?
In Deinem HJT-Log finde ich vorerst einmal nichts Auffälliges!
stupormundi

N8eule 09.11.2005 20:37
Eine Systemwiederherstellung hab ich gestern bereits gemacht.
Und heute hab ich mit dem AVK 2005 Antivierus Boot-CD diese beiden Meldungen bekommen. Allerdings ist mir dann der Rechner abgestürzt. Wo die 2. Datei ist weiß ich daher leider auch nicht.

Ich versteh leider immer noch nicht genau, was ich machen soll.
Ich mach jetzt wie du gesagt hast und meld mich dann noch mal!

Danke!

N8eule

stupormundi 09.11.2005 20:42
Zitat:
Eine Systemwiederherstellung hab ich gestern bereits gemacht
Ja, das habe ich gelesen! Nur sitzt das eine Virus in einem der abgespeicherten Systemwiederherstellungspunkte - dh. Du musst diese Informationen löschen, damit löscht Du auch das Virus. Folge einfach mal den von mir geposteten link und folge der bebilderten Anleitung zur Deaktivierung. Dann neu PC starten!
stupormundi

N8eule 09.11.2005 21:57
WOW!!!

Ich hab grad genau das gemacht, wie du sagtest, hab dann noch mal den Vierenscanner durchgejagt und schwups, nix mehr gefunden.

vielen, vielen lieben Dank!!! Du hast mir klasse geholfen. Großes LOB!
:daumenhoc

:bussi:

Nu bin ich wieder völlig entspannt!

Was meinst du könnte mein Fehler gewesen sein? Ich meine wieso hat es dieser dämliche Wurm auf mich abgesehen?

Dufte Grüße mit einer tiefen Verbeugung! :aplaus:

N8eule


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131