|
Sober.X Hallo! Habe mir den Sober.X eingefangen.... Weiß wer wie man den killt? Gruß |
@Icetiger1980 poste bitte ein HJT logfile http://www.trojaner-board.de/showthread.php?t=17493 poste auch wo der soberX gefunden würde chaosman |
Logfile of HijackThis v1.99.1 Scan saved at 12:03:15, on 15.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Internet\Eigene Dateien\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe O4 - HKLM\..\Run: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe O4 - HKLM\..\RunOnce: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe %1 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [_WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - hxxp://download.mcafee.com/molbin/sh...0/mcinsctl.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - hxxps://img.web.de/v/mail/activex/mail_upload_1124.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - hxxp://download.mcafee.com/molbin/sh...23/mcgdmgr.cab O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Habe erfahren dass es der sober.x ist als ich auf der avpersonal-hp (antivir.de in der virus-warung) war um das neueste update zu installieren... gefunden wurde er vom AV programm noch nicht.. AV und hijack läuft nur im agesicherten modus |
kommando zurück, er heißt sober.W!!!! e-mail war so: Subject: Ihre eMail! Body: Guten Tag, jemand schickte mir eine Mail mit einer Excel oder Access Tabelle (kenne mich da nicht so aus!). Jedenfalls ist diese Mail aber an ihre Mail Adresse adressiert, aber zu meiner gekommen??? Ist wohl irgendein Fehler. Ok, hier haben Sie sie wieder zurueck! gruss Attachment: excel_table.zip |
Hallo, Zitat:
Überprüfe mal folgende Datei: C:\WINDOWS\ConnectionStatus\Microsoft\services.exe hier und poste das Ergebnis. P.S. Editiere deine Links im HijackThis log (aus http hxxp machen!) Grüße Wildone |
ergebnis The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file wenn ich die datei öffnen will heißt es ein anderes programm greift gerade darauf zu habe anhang geöffnet... leider |
Hallo, naja dann löschen wir die datei halt ohne zu erfahren welche Sobervarinte das jetzt ist. Besorge dir Killbox und lösche die Datei mit "delete file on reboot" danach fixt(Haken davor und auf "fix checked") du mit HijackThis folgende Einträge: O4 - HKLM\..\Run: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe O4 - HKLM\..\RunOnce: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe %1 O4 - HKCU\..\Run: [_WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe Hat das updaten von Antivir eigentlich funktioniert? Denn der sollte die neuen Sobervarianten eigentlich schon erkennen, siehe hier. Grüße Wildone |
Danke, sieht gut aus... ich konnte ja nicht das internet-update von antivir machen und hab das ganze programm nochmal runtergeladen... anscheinend war da noch nicht die neueste VDF drauf, weil beim update jetzt war auf pc .23 und server hatte .25 ... immerhin startet jetzt antivir und ich lass gleich laufen... danke für alles |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board