iworm_attck v122.02a
 

Hallo, ich habe folgendes Problem oder besser gesagt folgenden Wurm: iworm_attck v122.02a, so zeigen mir es zumindest die tausenden Meldungen an meinem PC an. Ich habe schon gegoogelt nach dem Programm aber es kamen nur zwei Ergebnisse und zwar von euch, es wurden unter anderem immer ein Link hier genannt zur entfernung, der ist aber (momentan?) nicht aktiv.
Wenn mir jeman helfen könnte wäre es genial bin verzweifelt :confused:

Die 7 goldenen Regeln im Trojaner-Board:

1. Bevor Du postest, benutze Google sowie die Boardsuche und informiere Dich über Dein Problem. Du bist erfahrungsgemäß nicht der erste, der diese Frage stellt. Arbeite die empfohlenen Maßnahmen durch.

2. Wenn Du Dein Problem im Board schildern willst, poste es genau einmal. Fallen Dir danach wichtige Details ein, editiere und ergänze Dein Posting, anstatt ein neues zu erstellen. Mehrfach- und Crosspostings landen in der Mülltonne.

3. Wähle einen aussagekräftigen Titel, der Dein Problem kurz und klar zusammenfaßt. Titel wie "hüllfääää ... überall viren!!!" führen dazu, daß Dein Posting ignoriert wird.

4. Schreibe in verständlichem Deutsch und in ganzen Sätzen. Vergiß nicht: Dies ist ein Forum, kein Chat. Du hast Zeit! Beseitige Fehler, bevor du Deinen Beitrag erstellst. Hältst Du Dich nicht an diese Regel, kannst Du keine hilfreichen Antworten erwarten.

5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen, und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

6. Lies die Hinweise der Helfer sorgfältig und befolge sie. Verstehst Du etwas nicht, frage höflich nach. Hast Du Dein Problem erfolgreich gelöst, melde Dich. Vergiß nicht, Dich zu bedanken. Deine Helfer werden es nicht vergessen.

7. Zu guter Letzt: Zitiere externe Quellen immer mit Quellenangabe, da Du sonst das Team in rechtliche Schwierigkeiten bringst. Bei Nichtbeachtung dieser Regel werden entsprechende Postings kommentarlos gelöscht.

oooooh tut mir leid wusste gar nicht das ich für ein einfachen externen Entfernungslink soviel angeben muss :eek: :eek: :eek: :eek: :eek:

Also ich habe Windows XP (Home), SP2 mehr braucht euch nun wirklich nichts zu interessieren :confused:

Zu meinem Problem kann ich auch nicht mehr sagen sonst wäre ich ja nicht hier oder!?

Vielleicht hilft es euch wenn ihr den Thread durchlest, denn es schildert haargenau mein Problem
http://www.trojaner-board.de/archive/index.php/t-24003.html

Doch. Welches Programm meldet, und wie die Meldungen genau aussehen!

Fein, die Lösung hast du sicher schon ausprobiert?

Gruß :daumenhoc
Yopie

Grüße Wildone

Würde sich jemand den anderen Thread durchlesen wo ich im zweiten Post gepostet habe wüsste man das.


Wie ich im ersten Beitrag geschrieben habe ist der Link zur Entfernung in dem anderen Thread (momentan?) nicht aktiv. Moderator :lach:



Danke Wildone ... ich probiers aus.

Nein. Welches Programm meldet den Wurmbefall?

Spyaxe --> Suchmaschine! :kloppen:

Gruß :daumenhoc
Yopie

juhu der Wurm oder was auch immer ist beseitigt - danke Wildone(für den entscheidenden Link) und Yopi.

Und entschuldigt bitte mein "unhöfliches" Verhalten, ich war total schlecht drauf wegen dem Wurm oder was auch immer. ;)



:huepp: :huepp: :huepp: :huepp: :huepp:

Ich wußte es, ich hätte es blinkend hinterlegen sollen.


Grüße Wildone

Wie meinst du des? Hab ich was falsch gemacht? :confused:

Hallo,
schau nochmal in die Anleitung rein, suche nach dem zitierten Satz, dann weißt du was ich noch zur Kontrolle sehen will.

Edit
Dann kann ich dir wahrscheinlich auch gleich bei deinem anderen Problem helfen.


Grüße Wildone

kann es sein das du Regel 6 meinst?

?? Habe mich im vor-vorletzten Thread bedankt andernfalls weiss ich nicht was du meinst sorry bin nicht oft in Foren und auch erst seit Heute in diesem kenn mich nicht so aus trotz Anleitung und Forenregeln.

Hallo,
du stehst wirklich dicke auf dem Schlauch, ich meine folgendes aus der Anleitung zur Entfernung von Zlob:



Grüße Wildone

Ach das meinst du sorry ...


ok der Rapport:

SmitFraudFix v2.70

Scan done at 19:39:27,81, 12.07.2006
Run from C:\Programme\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\----------\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\-----~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{86AA461F-2A5B-4889-B543-E1BBA6746D61}"="st3"

[HKEY_CLASSES_ROOT\CLSID\{86AA461F-2A5B-4889-B543-E1BBA6746D61}\InProcServer32]
@="C:\WINDOWS\system32\st3d.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{86AA461F-2A5B-4889-B543-E1BBA6746D61}\InProcServer32]
@="C:\WINDOWS\system32\st3d.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



(den vorherigen nach dem löschen hab ich nicht gespeichert bzw. nicht manuell!?)


Logfile of HijackThis v1.99.1
Scan saved at 19:43:21, on 12.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\eAcceleration\Station\station.exe
C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\CLAUDI~1\EIGENE~1\YMANTE~1\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\T-Online\T-Online_Software_6\Internet-Telefon\Phone.exe
C:\Dokumente und Einstellungen\--------\Anwendungsdaten\??curity\n?pdb.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\DV Series\Console\Watch.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {16C435FE-F810-DC9F-3523-886A62DADAC2} - C:\WINDOWS\system32\nag.dll (file missing)
R3 - URLSearchHook: (no name) - {B4E42CFC-BB1A-999F-3C85-927B43872D96} - C:\WINDOWS\system32\idsjaxae.dll (file missing)
R3 - URLSearchHook: (no name) - {E7BD8E73-1E9F-3E15-E21C-3E0144B775CE} - C:\WINDOWS\system32\koj.dll (file missing)
R3 - URLSearchHook: (no name) - {CC705764-CCD6-B605-F7B9-E12C866B04C5} - C:\WINDOWS\system32\wvi.dll (file missing)
R3 - URLSearchHook: (no name) - {208E0754-C8B5-E33F-CA9D-E6FC2BF0B6C4} - C:\WINDOWS\system32\yzfgqhdv.dll (file missing)
R3 - URLSearchHook: (no name) - {64946E93-AF76-8FF1-0E92-834A3081A19E} - C:\WINDOWS\system32\nos.dll (file missing)
R3 - URLSearchHook: (no name) - {B5B8396E-A1DA-895B-F839-89EA1AEB24C4} - C:\WINDOWS\system32\iks.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O1 - Hosts: 69.64.35.177 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - c:\programme\tempo\wsftp\ws ftp 8.03\wsbho2K0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00303} - C:\WINDOWS\system32\adsldpby.dll (file missing)
O2 - BHO: (no name) - {B5B8396E-A1DA-895B-F839-89EA1AEB24C4} - C:\WINDOWS\system32\iks.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Parallel Tasking] C:\Programme\Parallel Tasking\ptask.exe
O4 - HKLM\..\Run: [mblujp] c:\windows\system32\mblujp.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ryb] C:\WINDOWS\ryb.exe
O4 - HKLM\..\Run: [QuickTime Task] "c:\programme\tempo\qttask.exe" -atboottime
O4 - HKLM\..\Run: [duda8usj] C:\WINDOWS\system32\duda8usj.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Olympic] C:\Dokumente und Einstellungen\-----\Anwendungsdaten\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [Love Gram Move Noun] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\file wma love gram\title close.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [SoftwareStation] C:\Programme\eAcceleration\Station\station.exe /b Startup
O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Programme\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] "C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe" -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Wrat] "C:\DOKUME~1\CLAUDI~1\EIGENE~1\YMANTE~1\svchost.exe" -vt ndrv
O4 - HKCU\..\Run: [SIPPS] "C:/Programme/T-Online/T-Online_Software_6/Internet-Telefon/Phone.exe"
O4 - HKCU\..\Run: [16list] C:\DOKUME~1\CLAUDI~1\ANWEND~1\2ACE~1\copy admin.exe
O4 - HKCU\..\Run: [Zhbrla] C:\Dokumente und Einstellungen\--------\Anwendungsdaten\??curity\n?pdb.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programme\DV Series\Console\Watch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\Tempo\AIM Messenger\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: http://*.billingnow.com
O15 - Trusted Zone: www.linkautomatici.com
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: http://*.reliablestats.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: http://*.winantispyware.com
O15 - Trusted Zone: http://*.winantivirus.com
O15 - Trusted Zone: http://*.winantiviruspro.com
O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com
O15 - Trusted Zone: www.xbeta69.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1146871797107
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.sgrunt.biz/closer/close.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F1410C3-C7E2-462A-B48B-811A76E8B720}: NameServer = 217.237.150.188 217.237.150.97
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: st3d - C:\WINDOWS\system32\st3d.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


(falls du sagen willst mein PC is übelst durcheinander, befallen udn ungesichtert - ja da hast du recht aber werde es dank diesem Wurm von heute in angriff nehmen ihn sauber zu machen und halten)
ps: ------ = Benutzername

Ohmein Gott,

hättest du nun noch zusätzlich und vor allem aufmerksam die Regeln gelesen, würden jetzt keine aktiven Links in deinem Post vorhanden sein! :daumenhoc
Edititiere diese bitte z.B. so:

Lass zusätzlich auch noch diese Dateien bei Virustotal auswerten:

Poste anschliessend das Ergebnis.
(zumal das alles höchstwahrscheinlich nichts bringen wird! Aber das sehen wir dann!)

Gruß
Daniel