novocain Geschrieben 4. Januar 2007 Geschrieben 4. Januar 2007 hi. ich hab so ziemlich das selbe problem, nur hab ich keine möglichkeit die systemwiederherstellung zu nutzen. Hijackthis-log: Logfile of HijackThis v1.99.1 Scan saved at 08:11:55, on 04.01.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINNT\system32\vmnat.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\vmnetdhcp.exe C:\WINNT\Explorer.EXE C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINNT\system32\ctfmon.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe E:\Download\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Willkommen bei MSN Deutschland O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4D007783-96F7-4E33-8CE3-7821FBB840B2} - C:\WINNT\system32\msencoee.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [Face Error Memo List] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ante bat face error\IntraFlap.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP OfficeJet Series 500] "C:\Programme\Hewlett-Packard\HP OfficeJet Series 500 NT\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet Series 500\Install" O4 - HKCU\..\Run: [Lies about] C:\DOKUME~1\pbehrens\ANWEND~1\IDLEOK~1\pollpopinside.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = int.rotenburger-rundschau.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = int.rotenburger-rundschau.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = int.rotenburger-rundschau.de O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINNT\system32\vmnat.exe AntiVir meldet als fund "TR/Obfuscated.BL" gefunden @C:\DOKUME~1\user\ANWEND~1\IDLEOK~1\vsiiwkdl.exe (wobei user nur ein platzhalter für die benutzer ist) das teil nervt schon ein wenig, weil er sich inzwischen auf mehreren rechnern im netzwerk verbreitet hat. hat jemand ne ahnung, wo ich ansetzen muss, und vorallem wie, damit ich den virus vollständig beseitigen kann ?! Zitieren
Hunduster Geschrieben 4. Januar 2007 Geschrieben 4. Januar 2007 Also ich habe meine durch Zufall wegbekommen. Ich hatte bei einer Routine Einstellung die Viren im Autostart unter msconfig gefunden. Überall ausgeschaltet, dass sie nicht mit Windows starten und dann Virenprogramme alles löschen lassen. Seid dem hab ich keinen Stress mehr. Zitieren
novocain Geschrieben 4. Januar 2007 Autor Geschrieben 4. Januar 2007 hmm klingt vielversprechend, nur hab ich das problem, das mir windows (2000) sagt, die msconfig könne nicht gefunden werden... Zitieren
Hunduster Geschrieben 4. Januar 2007 Geschrieben 4. Januar 2007 hmm klingt vielversprechend, nur hab ich das problem, das mir windows (2000) sagt, die msconfig könne nicht gefunden werden... Das wird daran liegen das es das nur bei XP gibt Zitieren
novocain Geschrieben 4. Januar 2007 Autor Geschrieben 4. Januar 2007 wie aufmerksam von dir aber wie bekomm ich den trojaner nun weg ? z.Zt. hindere ich ihn mit Spybot's teatimer daran, sich erneut in die registry einzutragen, was aber auf dauer und auf das netzwerk betrachtet keine wirkliche lösung ist... Zitieren
Hunduster Geschrieben 5. Januar 2007 Geschrieben 5. Januar 2007 wie aufmerksam von dir aber wie bekomm ich den trojaner nun weg ? z.Zt. hindere ich ihn mit Spybot's teatimer daran, sich erneut in die registry einzutragen, was aber auf dauer und auf das netzwerk betrachtet keine wirkliche lösung ist... Hast du alle Programme auch im Abgesicherten Modus laufen lassen? HiJack This! Ad-Aware Spybot Antivir dann evt. noch: Ewido Anti Malware Panda AntiVir Ansosnten Neuinstallation Zitieren
novocain Geschrieben 5. Januar 2007 Autor Geschrieben 5. Januar 2007 das steht noch aus, zur zeit beobachte ich das ganze und werde in der mittagspause einen kompletten virenscan laufen lassen. gestern nach feierabend hab ich per spybot sd teatimer verhindert, das der virus sich in die registry eintragen konnte, seit dem hab ich keine meldungen mehr bekommen und auch keine popup's. Zitieren
hades Geschrieben 5. Januar 2007 Geschrieben 5. Januar 2007 Befallene Systeme vom Netzwerk trennen. Nimm knoppicillin mit aktuellen Virendefinitionen und scanne diese Rechner. mehr siehe c't 21/2006, S. 168: Sicherheit: Knoppicillin Weitere Analysetools: - Process Explorer und AutoRuns von Microsoft/Sysinternals. Beide bieten wesentlich ausfuehrlichere Ergebnisse als die MS-Originale Taskmanager und msconfig. AVG AntiSpyware: 30 Tage Trial siehe AVG Anti Virus: Products Zitieren
novocain Geschrieben 8. Januar 2007 Autor Geschrieben 8. Januar 2007 Problem behoben. Der Virus "TR/Obfuscated.BL" konnte mit Spybot Search & Destroy entfernt werden, nachdem der teatimer den neueintrag in der registry verhindert hat. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.