Oliver89
Lt. Junior Grade
- Registriert
- Aug. 2005
- Beiträge
- 379
Wurm, wie beseitigen?
- Ersteller Oliver89
- Erstellt am
SilverLuki
Cadet 3rd Year
- Registriert
- Sep. 2006
- Beiträge
- 55
Also ich habe was gefunden aber naja.
Schau einfach mal selber.
http://www.windowspower.de/forum_Anleitung+Hijackthis_7976.html
Schau einfach mal selber.
http://www.windowspower.de/forum_Anleitung+Hijackthis_7976.html
SickSociety
Lt. Junior Grade
- Registriert
- Feb. 2006
- Beiträge
- 432
hallo,
erstmal sollte dein Kumpel die Datei an AntiVir zum überprüfen senden
ob es sich auch wirklich um einen Wurm handelt oder ob sich das
Programm irrt,hier einschicken http://www.avira.com/de/support/verdachtige_dateien_und_sonstige_uploads.html
AntiVir meldet sich meistens schon nach 1 - 2 Tagen an deine angegebene eMail.
Wenn sich herausgestellt hat das du einen Wurm hast:
Downloade dieses Tool hier :
http://vil.nai.com/vil/stinger/
Jetzt schaltest du die Systemwiederherstellung aus :
rechte Maus Arbeitsplatz - Systemwiederherstzellung - häkchen setzen bei deaktivieren
starte jetzt deinen PC neu und boote den abgesicherten Modus mit der F8 Taste
(etwas Fingergeschick ist gefragt,wenn du die Taste beim booten zu früh drückst
werden dir nur deine Laufwerke gezeigt dann einfach nochmal neu booten und später F8 drücken.
Im abgesicherten Modus:
jetzt startest du einen Komplettscan mit dem Programm STINGER und entfernst den
Schädling.....
danach startest du noch den Komplettscan mit AntiVir....
im abgesicherten Modus dauert der Virenscan ziemlich lange also
kannst du ruhig nebenbei noch 2 Filme schauen...
Wenn du den PC jetzt clean hast einfach PC neu BOOTEN und nicht vergessen die Systemwiederherstellung einzuschalten!!!!!
gruss Hermann
erstmal sollte dein Kumpel die Datei an AntiVir zum überprüfen senden
ob es sich auch wirklich um einen Wurm handelt oder ob sich das
Programm irrt,hier einschicken http://www.avira.com/de/support/verdachtige_dateien_und_sonstige_uploads.html
AntiVir meldet sich meistens schon nach 1 - 2 Tagen an deine angegebene eMail.
Wenn sich herausgestellt hat das du einen Wurm hast:
Downloade dieses Tool hier :
http://vil.nai.com/vil/stinger/
Jetzt schaltest du die Systemwiederherstellung aus :
rechte Maus Arbeitsplatz - Systemwiederherstzellung - häkchen setzen bei deaktivieren
starte jetzt deinen PC neu und boote den abgesicherten Modus mit der F8 Taste
(etwas Fingergeschick ist gefragt,wenn du die Taste beim booten zu früh drückst
werden dir nur deine Laufwerke gezeigt dann einfach nochmal neu booten und später F8 drücken.
Im abgesicherten Modus:
jetzt startest du einen Komplettscan mit dem Programm STINGER und entfernst den
Schädling.....
danach startest du noch den Komplettscan mit AntiVir....
im abgesicherten Modus dauert der Virenscan ziemlich lange also
kannst du ruhig nebenbei noch 2 Filme schauen...
Wenn du den PC jetzt clean hast einfach PC neu BOOTEN und nicht vergessen die Systemwiederherstellung einzuschalten!!!!!
gruss Hermann
Isegrim
Ensign
- Registriert
- Juli 2005
- Beiträge
- 157
Ich habe ne ähnliche Meldung [img=http://img138.imageshack.us/img138/7197/wurmlt8.th.jpg]
Ich habe mal den Weg ausprobiert, den Hermann vorgeschlagen hat, allerdings konnte Stinger den nicht entfernen(Version is ja auch vom 4.Mai)
Hier auf Computerbase gibt es keine aktuelle Version und auch sonst finde ich kein neues Stinger.
Habt ihr sonst noch irgendwelche Vorschläge?
Ich habe mal den Weg ausprobiert, den Hermann vorgeschlagen hat, allerdings konnte Stinger den nicht entfernen(Version is ja auch vom 4.Mai)
Hier auf Computerbase gibt es keine aktuelle Version und auch sonst finde ich kein neues Stinger.
Habt ihr sonst noch irgendwelche Vorschläge?
http://www.google.de/search?hl=de&q=chater.exe&btnG=Google-Suche&meta=Oliver89 schrieb:
Und dem Freund vllt noch einen anderen Browser empfehlen wie Firefox 2.0 oder Opera.
@Isegrim
Vllt kann mans ja mit Unlocker löschen?
markus1234
Banned
- Registriert
- Sep. 2006
- Beiträge
- 3.897
Poste bitte ein HiJackThis-Logfile. Es gibt verschiedene Infektionsvorgänge für diesen Schädling. Und lass mich raten .. Link über ICQ angeklickt?
Edit:
Edit:
Ja, die Sonne scheint auch. Es gibt noch etwa 20 infizierte, evtl. in dein System implementierte DLL Files. Antivir erkennt, wenns hochkommt, 70% aller "Viren". D.h. rund 1 v. 3 schlüpft unten durch.
Zuletzt bearbeitet:
Isegrim
Ensign
- Registriert
- Juli 2005
- Beiträge
- 157
Ich habe mal ein ganz aktuelles gemacht. die alte file von heute mittag, als ich die viren gelöscht habe, is leider schon gelöscht.
@ICQ
Richtig
Logfile of HijackThis v1.99.1
Scan saved at 18:31:18, on 19.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\QuickTime\qttask.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\internat.exe
F:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\iPod\bin\iPodService.exe
F:\Programme\Valve\Steam\Steam.exe
F:\Programme\QIP\qip.exe
F:\Programme\Firefox\firefox.exe
F:\Tobi\jacky.com.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.versatel-online.de:8080
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [OM_Monitor] F:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [razer] F:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [mswiz32] C:\WINDOWS\mswiz32.exe s
O4 - HKLM\..\Run: [mswiiz32] C:\WINDOWS\mswiiz32.exe s
O4 - HKLM\..\Run: [mswiizz32] C:\WINDOWS\mswiizz32.exe s
O4 - HKLM\..\Run: [UnlockerAssistant] "F:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [OM_Monitor] F:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [QIP2005] F:\Programme\QIP\qip.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\MSJAVA.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{582340F7-EEEE-494E-B652-12E8504E3C0F}: NameServer = 192.168.0.254
O18 - Filter: text/html - {849E3620-5444-11D8-85A0-444553540000} - (no file)
O20 - AppInit_DLLs: e1.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
EDIT: Also der "Checker" deines Links findet nur eine Datei, die eventuell böse sein könnte.
Das wäre sie: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
@ICQ
Richtig
Logfile of HijackThis v1.99.1
Scan saved at 18:31:18, on 19.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\QuickTime\qttask.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\internat.exe
F:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\iPod\bin\iPodService.exe
F:\Programme\Valve\Steam\Steam.exe
F:\Programme\QIP\qip.exe
F:\Programme\Firefox\firefox.exe
F:\Tobi\jacky.com.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.versatel-online.de:8080
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [OM_Monitor] F:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [razer] F:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [mswiz32] C:\WINDOWS\mswiz32.exe s
O4 - HKLM\..\Run: [mswiiz32] C:\WINDOWS\mswiiz32.exe s
O4 - HKLM\..\Run: [mswiizz32] C:\WINDOWS\mswiizz32.exe s
O4 - HKLM\..\Run: [UnlockerAssistant] "F:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [OM_Monitor] F:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [QIP2005] F:\Programme\QIP\qip.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\MSJAVA.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{582340F7-EEEE-494E-B652-12E8504E3C0F}: NameServer = 192.168.0.254
O18 - Filter: text/html - {849E3620-5444-11D8-85A0-444553540000} - (no file)
O20 - AppInit_DLLs: e1.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
EDIT: Also der "Checker" deines Links findet nur eine Datei, die eventuell böse sein könnte.
Das wäre sie: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
Ähnliche Themen
- Artikel
