Jo extrahieren/entpacken is ja das gleiche...
Im selben Ordner muss die sysclean.com und die Patterns (aktuell: lpt162.zip) in entpackter Form sein.
Wenn das so ist was bringt er dann für ne genaue Fehlermeldung?
Gruß
also ich habe jetzt geschafft das ding zu entpacken, war zwar irgendwie umständlich aber gut.
habs auch laufen lassen können, ich glaube ich fliege aber immer noch aus internet.
und es ist nach wie vor das problem dass ich den firewall runterfahren muss am anfang wenn ich reingehe.
Logfile of HijackThis v1.98.1
Scan saved at 21:41:19, on 31.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\w32usb2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
C:\WINDOWS\sllights.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Nadine\Desktop\hjt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3566A371-3CEF-4305-A2A1-08346B8DBE80}: NameServer = 217.237.149.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{3566A371-3CEF-4305-A2A1-08346B8DBE80}: NameServer = 217.237.149.225 194.25.2.129
Tja schaust aus wie vorher...
Das scheint ein Schädling zu sein:
O4 - HKLM\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
Teste die Datei mal hier und schreib das rgebnis:
Kaspersky-Online Virentest
Gruß
Jo den Link anklicken und dort af durchsuchen und dann muste die Datei w32usb2.exe auswählen.
Musste halt vorher über die Suchfunktion danach suchen wo die liegt das du sie auswählen kannst.
Nach dem auswählen auf überprüfen, dann bekommste das Ergebnis.
Gruß
hallo, ich habe zur zeit erhebliche probleme +überhaupt im netz zu bleiben!
und die aufgeführte datei gibts bei mir nicht (weiß nicht warum) habe bei suchen alles durchsucht!
was mache ich jetzt?
die t-online seite, lässt sich zur zeit garnicht mehr aufrufen!
desweiteren habe ich nun den zonealarm runtergeschmissen und auch das adaware 6.
kann es vielleicht sein dass ich zuviele virenprogramme habe? (habe antivire, adawarepersonal, stinger + die von diesem beitrag runtergeladenen)
muss ich da welche löschen?
Nö solange die nicht alle gleichzeitig laufen is egal..
Und wennste die datei nicht findest fixe die Einträge im Hijackthis im abges.-Modus:
O4 - HKLM\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
Und dann kannste neu booten und schauen ob was neus auftaucht.
Ansonsten wird wohl ne Neuinstalltion weniger Arbeit sein.
Gruß
so siehts jetzt aus:Logfile of HijackThis v1.98.1
Scan saved at 10:30:27, on 05.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\winitr32.exe
C:\WINDOWS\System32\svxhost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Nadine\Desktop\hjt.exe
C:\WINDOWS\explorer.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Win32 Wmls Driver] winitr32.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\horvpwd.exe
O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe
O4 - HKLM\..\RunServices: [Win32 Wmls Driver] winitr32.exe
O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe
O4 - HKLM\..\RunOnce: [Win32 Wmls Driver] winitr32.exe
O4 - HKLM\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win32 Wmls Driver] winitr32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SVX Control Service] svxhost.exe
O4 - HKCU\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - HKCU\..\RunOnce: [Win32 Wmls Driver] winitr32.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
ist da jetzt noch ein virus drauf?
wenn ich anschalte kommt immer eine fehlermeldung:"explorer exe hat ein problem festgestellt, problem senden ja oder nein"
wenn ich hier im forum bin kommt immer die meldung dass die aktuellen sicherheitseinstellungen die ausführung von aktivex-steuerelementen nicht geht oder so ähnlich.
da habe ich glaube ich mal was deaktiviert (anderes forum mir geraten).muss ich das wieder ändern? wenn ja wo war das?was muss ich da einstellen.
wie mache ich eigentlich einen systemneustart, da brauch ich doch ne cd, oder geht das auch ohne? sind dann auch nicht meine daten weg?
nadine
ich kann mich ja täuschen , aber wäre nicht erst mal der SASSER -Killer angebracht ? Vorher die WIN-Firewall einschalten , sonst ist er beim nächsten Internetstart wieder da !
Geht allerdings nicht bei Wahl mit TOFFLINE-Software , da kann man den FW nicht aktivieren .
HCK62
schau mal da nach . und schalte den win-Firewall vorher an , sonst isser sofort wieder da
HCK62
Nö is schon wieder alles voll:
O4 - HKLM\..\Run: [Win32 Wmls Driver] winitr32.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\horvpwd.exe
O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe
O4 - HKLM\..\RunServices: [Win32 Wmls Driver] winitr32.exe
O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe
O4 - HKLM\..\RunOnce: [Win32 Wmls Driver] winitr32.exe
O4 - HKLM\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - HKCU\..\Run: [Win32 Wmls Driver] winitr32.exe
O4 - HKCU\..\Run: [SVX Control Service] svxhost.exe
O4 - HKCU\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - HKCU\..\RunOnce: [Win32 Wmls Driver] winitr32.exe
Das spielchen kannste wahrscheinlich ewig spielen, irggendwo sitz was das immer neu infiziert.
Benutz mal in HIjackthis->config->misc.Tools->Generate Startup-List.LOG (vorher darunter die 2 Häkchen setzen)->do you want to continue->YES
Dann kopierst das LOG hier rein.
Ansonsten kannste noch Kaspersky Antivirus Trial probieren...
Wenn das auch ned funzt bleibt nur noch ne Neuinstallation mit formatieren, da gehen dann natürlich deine daten verloren, wennste die vorher nicht sicherst, aber nur Daten sonst haste nacher den Virus schon wieder.
http://www.computerhilfen.de/tipps-windows-xp-neu-installieren.php3
Gruß
Bei mir hat geholfen:
winitr32 stoppen.
winitr32.exe (war bei mir auf C:\windows\system32 an www.Kaspersky.com zum Analysieren schicken (die haben so eine Funktion auf ihrer homepage). Falls dein Problem das gleiche wie bei mir ist kommt zurück:
infiziert von Backdoor.Win32.Wootbot.c
Scheint ein ganz neuer Wurm zu sein, die meisten Viren-Scanneer kennen ihn offenbar noch nicht. Die nächsten Schritte muss ich mir selbst noch überlegen.
Ich glaube, ich werde probieren, winitr32.exe zu entfernen und dann auch die registry-Einträge löschen. Aber wie gesagt, das ist jetzt nicht erprobt.
Ich hoffe, das hilft dir weiter.
Bernhard
Schaut mal hier nach. Ist ein neuer Wurm.
http://www.sophos.com.au/virusinfo/analyses/w32forbotc.html
Gruß
Andreas
StartupList report, 07.09.2004, 20:50:32
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\Nadine\Desktop\hjt.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\winitr32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
C:\WINDOWS\sllights.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\PROGRA~1\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\serm32.exe
C:\WINDOWS\System32\sysentry32.exe
C:\Dokumente und Einstellungen\Nadine\Desktop\hjt.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TkBellExe = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
SO5 Integrator Pass Two = C:\WINDOWS\SOINTGR.EXE
SiSUSBRG = C:\WINDOWS\sisUSBrg.exe
SiS Tray = C:\WINDOWS\System32\sistray.EXE
SiS KHooker = C:\WINDOWS\System32\khooker.exe
QuickTime Task = C:\WINDOWS\System32\qttask.exe
AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min
Win32 Wmls Driver = winitr32.exe
WIND0WS = WIND0WS.exe
Microsoft WinUpdates = serm32.exe
System Uptime Server = sysentry32.exe
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 Wmls Driver = winitr32.exe
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Win32 Wmls Driver = winitr32.exe
Microsoft WinUpdates = serm32.exe
System Uptime Server = sysentry32.exe
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
Win32 Wmls Driver = winitr32.exe
MSMSGS = "C:\Programme\Messenger\msmsgs.exe" /background
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 Wmls Driver = winitr32.exe
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Enumerating Download Program Files:
[QuickTime Object]
InProcServer32 = C:\WINDOWS\System32\QTPlugin.ocx
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab
[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\System32\macromed\Shockwave 8\Download.dll
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
[AvxScanOnline Control]
InProcServer32 = C:\WINDOWS\AvxOScan\BITDEF~1.OCX
CODEBASE = http://www.bitdefender.de/scan/Msie/bitdefender.cab
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
--------------------------------------------------
End of report, 5.529 bytes
Report generated in 0,110 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
hallo ihr!
das da oben war erstmal das hij.
dann wollte ich dort von der seite was runterladen (das zuletzt genannte von boomi)
da kam die meldung, "dass die aktuellen sicherheitseinrichtungen das downloaden nicht zu lassen was soll ich nun tun?
hier kommt auch ständig die meldung dass die aktivxeinstellungen die anzeige behindern.
sagt mir doch mal bitte einer was ich tun soll!!!???
ich muss ständig im abgesicherten modus alles mögliche durchlaufen lassen dass ich überhaupt ins netzt komme.
desweiteren kann ich nicht mehr auf die t-online seite (meine start seite)
kam vorhins ne fehlermeldung auf englisch.
helft mal bitte, dass ich das für den neuen virus runterladne kann.
danke!!!
Was wolltest denn runterladen?
Ansonsten erst nochmal Escan updaten...(kavupd.exe in c:\bases starten)
Dann den Patch hier runterladen:
Sicherheitsupdate für Windows XP (KB835732)
Dort dann auf GO klicken zum runterladen...-> offline gehn ->installieren
Dann neu starten in den abgesicherten-Modus und dann nochmal Escan starten (doppelklick mwavscan.com) -> Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und Scan All Files und das System damit scannen(Scan Clean).
Und das mit dem Activex is schon richtig so, das sollte nur aktiviert sein wenn du Windows-Update ausführen willst.
Ansonsten gibts hiern kleines Tool damit die Meldungen geschlossen werden: AcxKiller
Downloaden->entpacken und starten...und/oder ne verknüpfung zum Tool in den Autostart werfen
Gruß
« Virenscan ??? | Trojaner / Löschlösung??? » | ||