nalebius 10 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 hallo habe per antivir in c:\windows\temp.bat den im betreff genannten wurm gefunden und kann ihn leider nicht entfernen möchte gerne der neuinstallation aus dem wege gehen habe vorgestern win xp mit sp1 installiert anschließend per windows update auf sp2 aktualisiert und seitdem meldet mir antivir den wurm würde mich sehr über lösungsvorschläge und unterstützung freuen gruß nale Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 Hi nalebius ud Willkommen im Board ! Starte im abgesicherten Modus und scanne dann nochmal. Zitieren Link zu diesem Kommentar
nalebius 10 Geschrieben 10. November 2004 Autor Melden Teilen Geschrieben 10. November 2004 hab jetzt im abgesicherten modus nen 60 minütigen komplettscan durchgeführt und der hat irgendwie nichts gefunden jetzt wenn ich wieder im normalen modus bin spuckt er mir wieder die meldung über den wurm aus bin jetzt etwas leicht verwirrt was hat das zu bedeuten? gruß nale Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 Mmh, ich auch ! Hol Dir mal HiJackThis: http://www.spychecker.com/program/hijackthis.html führ das aus und speicher das logfile mit notepad (ist eine Option in HiJackThis-> SaveAs). Poste dann mal das Logfile - da kann man erkennen, was bei Dir so läuft ! ;) Zitieren Link zu diesem Kommentar
nalebius 10 Geschrieben 10. November 2004 Autor Melden Teilen Geschrieben 10. November 2004 Logfile of HijackThis v1.97.7 Scan saved at 21:06:57, on 10.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\RUNDLL16.EXE C:\WINDOWS\system32\lsass64BiT.exe C:\WINDOWS\system32\nvsvc.exe C:\DOKUME~1\Gerald\LOKALE~1\Temp\dipset.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\RUNDLL16.EXE O4 - HKLM\..\Run: [lsass64BiT.exe] lsass64BiT.exe O4 - HKLM\..\Run: [Network System Information] nvsvc.exe O4 - HKLM\..\Run: [Printer] C:\DOKUME~1\Gerald\LOKALE~1\Temp\dipset.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [lsass64BiT.exe] lsass64BiT.exe O4 - HKLM\..\RunServices: [Network System Information] nvsvc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [lsass64BiT.exe] lsass64BiT.exe O4 - HKLM\..\RunOnce: [lsass64BiT.exe] lsass64BiT.exe O4 - HKCU\..\RunOnce: [lsass64BiT.exe] lsass64BiT.exe O4 - Startup: freenet.lnk = ? O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06e1637eef006d1e8b06/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099503759565 O17 - HKLM\System\CCS\Services\Tcpip\..\{502735A9-8F9E-475F-B05A-05E6D8FAE2D6}: NameServer = 194.97.173.125 194.97.173.124 Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 C:\DOKUME~1\Gerald\LOKALE~1\Temp\dipset.exe Die läuft als Drucker-Feauture - ist aber ein Trojaner. Das Ding muß weg ! Nochmal im abgesicherten Modus starten und dann msconfig aufrufen. Da gibt es dann wohl unter Systemstart einen Eintrag, der auf diese dispset.exe verweist. Wenn Du den Eintrag im msconfig gefunden hast, startest Du regedit, gehst in der Registry genau auf den Punkt, den msconfig beschreibt (HKLM\Software\Microsoft\Windows\CurrentVersion\Run) , und löscht den Eintrag zu dipset.exe. Wenn Dir die Erklärung zu "spanisch vorkommt", sag Bescheid. Zitieren Link zu diesem Kommentar
nalebius 10 Geschrieben 10. November 2004 Autor Melden Teilen Geschrieben 10. November 2004 also hab im abgesicherten modus den eintrag im systemstart deaktiviert in der regedit allerdings keinen eintrag gefunden neu gestartet die meldung über den wurm bleibt bestehen Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 @Zuschauer kann man den Eintrag nicht mit regcleaner entfernen? Greetz Cat Zitieren Link zu diesem Kommentar
Sigma 10 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 Hallo, ich nehm mal an, Zuschauer hatte das so gemeint: Bei msconfig wird angezeigt, wo der Schlüssel steht. Anstatt den Haken bei msconfig rauszunehmen, gehst Du in der Registry an die angegebene Stelle und entfernst den Eintrag. Von "lsass64Bit.exe" hab ich noch nix gehört, der Eintrag klingt für mich sehr nach dem Übeltäter, auch da er sich unter einem ähnlichen Namen wie ein bekannter Dienst (Lsass) tarnt. Am besten Du startest im abgesicherten Modus und entfernst den ebenfalls (kannst ja auch erstmal nur die Haken per msconfig löschen). Schau vorher auf alle Fälle mal im Taskmanager nach, ob sich dort ein Prozeß namens lsass64Bit.exe aufhält und wenn ja, beende ihn. Tschau, Sigma. Zitieren Link zu diesem Kommentar
nalebius 10 Geschrieben 10. November 2004 Autor Melden Teilen Geschrieben 10. November 2004 gut ich werde jetzt nochmal den abgesicherten modus starten und die beiden einträge aus der registry löschen (keine der beiden anwendungen generiert in der taskleiste ein symbol) Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 Hi, check doch mal deine laufenden Prozesse mit dem Security Taskmanager. Aber nicht was er rot anzeigt ist böse! Dein Spybot oder dein Antivir wird wahrscheinlich eh rot angezeigt, aber vielleicht hilft es dir schon was weiter. Hier ne 30 Tage Demo http://www.neuber.com/taskmanager/deutsch/download.html Greetz Cat Zitieren Link zu diesem Kommentar
nalebius 10 Geschrieben 10. November 2004 Autor Melden Teilen Geschrieben 10. November 2004 cat? und woher seh ich dann genau was böse ist bei dem security taskmanager interessant: ich habe alle einträge zu lsass64bit gelöscht (registry u. systemstart) das fazit daraus ist: mein pc startet schneller, internetseiten werden schneller (jetzt wieder wie gewohnt) aufgebaut und auch viele programme starten wieder in dem tempo wie es für mein system eigentlich immer üblich war allerdings bleibt weiterhin die meldung über den gefundenen wurm Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 Hi, also erstmal ist alles was potentiell böse sein könnte mehr oder weniger rot gemarkt (seltsamerweise auch der security Taskmanager:rolleyes: ) Dann kannst du die jeweils anklicken und bewerten (unten links erscheint ein erklärungsfenster des jeweiligen dienstes) Mit Everest home edition kannst du auch deine Tasks kontrollieren (ebenfalls mit Name des Programmes und Pfadangabe) Zu deinem Lsass64bit.exe Ist ja auch seltsam, dass man keinerlei erläuterung zu dem Prozess findet (beispielsweise google) aber alles was man findet ist mit irgendwelchen hijackthislogs kombiniert. BTW ich empfehle dir, dir einen vernünftigen Virenscanner zu kaufen, hatte den auch mal. Greetz Cat Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 Hi, ich habs. Der Prozess war mir die ganze Zeit komisch RUNDLL16.EXE Original von der Taskmanager und seine ProzesseDie “rundll16.exe” ist eine Virusdatei, die zum Einen von einem Virus namens Sdbot.F (eine Variante von Backdoor.Sdbot) als auch vom Wurm “RORON” stammen kann.(Weitere Varianten möglich) Weitere Informationen erhalten sie auf den gängigen Virenscanner und Virenlexikaseiten. Greetz Cat Zitieren Link zu diesem Kommentar
nalebius 10 Geschrieben 10. November 2004 Autor Melden Teilen Geschrieben 10. November 2004 cat jupp habs mittlerweile selber gelöst :) korrekt ist das die rundll16.exe für den wurm verantwortlich war aber irgendwie war mein zwei tage altes system noch mit einigen anderen viren/trojanern befallen folgende dateien musste ich im abgesicherten modus "killen" nvscv.exe rundll16.exe dipset.exe lsass64bit.exe mein system läuft jetzt endlich wieder rund und habe ne seite gefunden die viele taskmanager prozesse auflistet und erklärt (http://www.frankn.com) danke nochmal an alle Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.