W32/Ramnit.C Wurm gefangen

E

EasyFrag

0
Hallo liebe Community,

habe mir letzte Woche den Wurm W32/Ramnit.C gefangen. Wer ihn nicht kennt, er schreibt Einträge in sämtliche .html und .exe Dateien. Mein Avira kriegt sich fast nicht mehr ein und meldet im Sekundentakt neue Funde. Habe schon an die 5000!^^ Das Problem ist, dass der Wurm fleißig weiterschreibt und der eigentliche Wurm nicht gefunden wird, sondern nur die infizierten Dateien. Wollte zu dem Zweck mein Avira updaten, jedoch wird das Update abgebrochen, da keine Verbindung zum Server herstellbar ist.

Die Daten von Avira:
Suchengine V8.02.04, 15.01.2011
Virendefinitionsdatei V7.11.01.117, 13.01.2011

Fehlerprotokol des Updates:
Avira AntiVir Personal - Free Antivirus Updater
Vollständiges Produktupdate

Erstellungszeitpunkt: Sat Mar 12 17:37:57 2011
Produktinformationen:
Produktversion: 10.0.0.611
Updater: C:\Programme\Avira\AntiVir Desktop\update.exe 10.0.0.35
Updaterresource: C:\Programme\Avira\AntiVir Desktop\updaterc.dll 10.0.9.0
Bibliothek: C:\Programme\Avira\AntiVir Desktop\update.dll 0.1.0.44
Plugin: C:\Programme\Avira\AntiVir Desktop\updext.dll 10.0.0.8
GUI: C:\Programme\Avira\AntiVir Desktop\updgui.dll 10.0.2.0

Temporäres Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\
Backupverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\BACKUP\
Installationsverzeichnis: C:\Programme\Avira\AntiVir Desktop\
Updaterverzeichnis: C:\Programme\Avira\AntiVir Desktop\
AppData Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\

Proxyeinstellungen:
Verwende Systemeinstellungen

17:38:03 [UPD] [INFO] Prüfe ob neuere Dateien zur Verfügung stehen.
17:38:03 [UPD] [INFO] Wähle Updateserver 'http://175.150.191.39/update'.
17:38:03 [UPD] [INFO] Herunterladen von 'http://175.150.191.39/update/idx/master.idx' nach 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
17:38:32 [UPDLIB] [ERROR] Downloadmanager: Die Funktion WinINet::HttpSendRequest() 'http://175.150.191.39/update/idx/master.idx' ist fehlgeschlagen. Fehler: The server returned an invalid or unrecognized response
17:38:32 [UPD] [INFO] Wähle Updateserver 'http://85.239.180.42/update'.
17:38:32 [UPD] [INFO] Herunterladen von 'http://85.239.180.42/update/idx/master.idx' nach 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
17:38:38 [UPDLIB] [ERROR] Downloadmanager: Die Funktion WinINet::HttpSendRequest() 'http://85.239.180.42/update/idx/master.idx' ist fehlgeschlagen. Fehler: The server returned an invalid or unrecognized response
17:38:38 [UPD] [INFO] Wähle Updateserver 'http://243.18.138.14/update'.
17:38:38 [UPD] [INFO] Herunterladen von 'http://243.18.138.14/update/idx/master.idx' nach 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
17:38:40 [UPDLIB] [ERROR] Downloadmanager: Die Funktion WinINet::HttpSendRequest() 'http://243.18.138.14/update/idx/master.idx' ist fehlgeschlagen. Fehler: The server returned an invalid or unrecognized response
17:38:40 [UPDLIB] [ERROR] Keine weiteren Server vorhanden, das Update wird abgebrochen.
17:38:40 [UPD] [ERROR] Erzeugen der Updatestruktur ist fehlgeschlagen. Die UpdateLib liefert den Fehler 537.


Zusammenfassung:
****************
0 Dateien heruntergeladen
0 Dateien installiert

Sat Mar 12 17:38:40 2011
Das Update ist fehlgeschlagen!

Drehe langsam an Rat, da ich kein Spiel mehr zocken kann (außer Siedler 2, ein geiles Spiel:D), da alle Exen in der Quarantäne chillen!:wink:
Weiß jemand wie ich diesen Wurm wieder los werde bzw. was allgemein zu tun ist?

Gruß und Danke im vorraus,
Easy Frag
 
Hi,

sobald ein Virus/Wurm/Trojaner/Schadssoftware auf deinem System gefunden wurde ist es meiner Meinung nach Zeit es neu zu installieren. Denn egal was du unternehmen wirst, du kannst nie sicher sein, dass die Schadsoftware vollständig von deinem Computer gelöscht wird.
Besonders vorsichtig musst du sein, wenn du unteranderem noch online Banking oder ähnlich sensible Programme auf deinem PC ausführst.

Gut, wenn du frühzeitig ein Systembackup gemacht hast, das du nun einfach wieder zurückspielen kannst.

Alternativ kannst du versuchen dein System mit einer LiveCD einiger bekannter Antivirensoftwarehersteller zu reinigen. Dabei besteht jedoch auch keine 100%ige Sicherheit dein System wieder Virenfei zu bekommen.

Grüße
Kuttengeier
 
Ich schließe mich da meinem Vorredner an, bei so einem hartnäckigen Virus hilft eigentlich nur die komplette Liquidation der auf der Festplatte befindlichen Daten, wobei du natürlich die Daten die dir wichtig sind, vorrausgesetzt es sind keine ausführbaren Dateien wie .exe und bei dem Wurm .html, versteht sich, retten kannst.
 
Dh. die befallenen Daten sind unrettbar? Das wäre vorallem was die Spiele betrifft ein Schaden im 4 stelligen Bereich!!! Schwer das einfach hinzunehmen. Wo bekomme ich eine Live CD her? Was meinst du mit Backup? Vermutlich nicht die Windowssystemwiederhestellung oder reicht es das System auf einen Stand von vor 2 Wochen zurückzusetzen! Habe außerdem eine angeschlossene externe Festplatte, die war allerdings die letzten 2 Wochen net mehr an, also vermutlich noch unverseucht. Da der Wurm .doc, .dll,.html und .exe befällt ist da nicht viel zu retten. Besitze auch viele wichtige Word-Dokumente, die sind jetzt hin? Im Falle der Beseitigung des Wurms sind dennoch meine Dateien futsch, wo kriege ich also die exen wieder her??? (kurz vorm Nervenzusammenbruch:rolleyes:)

Gruß Easy Frag
 
Hi,

ich meinte soetwas wie ein Image der Festplatte, dass du zurücksichern und so den Zustand deines Systems zum Zeitpunkt der Imageerstellung wiederherstellen kannst.

Du bist der erste, von dem ich höre, dass ein Spieleschaden im vierstelligen Bereich liegt :-) Wenn diese Spiele so teuer waren, dann hast du doch bestimmt ein Installationsmedium, von dem du diese erneut auf deinen Computer spielen kannst, oder? Steam -> erneut herrunterladen. Oder hast du vielleicht mehr als 999 Spiele? :-)

Du kannst natürlich auch versuchen dein System mit einer Antivirensoftware zu reinigen. Die Neuinstallation war nur ein Vorschlag, den ich für am sinnigsten halte in deiner gegenwärtigen Situation. Was du im Endeffekt machst bleibt ja dir überlassen.

Grundsätzlich und theoretisch muss man sagen, dass alle Dateien, die sich in oder an einem infizierten System befinden als infiziert zu betrachten sind.

In der Praxis kommt es immer darauf an, wieviel Aufwand man bereit ist zu treiben.
Wenn du dein System einmal richtig frisch aufsetzt hast du nach zwei oder drei Tagen Ruhe und alle Konfigurationen und Installationen vorgenommen. Wenn du einen Virenscanner verwendest, dauert allein das Scannen schonmal lange. Dann findet er unter Umständen nicht alles und du hast nach einem erneuten hochfahren das selbe Problem (z.B. Einträge in der Reg. die nicht gefunden werden). Und was machst du nun? Doch wieder ne Neuinstallation.
Lange Rede, kurzer Sinn: Besser gleich einmal ins Klo greifen, dann hast du Ruhe!

Ich denke deine wichtigsten Dokumente solltest du von der Festplatte wiederherstellen, wenn möglich. Ansonsten mit LiveCD auf externer Festplatte nach Viren scannen.

Bei Virenscannern hast du nie 100%ige Sicherheit, dass alles gefunden wurde!

.:Nachtrag:.

Eine Systemwiederherstellung mit Windows Boardmitteln wird keinen Sinn machen, da alle Userdaten unangetastet bleiben und auch nicht alle Systemdaten wiederherstellt werden. Ein großer Teil deines Systems bleibt also im infizierten Zustand.

Grüsserle,
Kuttengeier
 
Zuletzt bearbeitet:
Sind schon viele! Spiele und die meisten runtergeladen, legal versteht sich. Und das ist platzmäßig zu groß für meine externe Festplatte, deshalb habe ich nur ein paar Spiele und wichtige Dinge dort gespeichert, aber ein komplettes Abbild meiner Festplatten habe ich nirgendwo gespeichert. Das Virenscaner nicht 100% sicher sind ist mir schon klar, aber ich benurtze auch Kondome...;)
Wäre mir sehr wichtig erstmal nicht zu flatten und rebuilden. Hat jemand ne spezielle Idee auch wegen Avira und dem nicht funktionierendem Update? Der Wurm ist ja bekannt, kann ihn jedoch nicht finden.
Anbei auch mal mein Logfile. Für Ideen, Tipps und Ratschläge aller Art sind gerne gesehen!:)
Gruß Easy Frag

Ps: Unter dem Logfile kommt noch was...:D

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 00:05:24, on 13.03.2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\dwm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\PROGRA~1\VCOM\Fix-It\mxtask.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Microsoft\conhost.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\csrss.exe
C:\WINDOWS\Dit.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\VCOM\Fix-It\mxtask.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\msdtc.exe
C:\Programme\Windows Live\Toolbar\wltuser.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:58202
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.hotmail.de;www.msn.de
F1 - win.ini: run= C:\WESTWOOD\ALARM\INSTICON.EXE
F3 - REG:win.ini: load=C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\csrss.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Programme\XxHnNlehn￾ÿšËmxvgjeja.exe\mxvgjeja.exe
O1 - Hosts: 85.239.180.42 perspeak.avira-update.com
O1 - Hosts: 149.49.231.120 personal.nl.avira-update.com
O1 - Hosts: 206.118.81.39 profpeak.avira-update.com
O1 - Hosts: 238.56.64.168 professional.nl.avira-update.com
O1 - Hosts: 103.2.5.202 prempeak.avira-update.com
O1 - Hosts: 154.93.127.134 premium.nl.avira-update.com
O1 - Hosts: 175.150.191.39 personal.avira-update.com
O1 - Hosts: 137.114.84.161 professional.avira-update.com
O1 - Hosts: 101.92.109.40 premium.avira-update.com
O1 - Hosts: 243.18.138.14 perspeak.avira-update.com
O1 - Hosts: 108.81.190.2 profpeak.avira-update.com
O1 - Hosts: 92.156.93.148 prempeak.avira-update.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O2 - BHO: softonic-de3 - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Fix-It AV] C:\PROGRA~1\VCOM\Fix-It\MemCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [conhost] C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Microsoft\conhost.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\neue spiele\counter source\steam.exe" -silent
O4 - HKCU\..\Run: [ClipIncSrvTray] "D:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe -update activex
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: mxvgjeja.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: mxvgjeja.exe (User 'Default user')
O4 - Startup: mxvgjeja.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1101228590656
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{785B597C-B9F8-4B9A-94A3-48AE24C3106E}: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.249,93.188.160.59
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.249,93.188.160.59
O18 - Protocol: haufereader - (no CLSID) - (no file)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Fix-It Task Manager - Avanquest Publishing USA, Inc. - C:\PROGRA~1\VCOM\Fix-It\mxtask.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: Windows Media Player-Netzwerkfreigabedienst (WMPNetworkSvc) - Unknown owner - C:\Programme\Windows Media Player\WMPNetwk.exe (file missing)
--
End of file - 14745 bytes
Zum Vergrößern anklicken....

Habe http://http://forums.majorgeeks.com/showthread.php?t=223538&page=2 noch eine interessante Anleitung gefunden und mir diese auch zu Gemüte geführt, jedoch funktioniert die Seite http://www.eset.com/onlinescan/ nicht mehr. Kann da wer helfen und was ist von der Anleitung zu halten?
 
Zuletzt bearbeitet:
Log-Auswertung im Sammelthread. Damit sollte dann auch das Update von Avira wieder gehen.

Ansonsten kann ich mich aber auch nur den Vorrednern anschließen
 
Scutus hat gesagt.:
eventuell auch gleich mal nach rootkits in der bios-umgebung scannen...nicht, dass da was anbrennt :)
Zum Vergrößern anklicken....

Welche Empfehlungen hättest du diesbezüglich für mich?

Die Idee mit der Live CD lässt mich nicht los... Das ganze wird vor dem Bootvorgang gemacht oder im abgesicherten Modus?

Angenommen ich kriege den Ereger allen übels, sind dann die befallenen Dateien noch zu retten auch wenn das bedeutet mit der Hand die schadhaften Einträge zu löschen? Kennt sich jemand mit dem W32/Ramnit.C besser aus? Soweit ich das verstanden habe schreibt nur die mgr.exe die Einträge.

Hat sich jemand mal den englisch sprachigen Forumsbeitrag aus meinem letzten Post angesehen? Meinungen dazu?

Gruß Easy Frag
 
hier findest du normale Rootkit-Scanner - diese finden aber eher keine Rootkits im Bios - da hilft nur das neu zu flashen - am besten über eine Live-CD. Aber es dürfte unwahrscheinlich sein, dass du dir sowas eingefangen hast, da der Angreifer ja ganz offensichtlich nicht unbemerkt bleiben wollte ;)

Live-CDs sind einfach Betriebssysteme, die von der CD gestartet werden, anstatt von der Festplatte. Dafür musst du eventuell im Bios deine Boot-"Suche" umstellen, sodass zuerst in dein Laufwerk geschaut wird, ob dort ein Betriebssystem liegt...Diese wäre hier zu nennen, oder eine andere, die extra zum Virenscan ausgelegt sind.

Natürlich ist es aber sinnvoller die Festplatte komplett zu bereinigen...
 
Also,als erstes schmeist du mal den scheiß Avira runter der kann in der Free Edition mal garnix,die Kaufversion ist besser aber auch nicht der Hammer.

Dann lad dir mal Panda Cloud und Threatfire runter,ist kein Super Schutz aber alle mal besser als der Avira.

Um die Malware zu entfernen schlage ich dir mal Knoppicillin in der Aktuellen Version vor,da hast du 3 AVs zum Scannen wen er nicht schon von Panda oder Threatfire gefunden wird.

Bei der Malware gehe ich mal davon aus das es sich um einen Downloader handelt und dieser dir immer neue Malware ins System läd.

Diese Pay-Per-Install oder Pay-Per-Load Dienste sind im Underground sehr sehr beliebt.Dazu wird einfach eine Malware wie z.b der Elite Loader,Dream Loader,Dloader,zLoader usw auf dein System Installiert.

Hier mal Screen vom MyLoader
statsloader1test.jpg


addtask.jpg


Und dann auf Seiten wie jetzt Down http://goldencashworld.biz zum Verkauf angeboten.Da kann dann jeder gegen einen bestimmten Preis seine Malware auf 1k Rechner Installieren lassen.Oder auch 1k Infizierte Pcs an solche Leute verkaufen,sie Kaufen und verkaufen.

Aus Rechtlichen Gründen Poste ich nicht die URL von einer Seite die noch Online ist.
 
ich hatte das selbe problem ich hatte aber ramnit a
mir hat ein video auf youtube sehr geholfen
Ramnit.b virus/worm testing + removal - YouTube&fs=1" width="644" height="390">Ramnit.b virus/worm testing + removal - YouTube&fs=1" />Ramnit.b virus/worm testing + removal - YouTube">https://www.youtube.com/watch?v=Ramnit.b virus/worm testing + removal - YouTube
http://www.youtube.com/watch?v=srpbDcHZGss

bin mir zwar nicht zu 100 % sicher das er ganz weg ist aber ein versuch ist es wert
und der viren scanner schlägt auch nicht mehr aus

ich hoffe das hilft ein par leuten

p.s hab ich extra registriert weill der virus mich so aufgeregt hat und ich anderen helfen wollte ih lus zu werden
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben