Worm.win32.netboost Virus Alert

Hallo zusammen

Ich habe ein grosses Problem, auf meinem Desktop PC (Win XP) ist seit gestern ein Virus drauf und ich hab keine Ahnung wie ich den entfernen soll. Bin jetzt mit meinem Laptop im Internet. Desktop hab ich vom Internet getrennt. Die Festplatte C wird nicht erkannt und nach bisschen rumstöbern im Forum muss es woll der Worm.win32.netboost Virus sein, auch mein PC zeigt unten in der Taskleiste Virus Alert an.

Wenn ich S&D durchlaufen lasse, kommen immer volgende Einträge wieder und wieder:

Smitfraud-C.MSVPS
Zlob.Downloader.bs
Zlob.Downloader.vcd

Diverse Malware konnte ich mit Avira Antivir löschen.

Hijackthis, CCleaner sowie Adaware 2008 werde ich jetzt gleich installieren.

Im Forum gab es einen Eintrag da wurde erklährt das nur noch Formatieren helfen würde, hoffentlich muss ich nicht formatieren :S

Würde eine Systemwiederherstellung helfen?

Danke für die Hilfe.

Gruss
Hans

 

Mach erstmal ein HiJackThis-Log nach der Anleitung hier:

http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html

Vielleicht können dir dann die Experten hier noch helfen!

 

Hier der Hijackthis Log. Adaware hat bis jetzt noch nichts gefunden. Systemwiederherstellung hab ich mal deaktiviert, so wie es in der Anleitung "Schädlingsbekämpfung" steht.

 

SP3 ist verfügbar...

im Taskmanager beenden:

Code:

C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\ALCWZRD.EXE

online checken lassen (jotti bzw virustotal)- Ergebnis hier posten

Code:

C:\WINDOWS\[B][COLOR="Red"]ALCMTR.EXE[/COLOR][/B]
O2 - BHO: QXK Olive - {0BB40FCB-2340-4B4D-984D-C7A68DFD0244} - C:\WINDOWS\[COLOR="Red"][B]kgqfweltpen.dll[/B][/COLOR]
C:\WINDOWS\[B][COLOR="Red"]ALCWZRD.EXE[/COLOR][/B]

die Spybot einträge mit 04 bitte fixen...

edit:

Code:

C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\ALCWZRD.EXE

müsste von Realtek sein....
und ich finde keinen Zlob... hast du gerade mittels Spybot bereinigt? wenn ja neustart, systemwiederherstellung aus und erneutes HJT

 

Es gibt seit geraumer Zeit bereits die Version 06! Bitte updaten!

 

Adaware ist noch am suchen (Immer noch nichts gefunden). Wenn der beendet ist starte ich neu. Hab den von dir genannten Prozess beim Taskmanager beendet. Hab die 04 Einträge von S&D gefixed. Unten hab ich den neuen Hjt Log nach dem fixen.

Das mit dem Online check hab ich nicht ganz verstanden. Wie soll ich das machen. Bin auf www.virustotal.com aber dort steht ich soll eine Datei Hochladen?

Soll ich den Rechner wieder mit dem Internet verbinden?

 

bitte diese datei auch online checken lassen: C:\WINDOWS\system32\wbem\wmiprvse.exe

wenn adaware fertig ist, machst du einen neustart, lässt die dateien online checken, postest ein neues HJT und die Ergebnisse der Tests

japp lade die dateien hoch.... wenn du ein Ergebnis hast, nimm den PC wieder vom Netz

 

Das musst du dann wohl! Und dann die von humi oben genannten Dateien hochladen und überprüfen lassen!

 

Ok, jetzt hab ichs verstanden. Ist das richtig, das der Virus, Passwörter etc. von meinem Rechner klaut? Wenn ich nun den Rechner verbinde, könnte es dann nicht sein, das der Virus die Pw anfängt zu versenden? Mein Rechner zeigte eine Nachricht "In worse cases it takes passwords etc. from your pc".

 

das könnte schon laängst der Fall gewesen sein, da du nicht weisst wielang du schon nen Bösewicht hast, jedoch zeigt das jetztige Log keine wirkliche Bedrohung oder Anzeichen eines Zlobs...

deswegen will ich auch dass du einen Neustart machst, damit wir sehen ob sich da nicht doch was wiederherstellt, die Entfernungsroutine von Spybot S&D ist imo gut...

Wenn du Angst hast, es sind bereits Daten an Dritte weitergelangt, online Banking(mit Bank in Verbindung setzen und mitteilen, dass es sein kann, das die Zugangsdaten an Dritte gingen)

Wenn du zuviele Sorgen hast, setz den Rechner neu auf und ändere anschliessend deine LogIn Daten auf deinen Seiten...

 

Hab den Pc Neu gestartet. Adaware hat keine Spyware gefunden. Werde trotzdem S&D nochmal drüberlaufen lassen.

Hier die Auswertung von Virustotal:

C:\WINDOWS\system32\wbem\wmiprvse.exe
http://www.virustotal.com/de/analisis/e4146e4de1671950ec705af5208c0efa

C:\WINDOWS\ALCWZRD.EXE
http://www.virustotal.com/de/analisis/ccda08298a1e6051c83ac9dd7b162e21

C:\WINDOWS\kgqfweltpen.dll
http://www.virustotal.com/de/analisis/19254b8fcbed3b8a396bc12d8c8e1e9f

C:\WINDOWS\ALCMTR.EXE
http://www.virustotal.com/de/analisis/6b0d1b9fd5ffb95974070d0efe9dd967

O2 - BHO: QXK Olive - {0BB40FCB-2340-4B4D-984D-C7A68DFD0244} wollte ich durchsuchen, ging aber nicht :S

Unten ist noch der neue Hjt Log. CCleaner hab ich 1mal durchlaufen lassen.

 

bei deaktivierter Systemwiederherstellung bitte fixen:

Code:

O2 - BHO: QXK Olive - {0BB40FCB-2340-4B4D-984D-C7A68DFD0244} - C:\WINDOWS\kgqfweltpen.dll[COLOR="Red"]dat is da bese junge[/COLOR]
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: nqgpedlr - {D4919423-011C-4FDA-8AC1-6A37E496EC39} - C:\WINDOWS\nqgpedlr.dll (file missing)
O21 - SSODL: axrfgvek - {FB62BEC8-4FC8-4840-B783-910E61E09598} - C:\WINDOWS\axrfgvek.dll (file missing)
O21 - SSODL: okmdepgb - {C28EAD95-F408-43A3-B455-6433659487E0} - C:\WINDOWS\okmdepgb.dll (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

keine Angst wir räumen auch nebenbei dein System etwas auf^^

bitte nach dem fixen der Einträge das System neu starten und ein erneutes log

und die Datei: ALCMTR.EXE noch auf jotti überprüfen lassen....

 

Hier mal ein Screenshot von meinem Desktop. Unten in der Taskleiste immer noch das "Virus Alert". Der Desktop sah vor der Entfernung von BAT/FAKE.Privdanger mit Antivir ganz weiss aus, und die Symbole liessen sich nicht verschieben.

Desktop: http://img139.imageshack.us/img139/5199/deskmk0.jpg

Hab die Reports noch durchgeschaut und zeig euch mal die Ergebnisse der letzten Durchsuchungen (unten angehängt).

 

Hab die Einträge gefixed und neu gestartet. Neuer Log ist angefügt. S&D hat folgende Probleme gefunden, die ich behoben habe:

DoubleClick

Smitfraud-C.MSVPS (Konnte nicht behoben werden, da die entsprechende Datei immer noch im Speicher residiert. Kann wahrscheinlich beim nächsten Neustart behoben werden)

Jotti hat nichts an der Datei gefunden.

Wieso findet S&D immer das gleiche? Gab noch nie eine Überprüfung die fehlerlos endete seit dem Viren befahl. Was ich auch noch sagen sollte, ich glaub ich habe mir den Virus beim herunterladen eines Adons mit IE7 eingefangen, kann das sein? Hab daraufhin mal bei den Adons geschaut aber nichts aufälliges gefunden.

 

im Log kann ich jedoch nichts auffälliges mehr sehen...

1.deaktiviere Systemwiederherstellung
2.lösche die Temp.Daten... ggf. manuell (Dokumente und Einstellungen-USer-Lokale Einstellungen)
3.starte Spybot
4.Systemneustart und HJT

jedoch tendiere ich langsam zum Neuafsetzen des Systems

 

Soll ich den CCleaner nochmal durchlaufen lassen? Ach sch*****. Das Neuaufsetzen ist sowas von mühsam. Macht mich grad bisschen zornig wenn ich daran denken muss. Immer diese Viren. Kannst du mir paar gute Links geben für eine online system scan? Würde mich interessieren was daraus lesbar ist.

 

die Anleitung kennst
Kaspersky Online Scan mittels IE

Naja mittlererweile muss man sagen, hättest du schon aufgesetzt

 

Hallo,

einen Zlob entfernen kannst du vergessen, ist nicht zu machen.
Formatieren und System neu installieren !

Ja wenn du dir einen Video-Codec aus unseriöser Quelle installierst um dir
nackte Weiber zu betrachten ... selber Schuld

 

Hallo

Nun, da sich formatieren nicht mehr vermeiden lässt hab ich fragen, da ich gerne Linux testen möchte.

1. Welches Linux eignet sich am besten für den Einstieg?
2. Folgende Vorgehensweise habe ich mir überlegt:

a) Alle meine wichten Daten (Arbeiten, Bilder etc. auf externe Festplatte sichern).

b) Linux downloaden und als ISO auf eine CD brennen.

c) ISO beim starten von Win einlegen und einfach installieren (also über das vorherige Win drüber installieren). Geht das überhaupt, oder muss ich zuerst komplett formatieren?

Klingt einfach, ist es aber auch so?

Wie sieht es mit Treibererkennung aus? Kann ich dann normal wieder ins Internet, oder wird mein Internet nicht mehr erkannt?

Ich habe 1 Festplatte. Mir wurde gesagt das man heutzutage nur 1 Partition macht. Soll ich die Festplatte in 2 Partitionen Teilen, auf einer Win und auf der anderen Linux, oder ist das zu kompliziert?

Danke
Hans

 

Hab mich für Ubuntu entschieden. Gibt ja auch ne Anleitung auf PCWelt. Hoffe ich kanns ohne Probleme mit der Anleitung installieren.