Wurm Goldun.B kann nicht entfernt werden !!!

Dieses Thema im Forum "Sicherheit" wurde erstellt von e.rico, 23. Februar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. e.rico

    e.rico Byte

    Registriert seit:
    7. September 2005
    Beiträge:
    40
    Hilfe, mein Trendmicro PC-cillin, zeigt mir ständig die Meldung an, dass unter C:\windows\system32\nucengdll.dll der Wurm Goldun.B gefunden worden ist. Ich habe den Virenscanner aktualisiert und bin der folgenden Anleitung 1:1 gefolgt http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_GOLDUN.B&VSect=Sn, allerdings finde ich die unter Removing Malware Entries from the Registry angegebenen Schlüssel in der Registry nicht !!!

    Was soll ich machen???

    Danke für eure Hilfe!
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also nach überfliegen der Beschreibung von dem Wurm macht ein bereinigen wohl keinen großen Sinn, aber poste mal den Link zu deinem HijackThis Log.
    Außerdem untersuchst du dein System mal mit F-Secure Blacklight und postest auch dieses Log (wird automatisch nach dem scan im selben Pfad erstellt fsbl***.txt)


    Grüße Jasager
     
  3. e.rico

    e.rico Byte

    Registriert seit:
    7. September 2005
    Beiträge:
    40
  4. e.rico

    e.rico Byte

    Registriert seit:
    7. September 2005
    Beiträge:
    40
    02/23/06 16:00:45 [Info]: BlackLight Engine 1.0.32 initialized
    02/23/06 16:00:45 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    02/23/06 16:00:45 [Note]: 7019 4
    02/23/06 16:00:45 [Note]: 7005 0
    02/23/06 16:00:49 [Note]: 7006 0
    02/23/06 16:00:49 [Note]: 7011 2024
    02/23/06 16:00:49 [Note]: FSRAW library version 1.7.1015
    02/23/06 16:03:14 [Note]: 7007 0
     
  5. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    überprüfe mal folgende Dateien:
    C:\WINDOWS\system32\atlik32.exe
    C:\WINDOWS\system32\javavp.exe
    C:\WINDOWS\mfcuo32.exe
    C:\WINDOWS\javabs32.exe
    C:\WINDOWS\SYSTEM32\nucengdll.dll

    hier und poste das Ergebnis. Übrigens hast du momentan einen Russischen Server als sehr vertrauenswürdig eingestellt.
    Aber wie schon oben erwähnt ich sehe eigentlich jetzt schon alle Anzeichen dafür erfüllt das die einzige sinnvolle Maßnahme ein Neuaufsetzen des Systems ist.


    Grüße Jasager
     
  6. e.rico

    e.rico Byte

    Registriert seit:
    7. September 2005
    Beiträge:
    40
    Sorry, aber ich finde die von dir angegebenen Dateien nicht...
    Bin halt en Anfänger :-)

    Was soll ich jetzt machen?
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ev. auch möglich das sie nicht mehr da sind. Aber nimm mal folgende Einstellungen vor und suche noch mal.
    Zumindest die letzte müßte eigentlich noch da sein.


    Grüße Jasager
     
  8. e.rico

    e.rico Byte

    Registriert seit:
    7. September 2005
    Beiträge:
    40
    nucengdll.dll:
    File size can't be more than 10 Megabytes.
    You can't try compressing it.
    Thanks you.
     
  9. e.rico

    e.rico Byte

    Registriert seit:
    7. September 2005
    Beiträge:
    40
    Die anderen sind nicht da; ich find zwar ähnliche z.B. mfcou.dll oder java.exe, aber nicht genau die, die du angegeben hast...
     
  10. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ich nehme mal an die anderen Dateien sind nicht da.
    Hmm, dann machen wir es mal anders, mache einen Onlinescan bei Kaspersky (ev. musst du davor www.kaspersky.com zu den vertrauenswürdigen Seiten hinzufügen) und poste den Report.


    Grüße Jasager
     
  11. e.rico

    e.rico Byte

    Registriert seit:
    7. September 2005
    Beiträge:
    40
    Seit 10 min steht der bei dem Punkt:

    "Initialisierung von Kaspersky On-line Scanner
    (Download und Installation von Kaspersky On-line Scanner ActiveX von einem Server auf Ihren Computer)"

    und scannt die ganze Zeit. Im Explorerfenster wird Fehler auf dieser Seite angezeigt...Ich hab den Scan schonmal neu gestartet aber es fkt. nicht...

    Heut is glaub ich net mein Tag:mad:
     
  12. e.rico

    e.rico Byte

    Registriert seit:
    7. September 2005
    Beiträge:
    40
    Ich nehm alles zurück...es geht (aber nur auf der Originalseite ohne de)
     
  13. e.rico

    e.rico Byte

    Registriert seit:
    7. September 2005
    Beiträge:
    40
    Reichen eigentlich auch die critical-areas oder muss es ganz c: sein?
     
  14. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    mach mal lieber ganz C:\ auf die paar Minuten mehr kommt es jetzt auch nicht mehr an.


    Grüße Jasager
     
  15. e.rico

    e.rico Byte

    Registriert seit:
    7. September 2005
    Beiträge:
    40
    Hallo Jasager,
    weitere Vorgehensweise siehe in deinen Privaten Nachrichten

    Gruß
    e.rico
     
  16. Mopao

    Mopao Byte

    Registriert seit:
    30. Dezember 2004
    Beiträge:
    14
    hey e.rico

    Poste mal dein aktuelle HijackThis Log

    Gruss
    Mopao
     
  17. e.rico

    e.rico Byte

    Registriert seit:
    7. September 2005
    Beiträge:
    40
    Schau mal ein paar Postings weiter vorne...Da findest du es...
     
  18. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @mopao
    Hast du den Nick auch bei Paules?


    Grüße Jasager
     
  19. Mopao

    Mopao Byte

    Registriert seit:
    30. Dezember 2004
    Beiträge:
    14
    Ja

    Gruss
    Mopao
     
  20. Mopao

    Mopao Byte

    Registriert seit:
    30. Dezember 2004
    Beiträge:
    14
    Ja habe schon gesehen,aber ist nicht einfach zu lesen

    Gruss
    Mopao
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen