Hilfe,bekomme Worm.win32.NetSky nicht weg

**Mike2562** · 08.11.2007 21:23

Hi Speedy,
das ist kein Ordner sondern irgendeine Datei mit dem Namen XRGPSHDJ mit einem Iconbild (Windowszeichen auf Papier)
Eine Untersuchung mit Virustotal habe ich vorgenommen aber die Datei ist zu groß
(Bigger than max permited size / Mayor del tamaño máximo permitido)
Weitere Infos habe ich nicht zu der Datei!

Gruß
Mike

**Yourhighness** · 09.11.2007 06:08

Hi.

Schritt #1

Oeffne notepad und kopiere alles aus der Code-box hinein:

Code:

FileLook::
C:\WINDOWS\system32\XRGPSHDJ

DirLook::
C:\WINDOWS\system32\XRGPSHDJ

Speichere dies als CFScript.txt
In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte fuege es hier als Antwort ein.
NB: Bewege nicht die Maus ueber das ComboFix fenster oder klicke in dieses hinein. Dies kann dazu fuehren, dass ComboFix sich aufhaengt.

Wenn ComboFix fertig ist, wird eine Message Box erscheinen. Klicke OK und folge den Aufforderungen / Anweisungen um die Dateien hoch zu laden.

Danke.

Schritt #2

Bitte sende mir die Datei auch an folgende Email: malwareATmytidbits.de (ersetze das AT mit @). Im Betreff gebe Bitte "Mike - Worm.win32.Netsky" an, damit ich es besser zuordnen kann.

Danke

**Mike2562** · 09.11.2007 18:10

Hallo,

was denn für eine Datei?Es kommt doch nur das Logfile!

Code:

ComboFix 07-11-08.1 - Mike Dießelmann 2007-11-09 17:57:41.8 - NTFSx86 
ausgeführt von:: C:\Dokumente und Einstellungen\Mike Dießelmann\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Mike Dießelmann\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2007-10-09 bis 2007-11-09  ))))))))))))))))))))))))))))))
.

2007-11-05 17:44	<DIR>	d----c---	C:\Programme\regsrch
2007-11-04 12:15	<DIR>	d----c---	C:\Programme\iTunes
2007-10-30 19:55	625,032	--a--c---	C:\WINDOWS\system32\SymNeti.dll
2007-10-30 19:55	242,056	--a--c---	C:\WINDOWS\system32\SymRedir.dll
2007-10-30 19:55	191,536	--a--c---	C:\WINDOWS\system32\drivers\symtdi.sys
2007-10-30 19:55	145,968	--a--c---	C:\WINDOWS\system32\drivers\symfw.sys
2007-10-30 19:55	39,856	--a--c---	C:\WINDOWS\system32\drivers\symids.sys
2007-10-30 19:55	37,936	--a--c---	C:\WINDOWS\system32\drivers\symndisv.sys
2007-10-30 19:55	35,120	--a--c---	C:\WINDOWS\system32\drivers\symndis.sys
2007-10-30 19:55	27,696	--a--c---	C:\WINDOWS\system32\drivers\symredrv.sys
2007-10-30 19:55	12,848	--a--c---	C:\WINDOWS\system32\drivers\symdns.sys
2007-10-20 19:41	<DIR>	dr---c---	C:\Dokumente und Einstellungen\Administrator\Startmenü
2007-10-20 19:41	<DIR>	d--h-c---	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-20 19:41	<DIR>	d--h-c---	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-20 19:41	<DIR>	d----c---	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-Online
2007-10-20 19:41	<DIR>	d----c---	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust
2007-10-20 19:35	<DIR>	d----c---	C:\Dokumente und Einstellungen\Mike Dießelmann\Anwendungsdaten\InstallShield
2007-10-20 19:33	<DIR>	d----c---	C:\WINDOWS\system32\DRVSTORE
2007-10-20 19:33	<DIR>	d----c---	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-10-20 16:24	<DIR>	d----c---	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DivX
2007-10-20 16:18	<DIR>	d--h-c---	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-20 16:18	<DIR>	d--h-c---	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-20 16:18	<DIR>	dr---c---	C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-20 16:18	<DIR>	dr---c---	C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-10-20 16:18	<DIR>	dr-h-c---	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-20 11:12	22,856	--a--c---	C:\WINDOWS\system32\drivers\SipIMNDI.sys
2007-10-18 22:12	<DIR>	d----c---	C:\Dokumente und Einstellungen\Mike Dießelmann\Anwendungsdaten\DivX
2007-10-14 20:53	<DIR>	d----c---	C:\Programme\HJSPLIT
2007-10-10 03:41	582,656	-----c---	C:\WINDOWS\system32\dllcache\rpcrt4.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-09 16:39	17,408	-c--a-w	C:\WINDOWS\system32\drivers\USBCRFT.SYS
2007-11-06 20:40	---------	dc----w	C:\Programme\QuickTime
2007-11-06 20:09	---------	dc----w	C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-11-03 09:25	4,830	-c--a-w	C:\WINDOWS\system32\tmp.reg
2007-10-30 18:24	12,963	-c--a-w	C:\WINDOWS\system32\drivers\SymRedir.cat
2007-10-30 18:24	1,358	-c--a-w	C:\WINDOWS\system32\drivers\SymRedir.inf
2007-10-20 18:40	---------	dc----w	C:\Programme\DivX
2007-10-20 18:38	---------	dc----w	C:\Programme\blacklight
2007-10-20 18:38	---------	dc----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-20 18:37	---------	dc----w	C:\Programme\Apple Software Update
2007-10-20 18:24	---------	dc----w	C:\Programme\ICQToolbar
2007-10-20 18:20	---------	dc----w	C:\Programme\Symantec
2007-10-20 18:17	---------	dc----w	C:\Programme\Registrar Registry Manager
2007-10-20 18:17	---------	dc----w	C:\Programme\iPod
2007-10-03 23:01	805	-c--a-w	C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-10-03 23:01	60,800	-c--a-w	C:\WINDOWS\system32\S32EVNT1.DLL
2007-10-03 23:01	123,952	-c--a-w	C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-10-03 23:01	10,740	-c--a-w	C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2007-09-27 16:47	---------	dc----w	C:\Programme\Trend Micro
2007-09-22 12:06	---------	dc----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-09-18 12:44	10,662	-c--a-w	C:\WINDOWS\system32\drivers\srtspx.cat
2007-09-18 12:44	10,662	-c--a-w	C:\WINDOWS\system32\drivers\srtspl.cat
2007-09-18 12:44	10,658	-c--a-w	C:\WINDOWS\system32\drivers\srtsp.cat
2007-09-18 12:44	1,430	-c--a-w	C:\WINDOWS\system32\drivers\srtspl.inf
2007-09-18 12:44	1,421	-c--a-w	C:\WINDOWS\system32\drivers\srtspx.inf
2007-09-18 12:44	1,415	-c--a-w	C:\WINDOWS\system32\drivers\srtsp.inf
2007-09-18 12:43	43,696	-c--a-w	C:\WINDOWS\system32\drivers\srtspx.sys
2007-09-18 12:43	317,616	-c--a-w	C:\WINDOWS\system32\drivers\srtspl.sys
2007-09-18 12:43	278,576	-c--a-w	C:\WINDOWS\system32\drivers\srtsp.sys
2007-09-17 18:23	823,296	-c--a-w	C:\WINDOWS\system32\divx_xx0c.dll
2007-09-17 18:23	823,296	-c--a-w	C:\WINDOWS\system32\divx_xx07.dll
2007-09-17 18:22	802,816	-c--a-w	C:\WINDOWS\system32\divx_xx11.dll
2007-09-17 18:22	739,840	-c--a-w	C:\WINDOWS\system32\DivX.dll
2007-09-11 23:14	156,992	-c--a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-08-21 06:16	683,520	-c--a-w	C:\WINDOWS\system32\inetcomm.dll
2007-08-21 00:26	81,920	-c--a-w	C:\WINDOWS\system32\dpl100.dll
2007-08-21 00:26	196,608	-c--a-w	C:\WINDOWS\system32\dtu100.dll
2007-08-15 22:33	524,288	-c--a-w	C:\WINDOWS\system32\DivXsm.exe
2007-08-15 22:33	3,596,288	-c--a-w	C:\WINDOWS\system32\qt-dx331.dll
2007-08-15 22:33	200,704	-c--a-w	C:\WINDOWS\system32\ssldivx.dll
2007-08-15 22:33	129,784	-c----w	C:\WINDOWS\system32\pxafs.dll
2007-08-15 22:33	120,056	-c----w	C:\WINDOWS\system32\pxcpyi64.exe
2007-08-15 22:33	118,520	-c----w	C:\WINDOWS\system32\pxinsi64.exe
2007-08-15 22:33	1,044,480	-c--a-w	C:\WINDOWS\system32\libdivx.dll
2007-08-15 22:31	593,920	-c--a-w	C:\WINDOWS\system32\dpuGUI11.dll
2007-08-15 22:31	57,344	-c--a-w	C:\WINDOWS\system32\dpv11.dll
2007-08-15 22:31	53,248	-c--a-w	C:\WINDOWS\system32\dpuGUI10.dll
2007-08-15 22:31	344,064	-c--a-w	C:\WINDOWS\system32\dpus11.dll
2007-08-15 22:31	294,912	-c--a-w	C:\WINDOWS\system32\dpu11.dll
2007-08-15 22:31	294,912	-c--a-w	C:\WINDOWS\system32\dpu10.dll
2007-08-15 22:30	12,288	-c--a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2005-01-27 18:16	15	-c--a-w	C:\Dokumente und Einstellungen\Mike Dießelmann\login.dat
2005-01-27 18:16	15	-c--a-w	C:\Dokumente und Einstellungen\Mike Dießelmann\login.dat
2001-11-15 10:08	1,216,512	-c--a-w	C:\WINDOWS\inf\OTHER\Mixer.exe
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

 - Not a PE file.

---- Directory of C:\WINDOWS\system32\XRGPSHDJ ----

			C:\WINDOWS\system32\XRGPSHDJ\ 


((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2001-11-15 11:08 C:\WINDOWS\mixer.exe]
"Microsoft Works Portfolio"="C:\Programme\Microsoft Works\WksSb.exe" [2001-10-04 15:47]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-04 15:46]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-07-15 10:42]
"nwiz"="nwiz.exe" [2004-07-15 10:42 C:\WINDOWS\system32\nwiz.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"Versato"="C:\PROGRA~1\MAGICW~1\MulMouse.exe" [2002-10-28 15:29]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2003-12-12 13:43]
"AceGain LiveUpdate"="C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe" []
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-07-15 10:42]
"SCM"="c:\programme\silver crest memory adapter tools2.93\scma.exe" [2004-08-20 10:08]
"DataLayer"="C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-05-06 15:47]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE" [2004-03-23 12:20]
"Dit"="Dit.exe" [2004-08-05 18:28 C:\WINDOWS\Dit.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00]
"DAEMON Tools"="D:\Mike\DAEMONTool\DAEMON Tools\daemon.exe" [2005-12-10 15:57]
"T-Online Dialerschutz-Software"="C:\Programme\T-Online\Dialerschutz-Software\Defender.exe" [2007-08-31 10:48]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-11-21 18:38]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 22:59]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2006-10-13 16:32]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 10:45]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-26 14:42]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-10-19 20:16]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57]
"1&1 EasyLogin"="C:\Dokumente und Einstellungen\Mike Dießelmann\Eigene Dateien\Google _Toolbar\1&1 EasyLogin\EasyLogin.exe" [2007-06-12 16:51]
"C:\Dokumente und Einstellungen\Mike Dießelmann\Eigene Dateien\Google _Toolbar\1&1 EasyLogin\EasyLogin.exe"="1&1 EasyLogin HIDE" []
"TaskSwitchXP"="C:\Programme\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-04 23:29]
"XPize Reloader"="C:\WINDOWS\XPize\XPizeReloader.exe" [2006-10-23 18:13]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-14 10:13]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):58,50,69,7a,65,5f,4c,6f,67,6f,6e,2e,65,78,65,00

R1 moufiltr;Mouse Filter Driver;C:\WINDOWS\system32\drivers\moufiltr.sys
R1 UsbFltr;WayTechUSBFilterDriver;C:\WINDOWS\system32\drivers\UsbFltr.sys
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys
R3 CardReaderFilter;Card Reader Filter;\??\C:\WINDOWS\system32\Drivers\USBCRFT.SYS
R3 DFSYS;T-Online Dialerschutz Hooking Treiber;\??\C:\Programme\T-Online\Dialerschutz-Software\DFSYS.SYS
R3 ham50;V9X HAM 1394V;C:\WINDOWS\system32\DRIVERS\CTXH51.sys
R3 SipIMNDI;T-Online Dialerschutz VoIP Service;C:\WINDOWS\system32\DRIVERS\SipIMNDI.sys
S3 SFC4;SFC4;C:\WINDOWS\system32\drivers\SFC4.sys
S3 TODslService;T-Online DSL-Manager;"C:\Programme\T-Online\DSL-Manager\TODslSvc.exe"
S3 USTOR;Silver Crest Memory Adapter;C:\WINDOWS\system32\DRIVERS\UStork.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98cb5052-b3a4-11db-a3a6-0010dc2ef8f3}]
\Shell\AutoRun\command - I:\setupSNK.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-11-05 18:30:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-11-04 00:21:33 C:\WINDOWS\Tasks\Norton AntiVirus Online - Vollständige Systemprüfung ausführen - Mike Dießelmann.job"
- C:\PROGRA~1\NORTON~1\Navw32.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-09 18:02:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

C:\Programme\T-Online\Dialerschutz-Software\defender.exe [3652] 0x82CF1020

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\\Dokumente und Einstellungen\\Mike Dießelmann\\Eigene Dateien\\Google _Toolbar\\1&1 EasyLogin\\EasyLogin.exe"="\"1&1 EasyLogin\" HIDE"
.
Zeit der Fertigstellung: 2007-11-09 18:04:13
C:\ComboFix-quarantined-files.txt ... 2007-09-26 18:51
C:\ComboFix2.txt ... 2007-11-05 23:19
C:\ComboFix3.txt ... 2007-11-05 18:38
.
	--- E O F ---

LG Mike

**Yourhighness** · 09.11.2007 18:26

Hi Mike,

naja diese hier: "XRGPSHDJ"

**Mike2562** · 09.11.2007 18:37

Datei ist mit über 11 MB zu gross,habe eine negative Rückmeldung erhalten!

Gruß
Mike

**Speedy** · 09.11.2007 20:16

komprimieren mit einem zip tool, wie groß ist sie dann ?

**Mike2562** · 09.11.2007 21:02

Hallo ,

nicht mehr als 2,5 MB (mit WinZIP)
Aber ich bekomme immer eine failure Message ,wenn ich irgendwas an Yourhighness E-Mail schicke.

Gruß
Mike

**Yourhighness** · 10.11.2007 08:47

Uem, bitte jetzt nochmal versuchen. War mein Fehler. Wenn Du die Datei komprimieren kannst, dann mach das Bitte. Die Email von mir hat ein Filesizelimit von 10MB.

Sorry wegen dem Mißverstaendnis.

**Mike2562** · 10.11.2007 11:43

Kein Problem,

habe gerade die gezippte Datei rübergesendet!
2167KB ist sie groß gewesen!

Gruß und danke für die vielen Tipps und Tricks hier an alle helfenden Hände!
(Wollte ich nur mal loswerden!)

Mike

**Yourhighness** · 10.11.2007 11:49

Datei erhalten. Danke. Werd damit jetzt mal etwas rumspielen

Thema: Hilfe,bekomme Worm.win32.NetSky nicht weg

Themen-Optionen

AW: Hilfe,bekomme Worm.win32.NetSky nicht weg

AW: Hilfe,bekomme Worm.win32.NetSky nicht weg

AW: Hilfe,bekomme Worm.win32.NetSky nicht weg

AW: Hilfe,bekomme Worm.win32.NetSky nicht weg

AW: Hilfe,bekomme Worm.win32.NetSky nicht weg

AW: Hilfe,bekomme Worm.win32.NetSky nicht weg

AW: Hilfe,bekomme Worm.win32.NetSky nicht weg

AW: Hilfe,bekomme Worm.win32.NetSky nicht weg

AW: Hilfe,bekomme Worm.win32.NetSky nicht weg

AW: Hilfe,bekomme Worm.win32.NetSky nicht weg

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

Bekomme diesen W32/Gael.worm.a virus nicht weg

Hilfe!!! WORM/Netsky.D.Dam

Hilfe ich bekomme Trojan.vundo nicht weg

HILFE -Win.Eto Startseite bekomme ich nicht weg

Hilfe! Bekomme Dialer nicht mehr weg!

Forumregeln