Worm win32 netbooster

  • Hallo zusammen,


    habe ein Riesenproblem mit einem Virus. Das Ding nennt sich worm win32 netbooster. Hat mir sofort die Administratorrechte genommen. Kann keine Systemwiederherstellung machen und habe keinerlei Zugriff auf die Registry.
    Antispy 7 erkennt zwar den Virus, kann ihn aber nicht löschen (wenn ich das versuche kommt nach 2 Sekunden wieder das gleiche Fenster und bietet mir an "löschen" oder "beibehalten"). Ständig gehen Fenster auf, die mir sagen, dass der Computer infiziert ist. Als "Abhilfe" werden 3 verschiedene Programme angeboten (Error Cleaner, Spy&MalwareProtection und Privacy Protector), natürlich alle für teures Geld zu kaufen.


    Als Antivirenprogramm habe ich Avira Antivir (letztes Update gestern, 7.7.08).


    Mein Betriebssystem: XP home SP2


    Kann mir irgendwer helfen das Ding loszuwerden.


    Wenn Ihr weitere Informationen braucht, dann bitte mitteilen (ich habe auch einige Screenshots von Meldungen gemacht, falls das weiterhilft). Bin übrigens ganz normaler Anwender, also kein Computerfreak. Sofern es möglich ist, also bitte einigermaßen für Laien verständlich schreiben. DANKE!

  • 1. Bitdefender Online Scan:
    http://www.bitdefender.de/
    Auf der linken Seite ist der Button für den Scan. Geht nur mit Internet Explorer.
    2. a squared:
    http://www.emsisoft.de/de/software/download/
    a squared free 3.5 runterladen, updaten und den PC damit scannen.
    3. Hijackthis:
    http://www.chip.de/downloads/HijackThis_13011934.html
    Herunterladen, ausführen und das Resultat per copy & paste in diese Textbox einfügen:
    http://www.hijackthis.de/de
    Danach auf "Auswerten" clicken und die identifizierten Störenfriede werden angezeigt.
    Du bist Opfer eines Browser Hijackers geworden. Du solltest alle drei Vorschläge ausführen.

  • Hallo badbone,


    Danke für die Super-Auskunft (hab sogar ich verstanden). War auch nicht allzu schwierig, hat halt etwas gedauert.


    Die kritischen Einträge im Hijackthis-Protokoll (lt. Auswertung) sind größtenteils gefixt. Nur bei dem hier


    Besucherbewertung Analysedetails
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h ttp: //softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

    Art

    Schädlich
    Schädlich
    Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.


    bekomme ich einen Hinweis, dass er nicht gefixt werden kann, da Zugriff auf die Registry vom Administrator geblockt ist (ich hatte ja geschrieben, dass mir die Administratorrechte genommen sind).


    Gibt es da auch noch eine Lösung?

  • "James Joyce" schrieb:

    Das Ding nennt sich worm win32 netbooster. Hat mir sofort die Administratorrechte genommen.


    Um solche Pannen in Zukunft vermeiden werden, solltest du Folgendes wissen:
    In der Home Edition von Windows XP exisitiert ein verstecktes Administrator-Konto ohne Passwort, das eine gefährliche Sicherheitslücke darstellt.


    So kannst du das ändern:
    Öffne die Eingabeaufforderung, gib den Befehl


    net user Administrator DeinPasswort


    ein und bestätige die Aktion mit Enter.


    Wenn jetzt jemand auf das versteckte Adminkonto zugreifen will oder im abgesicherten Modus startet, benötigt er ein Passwort um sich anmelden zu können.


    Damit nimmst du auch solchen netten Sachen wie dem netbooster einiges an Wind aus den Segeln.

  • Hallo badbone, hallo Hooker,


    Danke für den Tipp mit dem Passwort beim Administrator. Macht wahrscheinlich erst Sinn, wenn die ganze Sache bereinigt ist. Werd ich dann aber sofort machen. Einmal netbooster reicht mir! Übrigens: Kompliment, hast gleich die richtige Verbindung Ulysses - James Joyce bemerkt.


    Hab gestern noch die Yahoo-Toolbar installiert und habe den vollständigen Scan laufen lassen. Hat Einiges gefunden (darunter auch einen alten Bekannten, den SpywareQuake, den ich mal vor ein paar Jahren unter Win98 drauf hatte; das war praktisch das gleiche Problem wie jetzt mit dem Netbooster).


    Das mit dem gesicherten Modus hab ich noch nicht ausprobiert. Kenn mich da überhaupt nicht aus. Weiß nur, dass der PC dann mit Minimalfunktionen läuft, also ohne Farbe und irgendwelchem Schnickschnack). Auf was soll ich dann achten, bzw. was muss ich dann tun, wenn ich im abgesichterten Modus starte?

  • Hier noch ein Nachtrag, der mir ganz wichtig zu sein scheint:


    Eben habe ich den PC nochmal runtergefahren und (im Normalmodus) neu gestartet. Seitdem ist das blinkende Symbol in der Taskleiste (rotes Achteck mit weißem Kreuz als Virenwarnung) verschwunden, und ich bekomme auch kein Fenster mehr von wegen Virenbefall. Auch das Icon für den "SecurityExpert" (oder so ähnlich) ist aus der Taskleiste verschwunden. Lediglich der Hinweis "VIRUS ALERT!" steht immer noch in der Taskleiste. Außerdem habe ich jetzt auch wieder Zugriff auf den Taskmanager.

  • Starte mit F8 im abgesicherten Modus und wähle im schwarzen Auswahbildschirm "Abgesicherter Modus":

    Gehe zu "Suchen" und gib ultimate cleaner ein mit den Einstellungen, wie im Screenshot:

    Alles, was auf die Art gefunden wird, löschen.
    Führe Hijackthis noch mal aus und versuche den von dir beschriebenen Eintrag im abgesicherten Modus zu fixen.

  • Hab das mit dem abgesicherten Modus gemacht (Enstellungen so, wie im Screenshot, also versteckte anzeigen usw.) Unter "ultimate cleaner" war aber nichts zu finden. Hab's dann mit Namensteilen (z. B. "ult" bzw. Abkürzungen (z. B. "uc") versucht. Dann auch noch alle exe-Dateien anzeigen lassen. Auch nichts war mir besonders aufgefallen ist (muss aber nicht unbedingt was heißen), außer diesen Beiden:


    uccc.exe.e0a2b246.ini (unter C:\Dokumente...ApplicationHistory); Typ: Konfigurationseinstellungen; geändert 1.11.2005 18:44


    CLI.EXE.da01c7d0.ini.inuse (geändert 9.7.2008 11:42 Größe 0 Byte)


    Bei beiden Einträgen heißt es am Schluss "VIRUS ALERT" (das steht aber bei allen Dateien).


    Hab den PC dann ganz normal runtergefahren. Beim Hochfahren hat er sich dann aufgehängt. Es ging gar nichts mehr (nur die Eieruhr wurde angezeigt). Nach einer halben Stunde habe ich dann Reset gemacht. Dann lief auch alles normal.


    Hab dann nochmal HJT laufen lassen. Der hat u. a. folgende Einträge gefunden:



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = softwarereferral.com/jump.php?wmid=6010&mid=mji6ojg5&lid=2


    Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!


    und



    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

    Schädlich
    Sofort fixen! Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.


    Zuerst hab ich den zweiten Eintrag gefixt (der ist offensichtlich verantwortlich, dass ich nicht auf die Registry zugreifen kann), dann den anderen. Dann nochmal HJT. Der Eintrag 07 ist weg, R0 nach wie vor da.


    Das ist also momentan der Stand der Dinge. Ansonsten keine Änderung gegenüber meinen Nachtrag von heute Mittag.

  • Dann holen wir den Zaunpfahl raus. Hol dir mal die jv16 Powertools:
    http://www.zdnet.de/downloads/prg/h/y/de0DHY-wc.html
    Das Programm läuft 30 Tage kostenlos, ist aber mit Bedacht zu handhaben. Da gibt es ein Modul "Registry Finder". Da gibst du als Suchwort ultimate cleaner ein und startest einen Suchlauf. Ist der Suchlauf beendet, clickst du oben auf "Auswählen" und wählst, was du entfernen möchtest. Dann unten auf den Reiter "Entfernen" clicken und die Einträge werden aus der Registry gelöscht. Solltest du das Symbol "Virus Alert" immer noch in der Taskleiste haben, öffne den Taskmanager und schau mal bei "Anwendungen" oder "Prozesse" ob du einen entsprechenden Eintrag findest, denn du dann beenden kannst. Das sollte vor dem Einsatz von jv16 geschehen.
    Grundsätzlich solltest du mit Firefox anstatt mit IE surfen. Auch ist mir in letzter Zeit mehrfach aufgefallen, das Leute mit demselben Problem meistens die Avira Freeware im Einsatz hatten.Da solltest du vielleicht über eine Alternative nachdenken. Wenns nichts kosten soll, ist die Kaspersky Computer Bild Version eine gute Lösung.
    Edit:
    ich füge noch einen Link zu einem Programm ein, das vielleicht auch noch hilfreich sein könnte:
    http://www.chip.de/downloads/S…rch-Destroy_13001443.html

  • Hab mir jetzt im Taskmanager die Anwendungen und Prozesse angesehen. Das meiste kann ich zuordnen. Bei einigen Dateien hab ich keine Ahnung, was es ist. Z. B. gibt es unter den Prozessen eine Datei svchost.exe. Die ist mehrfach vorhanden 4x als System und je 1x als Netzwerkdienst bzw. Lokaler Dienst. Eine andere Datei heißt org32.exe. Bei der liegt die Auslastung zwischen 88 und 97 %; kommt mir viel vor, da ich außer dem Internet keine Anwendungen laufen habe, außer Programmen die im Hintergrund laufen (Antivir etc.). Normalerweise müssten die ca. 90 % jetzt Leerlaufprozess sein.


    Und den Prozess org32.exe einfach beenden trau ich mich einfach nicht, vielleicht ist ja was vom Betriebssystem dabei.


    Soll ich einfach mal ohne da was zu beenden den "Zaunpfahl" laufen lassen oder bringt das sonst nichts?

  • Mann, badbone, Du bist ein Goldstück so groß wie der Mount Everest!!!


    Hab den Spybot laufen lassen, dann PC runter- und wieder rauffahren da die laufenden Prozesse nicht gelöscht werden konnten. Dann nochmal Spybot (da waren wieder einige Einträge - Spyhunter, Virtumonde, Zlob.DNSChanger.rtk und Microsoft.windows.redirectedHosts - die kann Spybot scheinbar nicht löschen. Aber das Hauptproblem ist weg. Kann wieder auf die Registry zugreifen. Mit RegCleaner hab ich noch zwei verwaiste Einträge von AntiSpyExpert entfernt, und das war's.


    Was jetzt noch übrig ist: Mein Laufwerk D (DVD) ist aus dem Explorer verschwunden, und unter Arbeitsplatz hab ich nicht mal mehr meine interne Festplatte (C); im Explorer ist sie aber. Wie kann ich das wieder bereinigen?


    Und der Eintrag "VIRUS ALERT" in der Taskleiste ist immer noch da (auf Dauer nervt der mich schon). Gibt es da eine Möglichkeit rauszufinden, wo der herkommt?

  • ulysses, dein System ist auf jeden Fall kompromittiert, auch wenn du alles fixen kannst.
    Deswegen empfehle ich in solchen Fällen immer die Sicherung wichtiger Daten und anschließende Neuinstallation (incl. formatieren).

  • Ich sehe das auch so wie Hooker. Da ist laut deinen Beschreibungen wohl einiges mehr passiert als nur Ultimate Cleaner. Von daher ist ein gutes Internet Security Programm Pflicht beim nächsten sauberen System.

  • Werd ich also in den nächsten Tagen mal drübergehen und die Platte platt machen. Die Daten hab ich sowieso auf einer externen Platte gesichert (hatte ich aber gleich nach dem Virenbefall abgeklemmt).


    Ein ganz dickes DANKE nochmal.

  • Viren haben leider oft die Eigenschaft, sich zu vervielfältigen. Soll heißen, wenn Du einen löschst, sind oft schon 2 Neue da. So kann das Spiel ewig gehen.


    Daher würde ich Dir raten, eine Datensicherung zu machen, die Festplatte zu formatieren und das Betriebssystem neu aufzuspielen.


    Da sich auch ohne Viren immer jede Menge Datenschrott auf dem PC ansammelt, der ihn ausbremst, habe ich mir angewöhnt, es ca. ein Mal im Jahr zu machen.


    Damit bin ich bisher immer gut gefahren.

    Notebook HP Pavilion; AMD 64 Athlon 3700+ 2400 MHz; Nvidia GeForce 4 440 go 64MB; 100 GB HDD; 512 MB DDR RAM; Windows XP Home SP2
  • Guten Abend!


    Ich habe folgendes Problem. Habe auch diesen Virus drauf! Das Problem bei mir ist, ich kann nicht mal mit dem Internetexplorer auf die drei besagten Seiten! Firefox geht gleich gar nicht und ich kann nicht mal Programme installieren. Habe die 3 Programme auf CD vom Zweitrechner, da ich jetzt keine Adminrechte mehr habe geht das nun auch nicht mehr. Auch mein Taskmanager ist komplett weg. Nicht mal in die regedit komme ich nicht mehr rein!
    Im abgesicherten Modus kann ich die Programme auch nicht installieren und Internet geht auch nicht!


    Was kann ich noch dagegen unternehmen??


    LG koko03