Hallo,
ich habe auch das Problem mit dem Lovesam-Wurm. Ich habe den letzten Beitrag von Nikita gelesen und das Logfile gemacht bzw. ich werde es sofort machen.
http://www.informationsarchiv.net/foren ... vesan.html

Nikita hat geschrieben:Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

Leere mal deinen autostart von allem was du nicht kennst:

Du gehst bei Windows Xp unter Start -> Ausführen (Alternativ [WindowsTaste] +[R]).
Dort gibst du msconfig ein Und Drückst [Enter]. Es öffnet
sich
ein Fenster in dem du zur Registerkarte (bzw. zum Reiter)
Systemstart navigierst.
Dort deaktivierst du die entsprechenden Einträge.
Dann klickst du auf [OK] und antwortest bei dem sich öffnenden Fenster mit [Nein].
Beim nächsten Systemstart werden die deaktivierten Programme nicht mehr geladen.

Ja, vielen Dank. Mein Internet geht jetzt wohl wieder. Aber dennoch möchte ich den Wurm gerne gelöscht haben. Könntest du mir dabei noch weiterhelfen?

Leider nein da musst du auf Johannes warten aber du könntest mal Aktuelle Scans machen,

HJT, antivir, adaware, Spybot...

und oder googlen. ich helf dir gleich mal dabei.

Habe ich schon alles gemacht, sie sind alle Clean. Dann warte ich mal auf Johannes oder Nikita...aber vielen Dank.

Tja, da haste ja Glück gehabt. Wollte eigentlich Heute ne Auszeit nehmen

+++++++++++++++

Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten

+++++++++++++++


mache bitte Onlinecans+ berichte:
http://nikita.eddys-domain.de/onlinescan.html

+ berichte....

+++++++++++++++

windsdoorcleaner
http://nikita.eddys-domain.de/windsdoorcleaner.html

++++++++++++++

Hi!

Versuch mal den Link hier noch:
http://www.meduniwien.ac.at/itsc/howtos/sicherheitstipps/lovesan/index.php

So - Ich hau mich aufs Ohr . Werd Morgen vor der Arbeit reinschauen und antworten...

LG,

Werde mich drum kümmern, aber allerdings liege ich momentan unter Zeitdruck. Es könnte noch zwei drei Tage dauern. Danke.

Hallo,
das "DllCompare" geht bei mir nicht - Win16-Teilsystem. Ich brauche auch gar nichts in Sachen Fehlerbehebung ausprobieren, weil ich die Fehlermeldung einfach nicht wegkriege.

Dein letzten Link brauche ich gar nicht probieren, da ich den Prozess "msblast.exe" nicht besitze bzw. nie besitzt habe.

Windsdoorcleaner habe ich ausgeführ und habe gesehen, dass dort soweit alles in Ordnung ist bis auf zwei Dinge, die ich aber nicht auf meinem Rechner besitze. Habe sie dann aber noch gefixt.

Die Onlinescans führe ich grade aus, sie können noch ein wenig dauern. Ich werde es gleich editieren.

Hi!

Lass uns noch mal den Escan versuchen...
http://nikita.eddys-domain.de/escan.html

Gruß,

Hier nochmal ein Log von einem Online-Virenscanner:

Incident Status Location

Adware:Adware/Lop No disinfected C:\DOKUME~1\HENDRIK\ANWEND~1\2CHIC~1\BIRDBLUELOG.EXE
Adware:Adware/Lop No disinfected c:\dokume~1\hendrik\lokale~1\temp\kloefrzm.exe
Adware:Adware/Lop No disinfected C:\DOKUME~1\Hendrik\ANWEND~1\SAVERE~1\globalfilm.exe
Spyware:spyware/cydoor No disinfected C:\WINDOWS\SYSTEM32\cd_clint.dll
Adware:adware/ncase No disinfected C:\WINDOWS\SYSTEM32\saieau.dat
Spyware:spyware/bargainbuddy No disinfected C:\WINDOWS\bbchk.exe
Spyware:spyware/new.net No disinfected C:\WINDOWS\NDNuninstall6_22.exe
Adware:adware/twain-tech No disinfected C:\WINDOWS\smdat32a.sys
Adware:adware/wupd No disinfected HKEY_CURRENT_USER\SOFTWARE\E-VENTURES N.V.
Spyware:spyware/clipgenie No disinfected HKEY_CURRENT_USER\SOFTWARE\TRAYNOTIFIER
Adware:adware/savenow No disinfected HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MAGNET
Adware:adware/keenvalue No disinfected HKEY_LOCAL_MACHINE\SOFTWARE\PERFECTNAV
Adware:adware/myway No disinfected HKEY_CLASSES_ROOT\CLSID\{66FC8717-EFA7-4546-8C4A-E224F3A80C76}
Adware:adware/searchexe No disinfected HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Search\SearchAssistant
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Phoneflaproamspam\1Nurb.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Phoneflaproamspam\Aboutmeal.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Phoneflaproamspam\clockflap.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Phoneflaproamspam\Logo Meal.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Phoneflaproamspam\The Each.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\Bend Dale Setup.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\birdbluelog.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\gctefujk.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\gfcewwmn.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\jnhsbxwo.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\mkvxysrj.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\qdurghwy.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\vugpslae.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\SaveRemote\globalfilm.exe
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\SecurityClassLoader.class-6fd9f626-4823120f.class
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv160.jar-1ee810d-56d57a97.zip[Dummy.class]
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\efxgerfg.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\f0a154ba.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\f0c5fe24.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\f5ead7e0.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\kloefrzm.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\lrpnnrls.exe
Adware:Adware/Lop No disinfected C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\yekrazct.exe
Adware:Adware/Lop No disinfected C:\Programme\NetPumper\ZM\minime.exe
Spyware:Spyware/New.net No disinfected C:\WINDOWS\NDNuninstall6_22.exe
Spyware:Spyware/New.net No disinfected C:\WINDOWS\NDNuninstall6_30.exe
Spyware:Spyware/New.net No disinfected C:\WINDOWS\NDNuninstall6_38.exe

Hi!

*C:\DOKUME~1\HENDRIK\ANWEND~1\2CHIC~1\BIRDBLUELOG.EXE
*c:\dokume~1\hendrik\lokale~1\temp\kloefrzm.exe
*C:\DOKUME~1\Hendrik\ANWEND~1\SAVERE~1\globalfilm.exe
*C:\WINDOWS\SYSTEM32\cd_clint.dll
*C:\WINDOWS\SYSTEM32\saieau.dat
*C:\WINDOWS\bbchk.exe
*C:\WINDOWS\NDNuninstall6_22.exe
*C:\WINDOWS\smdat32a.sys
*C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Phoneflaproamspam\1Nurb.exe
*C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Phoneflaproamspam\Aboutmeal.exe
*C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Phoneflaproamspam\clockflap.exe
*C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Phoneflaproamspam\Logo Meal.exe
*C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Phoneflaproamspam\The Each.exe
*C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\Bend Dale Setup.exe
*C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\birdbluelog.exe
*C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\gctefujk.exe
*C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\gfcewwmn.exe
*C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\jnhsbxwo.exe
*C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\mkvxysrj.exe
*C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\qdurghwy.exe
*C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\2 chic\vugpslae.exe
*C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\SaveRemote\globalfilm.exe
*C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\SecurityClassLoader.class-6fd9f626-4823120f.class
*C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv160.jar-1ee810d-56d57a97.zip[Dummy.class]
*C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\efxgerfg.exe
*C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\f0a154ba.exe
*C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\f0c5fe24.exe
*C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\f5ead7e0.exe
*C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\kloefrzm.exe
*C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\lrpnnrls.exe
*C:\Dokumente und Einstellungen\Hendrik\Lokale Einstellungen\Temp\yekrazct.exe
*C:\Programme\NetPumper\ZM\minime.exe
*C:\WINDOWS\NDNuninstall6_22.exe
*C:\WINDOWS\NDNuninstall6_30.exe
*C:\WINDOWS\NDNuninstall6_38.exe

# Lösche alle diese Dateien mit der Killbox:
http://nikita.eddys-domain.de/killbox.html

# NEUSTART

# Les dir GG Artikel zur Registrierungssicherung durch und lösche folgende Einträge in der Registrierung:

Code: Alles auswählen

HKEY_CURRENT_USER\software\Microsoft\Internet
HKEY_CLASSES_ROOT\CLSID\{66FC8717-EFA7-4546-8C4A-E224F3A80C76}
Explorer\Search\SearchAssistant
HKEY_CURRENT_USER\SOFTWARE\E-VENTURES N.V.
HKEY_CURRENT_USER\SOFTWARE\TRAYNOTIFIER
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MAGNET
HKEY_LOCAL_MACHINE\SOFTWARE\PERFECTNAV


# LSPFix:
http://nikita.eddys-domain.de/lspfix.html

NENNE mir die Dateien auf der linken Seite.

# Lade mal ADS Spy http://www.bleepingcomputer.com/files/adsspy.php

...und berichte.

# Lade dir diese Registry Datei und doppelklicke sie wenn runtergeladen
http://www.bleepingcomputer.com/forums/index.php?act=Attach&type=post&id=22927

# Und versuche noch mal CWShredder:
http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe

MfG,

Ich habe sie alle mit der Killbox markiert, doch irgendwie sind die Dateien nach dem Neustart alle wieder da; oder zumindest eininge.

Die Einträge der Registrierung habe ich gelöscht. Auch habe ich diese Registrierungsdatei ausgeführt.

LSP-Fix:
mswsock.dll - TCP/IP
winrnr.dll - NTDS
rsrpsp.dll - (Protocoll Handler)

CWSchredder:
Nichts gefunden.

ADS Spy:
Hat vier Sachen gefunden - habe ich alle gelöscht.

Vielen Dank soweit.

Das Problem jetzt: Killbox. Irgendwie löscht er die Dinge nicht. Soll ich sie manuell löschen oder mit TuneUp 2004 und dann höchste Sicherheitsstufe oder so?

Hi!

Nenne mir mal die Dateien bitte!

Auf meiner Seite, kannst Du nachlesen, wie Du mit HJT auch Dateien löschen kannst...
http://yourhighness.eddys-domain.de/hjtkurz.html Die Anleitung findest Du aber auch bei Nikita da Sie sie übernommen hat.

MfG,

Hallo,
ich hab es jetzt geschafft sie zu löschen. Habe auch nochmal eScan drüberlaufen lassen. Das Log-File sah sehr positiv aus. Ich denke, dass das Thema soweit erledigt ist. Wenn ich trotzdem irgendwann nicht mehr weiterweiß, dann melde ich mich .

Vielen Dank Holy Marcell und Yourhighness für eure Hilfe.