Hi leute,

KB822603
KB823980
KB835732
KB838989

und noch ein "Programm zum entfernen des Windows Blaster Wurm-Virus(KB833330)

ist bei Systemsteuerung-->Software installiert und dieser beschiessene sasser kommt wieder. Auf war auf par seiten aber dort steht man muss irgendwelche prozesse beenden und das "removal tool" herunterladen. Hab ich auch gemacht aber er zeigt mir gleich an "no infected" oder so ähnlich.

Heißt das ich nicht infiziert bin aber das 60 sekunden fenster kommt trotzdem.

Was soll ich nur machen?help!

XP firewall aktivieren :
http://www.dirks-computerecke.de/window ... rewall.htm

Bei Win2000 dieses Tool nutzen:
http://www.dingens.org/


Dann im Internet Explorer auf extras/Windowsupdate anklicken.

Hallo @livnjak

HijackThis:
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten)
______________________________________________________

UND DIE WINDOWSUPDATES MACHEN !!!!!!!!!!
CriticalUpdates MS
http://www.microsoft.com/info/smart404. ... ts-cd.mspx

Netzwerk-Wurm Sasser
Maßnahmen zu Schutz und Entfernung
http://sasser.klaffke.de/

mfg
Nikita

Firewall hab ich aktiviert.

Updates hab ich auch gemacht.

Logfile of HijackThis v1.98.2
Scan saved at 16:07:07, on 24.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\cykdx.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Ivan\LOKALE~1\Temp\Rar$EX00.903\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
F3 - REG:win.ini: run=gnmlnjskrkon.exe, saeunkk.exe, eurimyfeyi.exe, tybseigffi.exe, vwtrikgpqfbj.exe, yyjobpdxga.exe, nsvaaaredfy.exe, ucrg.exe, wwgflwogpwqi.exe, qtsypscbxnbe.exe, uvtllm.exe, kycpgldqiypb.exe, cykdx.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\RunServices: [WinLoader] cykdx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - Global Startup: Microsoft Office.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... pote_x.cab

Ich hoffe nicht, das C:\WINDOWS\cykdx.exe das ist:

Added as a result of versions of the http://www.trendmicro.com/vinfo/virusen ... SUB7.213.B SUBSEVEN VIRUS!
http://castlecops.com/startuplist-4410.html


Vieleicht solltest du die Datei hier prüfen
http://virusscan.jotti.dhs.org/

und vieleicht das lesen

http://www.rokop-security.de/board/inde ... topic=3867

Hallo @livnjak

Gehe in die registry
Start<Ausfuehren <regedit

Gib in die Suchfunktion der Registry oben links ein: win.ini
dann loesche rechts von dem Eintrag folgende Werte (falls sie dort sind:
gnmlnjskrkon.exe, saeunkk.exe, eurimyfeyi.exe, tybseigffi.exe, vwtrikgpqfbj.exe, yyjobpdxga.exe, nsvaaaredfy.exe, ucrg.exe, wwgflwogpwqi.exe, qtsypscbxnbe.exe, uvtllm.exe, kycpgldqiypb.exe, cykdx.exe

schliesse die Registry

Den besten Zugriff auf die Win.ini hast Du, indem Du auf Windows-Start gehst - Ausführen - sysedit.exe eingeben - OK klicken. Nun werden verschiedene Fenster geöffnet, auch die Win.ini.

SUCHE DORT FOLGENDE EINTRAEGE UND LOESCHE SIE :
win.ini: run=gnmlnjskrkon.exe, saeunkk.exe, eurimyfeyi.exe, tybseigffi.exe, vwtrikgpqfbj.exe, yyjobpdxga.exe, nsvaaaredfy.exe, ucrg.exe, wwgflwogpwqi.exe, qtsypscbxnbe.exe, uvtllm.exe, kycpgldqiypb.exe, cykdx.exe


Oeffne das HijackThis, hake an, was ich schreibe, <fix< und neustarten (!)

F3 - REG:win.ini: run=gnmlnjskrkon.exe, saeunkk.exe, eurimyfeyi.exe, tybseigffi.exe, vwtrikgpqfbj.exe, yyjobpdxga.exe, nsvaaaredfy.exe, ucrg.exe, wwgflwogpwqi.exe, qtsypscbxnbe.exe, uvtllm.exe, kycpgldqiypb.exe, cykdx.exe
O4 - HKLM\..\RunServices: [WinLoader] cykdx.exe

neustarten



#oeffne das HijackThis
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\cykdx.exe <PC neustarten (!)

<DAS GLEICHE MACHST DU MIT:
C:\WINDOWS\gnmlnjskrkon.exe
C:\WINDOWS\saeunkk.exe
C:\WINDOWS\eurimyfeyi.exe
C:\WINDOWS\tybseigffi.exe
C:\WINDOWS\vwtrikgpqfbj.exe
C:\WINDOWS\yyjobpdxga.exe
C:\WINDOWS\nsvaaaredfy.exe
C:\WINDOWS\ucrg.exe
C:\WINDOWS\wwgflwogpwqi.exe
C:\WINDOWS\qtsypscbxnbe.exe
C:\WINDOWS\uvtllm.exe
C:\WINDOWS\cykdx.exe
C:\WINDOWS\kycpgldqiypb.exe


Download NOD32 Antivirus System
Um eine voll funktionsfähige Testversion herunterzuladen, klicken Sie bitte hier.

http://www.datsec.de/

Dann poste das Log noch mal.

mfg
Nikita