PC17

Hallo!

Ich habe Kaspersky und der kann jetzt einen Virus nicht mehr löschen. Ich habe einen Pc da ist ein Conflicker(glaube ich ) oben also eine autorun datein und eine .vmx datei und der verbreitet sich ja übers Netzwerk oder via Usb Stick wenn ich jetzt den Stick am Pc anstecke habe ich ihn oben.
Dann habe ich ihn immer auf meinem Pc angesteckt wo Kaspersky installiert ist habe kaspersky durchscannen lassen und er hat ihn immer entfernen können aber jetzt geht es nicht mehr jetzt kommt ein Fenster Aktive Bedrohungen neutralisieren und da tut sich nichts bis dann ein Fenster kommt mit RUNDLL(siehe Bild) dann klicke ich auf okay und will ein Prog öffnen geht aber nicht.
Da kommt dann wieder eine Fehlermeldung! Wenn ich ihn dann neustarte geht es wieder aber den Virus bekomme ich nicht herunter, jedoch ging es früher immer einwandfrei.
Hier das Bild:
http://img260.imageshack.us/img260/4751/unbenanntfd.png

Vl kann mir jemand helfen.

MfG Pc17

ReinMan

http://www.viruslist.com/de/alerts?alertid=200644202

Das ist die Beschreibung des Wurms und mit dem Patch den du dir runterlädst und installierst, schließt du die Lücke so dass der Wurm nicht mehr auf dein System gelangen kann.

http://www.microsoft.com/technet/sec.../MS08-067.mspx

Du lädst dir das Programm drückst "r" um alle Datenträger zu scannen.

http://www.4shared.com/file/96483352...ller_v343.html

Kriegst du von der Seite hier

http://www.wikihow.com/Remove-Virus-....Win32.Kido.Ir

Poste uns noch ein Logfile von Hijackthis ins Forum. Do a system scan and save a Logfile..das Logfile postest du uns komplett ins Forum.

http://www.chip.de/downloads/HijackThis_13011934.html

Leonixx

Poste mal den Ereignisbericht von Kaspersky. Wenn du Conficker auf dem Rechner hast, ist es sogar fahrlässig den Rechner nicht zu formatieren. Das Entfernungstool kannst du zwar benutzen, allerdings öffnet Conficker bzw. Kido einige Tore die nicht durch das Entfernungstool geschlossen werden. Normalerweise bin ich hartnäckig aber bei Conficker kannst du Desinfizierung vergessen. Und Kaspersky kann Conficker nicht desinfizieren.

Du kannst mit dem Wurm auch z.B. dein Freunde über email infizieren. Daten sichern (keine .exe Dateien) und Rechner neuinstallieren.

PC17

Okay danke hier ist noch das log file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:11:53, on 10.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\eelrabowrate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\OO Software\Defrag\oodag.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2010 9.0.0.459\German\setup.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?fr=mcafee&p=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" //newsurl:"news://news.jrsoftware.org/jrsoftware.innosetup"
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [avp] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborueate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [OODefragTray] C:\Programme\OO Software\Defrag\oodtray.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1242673621328
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1242762775093
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll,C:\PROGR A~1\KASPER~1\KASPER~2\kloehk.dll
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Programme\OO Software\Defrag\oodag.exe
O23 - Service: PC Angel (PCA) - Unknown owner - C:\WINDOWS\TEMP\UPDATE\SMINST\PCAngel.exe (file missing)
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 7881 bytes

PC17

Sorry, vielleicht habe ich das Problem ein wenig schlecht beschrieben ich habe den Conflicker/Sicherheitslücke auf dem USB Stick und will ihn nicht formatieren weil da viele daten oben sind! Und ich hatte den Conflicker schon oft am stick und musste nur Kaspersky scannen lassen und er löschte mir dann den Virus. Habe Autorun deaktiviert so konnte er nie auf meine PC und gleich als erstes wenn ich den Usb stick angesteckt habe habe ich den scan durchgeführt.

Leonixx

Hijackthis findet Conficker nicht, geschweige den kann den Wurm desinfizieren. Eventuell kann es das Entfernungstool. Wende Combofix an und poste das Logfile. Anleitung und Download in meiner Signatur.

heinzl

Dann solltest du dir aber auch mal Gedanken machen, mit wem du so Daten tauschst.

PC17

Den Stick verwende ich nur für die Arbeit und da ist auf jedem Pc der Virus drauf das weiß auch jeder aber es macht keiner was dagegen kA wiso. Und normal kann ich ihn dann zu Hause mit KIS immer erfolgreich löschen.

Habe jetzt Kaspersky deinstalliert und neuinstalliert und jetzt könnte er den Virus erfolgreich deinstallieren. Hatte mal ein ein Datenbank Problem mit kaspersky da hat er mir beim Update hergeschreiben das die datenbanken beschädigt sind habe es dann wieder upgadeted und dann ging es für mich wieder aber anscheinend hat das nicht geholfen.

Danke für eure Hilfe.

Leonixx

Echt lustig wie fahrlässig eure Firma mit Conficker umgeht. Zu deinem Stick, neu formatieren und gut ist. Ich würde mich weigern irgendwelche Daten von Firmenrechnern mit Conficker mitzunehmen, bis der Wurm entfernt ist.