fatih05
Goto Top

worm.Win32.netbooster

Hallo
hab folgendes Problem
bekomme seit gestern die Meldung das sich so ein Wurm auf meinem
Rechner zu schaffen macht hab den Vierenscanner durchlaufe lassen
bloss ist er immer noch da, wie bekomme ich dieses ding weg will nicht komplett
Formatieren.

worm.Win32.netbooster

es öffnen sich immer Fenster zum entfernen aber ich weiss nicht ob die
Seiten sicher sind oder ob es etwas mit dem Wurm zu tun hat.

Content-ID: 83745

Url: https://administrator.de/contentid/83745

Ausgedruckt am: 13.11.2024 um 06:11 Uhr

piepmatz
piepmatz 23.03.2008 um 17:19:32 Uhr
Goto Top
Nun wenn die Seiten zum entfernen selber aufgehen, dann ist das meistens nichts gutes. Diese würde ich nicht öffnen. Diese kommen ziemlich sicher vom Wurm. Lass besser die Finger davon.

Ich würde folgendes tun:
Schalte die Systemwiederhestellung im XP aus, dann führe nochmals ein Scan durch.
Wenn das nicht hilf. Versuche mit einer Live CD zu starten (Beispiel WinPE) und entferne damit alle Viren.

Sonst versuche ein anderes Antivirus oder Tools wie http://www.hijackthis.de/de.

Viel Erfolg.
Schoaschi
Schoaschi 24.03.2008 um 14:01:26 Uhr
Goto Top
Hi

Ich hatte gestern das selbe Problem. Ich bin auf eine Lösung gekommen.

Der Virus versteckt sich in den Dateien:
C:\WINDOWS\vbgtorfd.dll
C:\WINDOWS\dwnrpofk.dll
(Die Files habe ich mit hijackthis herausgefunden)

Man muss lediglich diese Dateien löschen und alle Registry-entrys die damit verbunden sind.
Da man sie nicht einfach so löschen kann, muss man den PC neustarten. Beim hochfahren Drückt man dann die "F8"-Taste, dass man die Auswahl bekommt, wie man hochfahren will. Dort wählt man dann "Windows XP mit Eingabeaufforderung".
Ist der PC hoch gefahren, so sollte man über die Eingabeaufforderung die 2 Dateien löschen können.
Danach einfach normal hoch fahren und die Reg-Entrys löschen(einfach die suche benutzen).

Ich hoffe, dass funktioniert auch bei dir.

mfg Schoasch
istat-gb
istat-gb 24.03.2008 um 18:12:22 Uhr
Goto Top
Hey, Danke für den Hinweis, ich suche mich schon den ganzen tag zu Tode face-wink

Werd ich dann gleich mal testen.


MfG
Andy
Schoaschi
Schoaschi 24.03.2008 um 18:40:54 Uhr
Goto Top
Achja.. was ich noch vergessen habe zu sagen.
Lass ein Anti-Viren Programm dann auch noch drüber laufen. Irgendwo sollte sich dann nocht eine "Background.zip" oder so ähnlich befinden, die du auch noch löschen solltest... aber das schaft das Antiviren Programm auch.
Und danach noch mal HiJackThis drüber laufen lassen, und die 3 Einträge (der eine legt die Startseite vom IE auf die eine Seite fest, und die anderen 2 versuchen auf die zwei zuvor gelöschten Files zuzugreifen) fixen.

mfg Schoasch
istat-gb
istat-gb 24.03.2008 um 19:01:05 Uhr
Goto Top
ja, mein programm läuft gerade nochmal drüber - bis jetzt hat es super geklappt! face-smile

Danke
trapper-tom
trapper-tom 14.04.2008 um 11:49:43 Uhr
Goto Top
Hallo,

evtl. hilft da SpybotSearchandDestroy. Einfach nach Spybot SD googlen, freie Verision herunterladen und über den vervirten PC laufen lassen. Die Funde korrigieren lassen und anschließend das System imunisieren. Spybot SD kann parallel zum Virenscanner laufen.


Gruß Trapper Tom
HansJoachim
HansJoachim 14.04.2008 um 17:08:36 Uhr
Goto Top
Hi,

ich hatte das gleiche Problem und herausgefunden, dass man auch den Inhalt des Ordners
"System Volume Information" löschen muss, sonst versucht sich der Worm wieder herzustellen.

Gruß
HansJoachim
Entitaet
Entitaet 14.04.2008 um 23:53:26 Uhr
Goto Top
Der Virus versteckt sich in den Dateien:
C:\WINDOWS\vbgtorfd.dll
C:\WINDOWS\dwnrpofk.dll
(Die Files habe ich mit hijackthis
herausgefunden)

hab ebenso das problem das mir angezeigt wird mein system sei mit dem worm.win32.netbooster befallen.

find ich irgendwie witzig das mich der wurm zu nem antivierenprogramm leitet welches sagenhafte 61 trojaner würmer and andere maleware bei mir findet. ebenso sagenhaft find ich die aussage das für nur 49 euronen die von meinem system entfernt werden.

aber das nur nebenbei. mein problem besteht darin das ich die von Schoaschi gefundenen dateien nicht finden kann.
dafür hab ich in meinem Temp Ordner eine "install-privacydanger.bat welche ich auch nicht über die commandline gelöscht bekomme.

Rat zur Tat wär toll
trapper-tom
trapper-tom 15.04.2008 um 15:01:23 Uhr
Goto Top
Hallo Entitaet,

wie oben beschrieben Spybot SD zum Entfernen benutzen. PC im abgesicherten Modus starten, cmd und im Temp Ordner die BAT-Datei(en) löschen. Otherwise den Task suchen, beenden und dann die BAT-Datei löschen

regards Trapper Tom
Entitaet
Entitaet 15.04.2008 um 22:12:52 Uhr
Goto Top
na jut, hab so wies aussieht alles runter bekommen. mal schaun obs sich auch langfristig mit dem wurm erledigt hat.

thx für schnelle antwort
Hasi0408
Hasi0408 22.04.2008 um 11:17:28 Uhr
Goto Top
Hallo,
habe auch das Problem gehabt und kann nur
raten über Google in " Windows-Tool
zum Entfernen bösartiger Software "
rein zu gehen und alles befolgen, dan ist
alles wieder OK.
Jutta

Hallo,

ich plage mich auch seit zwei Tagen mit dem Wurm rum. Der Versuch, das "Windows-Tool zum Entfernen bösartiger Software" einzusetzen, war bisher nicht nicht erfolgreich. Ich habe mir die Datei (8,2 MB) runtergeladen und der anschließende Versuch, das Programm zu installieren und anschließend auszuführen, schlug fehl. Weder ein Klick auf "Ausführen" oder Doppelklick auf die runtergeladene Datei führten zum Erfolg. Mache ich da was falsch ? Da ich in Sachen Viren u. ä. Anfänger bin, hatte ich eigentlich gehofft, mit dem Tool auf vergleichsweise unproblematische Weise den Wurm entfernen zu können.

Gruß

Hasi0408
peter-dj4br
peter-dj4br 24.04.2008 um 10:33:57 Uhr
Goto Top
Hi, das war bisher der beste Tip hat nach einem Durchlauf alle Würmer gefunden und beseitigt.
Das Programm "Windows-Tool zum Entfernen bösartiger Software" wird wöchentlich von Mikrosoft upgedated. Besten Dank, Peter
Spoocky
Spoocky 16.05.2008 um 01:23:16 Uhr
Goto Top
HI @ll,

habe leider seit heute abend denn genanten Wurm zu Gast.
Hocke gerade an unserem Zweitrechner um überhauipt noch was in die wege leiten zu können ;(

Also bei mir scheint dieser tolle wurm nciht nur mit der tollen Antywarewerbung gekoppelt zu sein. Er verschickt 100 Mails in der Min vom Outlook Express (Habe mal die Adresse verändert/ops server unerreichbar ;)
Doch das ist noch längst nicht alles, was mein kleienr Gast anstellt !

Also er läd noch ein wunderschönen IE über die gesamten Desktopoberfläche (Tipp, rechten Rand verschieben !), dann kommt man auch wieder an denn Desktop ;)

Er hatt zudem auchnoch mal ebend denn Taskmanager Deaktiviert, und die Atminrechte großteils entzogen. Denke mal das dies eine fortgeschrittene version des wurmes ist und hoffe das wir auch eine Lösung zu diesem finden.

Ich wehrde nun erstmal versuchen die schritte die genant wurden weitesgehenst zu befolgen und euch ein Bericht über die wirkung zu texten ;)

Naja ist ja erst 1:22 Uhr, manchmal bleiben gäste ebend länger, wenn Sie sich heimisch fühlen ;D

P.S.: Altzheimer läst grüßen. Habe vergessen er ruft nicht nur diese tolle seite auf, sondern killt sich die lan verbindung was zimlicher humbuck vom Programmierer ist. Dar er so acuh keine weiteren mails mehr verschicken kann. Diese verschickt er auch nicht an die im Adressbuch eungetragennen sondern an mir föllieg unbekannte Adressen.

So ich bin denn mal am tüfteln und wehrd nun mal kurtz zum WurmJäger ;O
Spoocky
Spoocky 16.05.2008 um 02:08:51 Uhr
Goto Top
HI @ll,

so ich lasse gerade meinen gesamten PC im abgesicherten Modus die 3 Besagten Dateien durchsuchen, inkl. System und versteckten, wobei ich die immer im Ordner anzeigen lasse ;P

Leider bislang ohne jecklichen erfolg, wehrde nun mal dschauen, das ich die Jäger von diesem tzum anderen PC im abgesicvherten Netzwerkmodus rüber kopieren kann und diese dann starte. Hoffe Sie haben mehr glück und ich lass denn PC am besten die nacht durchrattern,. Vielleicht ist er dann morgen wieder ok ;)

Danke schonmal allen für die Radschläge und andere Akrobatischen Einlagen um diesem Wurm auf die schliche zu kommen ;D
Spoocky
Spoocky 16.05.2008 um 13:39:17 Uhr
Goto Top
HI @ll,

so bin immernoch am Zweitrechner (Ein glück das wir ihn haben ;)

Also ich hab nun denn Betroffenen PC im Abgesicherten Modus und forste gerade die Regestrierung nach denn besagten Files (.DLL) ab, und habe auch diese gefunden. Es ist unter HKey_Current_Users\Software\Microsoft\Seartch Assistent\ACMru\5603\
Dort befinden sich beide besagten DLL´s und eine Run.exe (Anwendung)

Ich habe unter dem Benutzerkonte All Users\Anwendungsdatein\ denn Ordner der beworbennen Antivirussoftware gefunden und nun schon Erast ;P
Darunter befindern sich Protokolle der Serch ergebnisse und die Anwendungsdatei vom Antivirus ding.

Nun habe ich denn PC schon nach denn DLL´s und dem Ordner etc. suchen lassen, doch findet er diese nicht. Auch unter einschluss von System und Unsichtbaren Datein !

Vielleicht kann mir ja jemand sagen wo genau sich der Pfad dort hin befindet, bin nicht gerade ein AS im auslesen von Windows Registrations ;(

Bin für jede hilfestellung dankbar, habe auch schon die hier besagten Tools runtergeladen und wehrde diese im abgesicherten Modus durchlaufen lassen, mit hoffnung auf erfolg ;)
Entitaet
Entitaet 17.05.2008 um 16:30:11 Uhr
Goto Top
selbst gefunden hatte ich die gesuchten reg einträge auch nicht aber das prob hatte sich mit hijackthis erledigt. den einzigen tip den ich dir noch geben kann ist setz deinen IE auf offlinebetrieb, erst als ich das gemacht hab gings irgendwie. dann kam komischer weise immer der nette hinweis "dieser Dienst ist im offlinemodus nicht verfügbar" welcher Dienst genau hab ich noch nicht rausgefunden aber das er vom wurm gestartet wurde versteht sich von selbst. ist schon ein kleiner hartnäckiger bursche. ach ja der IE im Off modus hat den weiteren vorteil das dieses lästige ich verstecke deinen Desktop hinter nem weißen fenster Effekt sich auch erledigt hat. auf mozilla und thunderbird scheint er nicht wirklich abzufahren

falls du mit hijack nicht erfolgreich sein solltest machs dir einfach nim den regcleaner und lösch einfach alles was er dir anzeigt bei der automatischen säuberung. denk aber wie immer an ein backup der registry
Spoocky
Spoocky 17.05.2008 um 16:40:52 Uhr
Goto Top
Hi @ll,

si nachdem ich mir mit denn ach so hilfreihen Tolls die Regestrie zershossen habe, und die AntiSpy laufent nun denn Wurm nur eindemmt indem Sie einfach die auswirkungen unterbindet, ich nun denn 5ften Free Antivirusmist und mein Norten Systm nicht mal mehr war bringt, warge ich doch leicht zu bezweifeln ob diese Programme doch alle samt nur Blindfische sind ;P

So nun wehrd ich mir mal die G-Data Testiger Antivirus Trail Version 2008 Ruerladen, mal schauen ober denn wurm mal an dieangel nimmt, und nciht nur immer die auswirklungen stopt ;D

Eswird ja wohl mal einer in der lage sein die DL´s und die Ausfürungsdatei vom Wurm zu finde und zu eleminieren oder ? Sonst ist das echt trautieg und eine bamage der Antiviren Spay etc. Industrie ;P
Spoocky
Spoocky 22.05.2008 um 09:56:20 Uhr
Goto Top
selbst gefunden hatte ich die gesuchten reg
einträge auch nicht aber das prob hatte
sich mit hijackthis erledigt. den einzigen
tip den ich dir noch geben kann ist setz
deinen IE auf offlinebetrieb, erst als ich
das gemacht hab gings irgendwie. dann kam
komischer weise immer der nette hinweis
"dieser Dienst ist im offlinemodus nicht
verfügbar" welcher Dienst genau hab
ich noch nicht rausgefunden aber das er vom
wurm gestartet wurde versteht sich von
selbst. ist schon ein kleiner
hartnäckiger bursche. ach ja der IE im
Off modus hat den weiteren vorteil das dieses
lästige ich verstecke deinen Desktop
hinter nem weißen fenster Effekt sich
auch erledigt hat. auf mozilla und
thunderbird scheint er nicht wirklich
abzufahren

falls du mit hijack nicht erfolgreich sein
solltest machs dir einfach nim den regcleaner
und lösch einfach alles was er dir
anzeigt bei der automatischen säuberung.
denk aber wie immer an ein backup der
registry

HI, also ich hab ja auch die Einträgedes wurms gefunden und entfehrnt mit Hijack.
Habe auch mit demAnderen Programm dann die Dll´s etc. gelöscht. Doch das Problemist, das sch der Wurm immer wieder reaktiviert hatt und die tollen Virenscanner nur müll gefunen haben, wie Spionage Software ;P Aber denn wurm hatt keiner von denn Virenkillern gefunden.

Also hab ich nun doch denn vorschlaghammer raus geholt und Laufwerk C: Formatiert ;P
Für alle sollte man generel sagen, das man am besten seine Platten spliten sollte oder ebend 2 im PC haben. So das man das Betriebsystem und die wichtiegen Date trennen kann. Für denn Fall das wein Virus Wurm Trojana etc. sich im Beriebsystem fest nistet ;D

Hoffe das du dein Würmchen in denn Griff bekommst und alles wieder palettie Funktioniert ;)
Roy-Al1
Roy-Al1 01.07.2008 um 03:44:46 Uhr
Goto Top
Hallo Trapper Tom!
Ich hatte mir gestern den Wurm (worm.Win32.NetBooster) ebenfalls eingefangen und alle Versuche, diesen mit mir verfügbaren AntiViren- oder -SpyWare-Programmen zu entfernen scheiterten.

Dank Deines Tipps hier fand ich in "Spybot S&D" dann DIE Lösung meines Problems!

Ich danke diesem Forum, Dir und den Entwicklern von Spybot S&D - ein geniales Programm !!!

Gruß Roy-Al1