Ich hab ein Wurm (worm/alcra.b)!Thema ist geschlossen! |
|
---|---|
Thema ist geschlossen! |
|
07.10.2005, 12:50
...neu hier
Beiträge: 6 |
|
|
|
07.10.2005, 14:07
Ehrenmitglied
Beiträge: 29434 |
#32
Zitat 07.10.2005 10:46 2 cmd.commit der Killbox loeschen: C:\WINDOWS\system32\cmd.com C:\WINDOWS\system32\netstat.com C:\WINDOWS\system32\ping.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\system32\tasklist.com C:\WINDOWS\system32\taskkill.com C:\WINDOWS\system32\taskmgr.com C:\WINDOWS\system32\tracert.com C:\WINDOWS\system32\bszip.dll Anleitung: (bebildert) http://virus-protect.org/killbox.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
07.10.2005, 14:20
...neu hier
Beiträge: 6 |
#33
So ich habe gerade die von dir aufgezählten Dateien gelöscht.
Muss ich noch etwas machen, oder ist mein PC Würmerfrei? |
|
|
07.10.2005, 14:38
Ehrenmitglied
Beiträge: 29434 |
#34
wenn alles korrekt weg ist, scanne noch mal mit ewido und dann duerfte alles sauber sein.
und verzichte in Zukunft auf P2P..... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
07.10.2005, 14:58
...neu hier
Beiträge: 6 |
#35
Es ist wirklich alles weg. Danke nochmal!
|
|
|
10.10.2005, 10:16
...neu hier
Beiträge: 3 |
#36
HAllo ZUsammen
ich habe auch diesen WURM Brauche somit dringend HIlfe hier mal das gescannte Logfile of HijackThis v1.99.1 Scan saved at 10:15:09, on 10.10.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\ircomm2k.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\WINNT\system32\atiptaxx.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe D:\Uwe\Winamp\winampa.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINNT\system32\ctfmon.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE D:\Office10\WINWORD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\AVPersonal\AVWIN.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\unzipped\hijackthis\HijackThis.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42" O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [servicewin] C:\WINNT\system32\diag.exe O4 - HKLM\..\Run: [spooldiscx] C:\WINNT\system32\dirdiag.exe %srun% O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] D:\Uwe\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [3clickToDo] E:\3clickToDo\3clickToDo.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128761059714 O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINNT\system32\ircomm2k.exe |
|
|
10.10.2005, 12:18
Ehrenmitglied
Beiträge: 29434 |
#37
ajnom
bevor wir dem worm/alcra.b zu Leibe ruecken, muss erst mal der Sorber-Wurm weg..... öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\Run: [servicewin] C:\WINNT\system32\diag.exe O4 - HKLM\..\Run: [spooldiscx] C:\WINNT\system32\dirdiag.exe %srun% PC neustarten poste hier alle 4 Logs (40 Tage, vom Datum her) http://virus-protect.org/datfindbat.html W32.Sober.D@mm (Removaltool) http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.d@mm.html?Open Zitat C:\WINNT\system32\diag.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
10.10.2005, 13:45
...neu hier
Beiträge: 1 |
#38
Hi habe ein Problem habe mir einen wurm (worm/ALCRA.B) eingefangen und brauche Hilfe hoffe ihr könnt mir helfen danke im voraus Bitte Bitte Helft mir
Dieser Beitrag wurde am 10.10.2005 um 15:03 Uhr von Tupac editiert.
|
|
|
10.10.2005, 16:13
Ehrenmitglied
Beiträge: 29434 |
#39
Hallo@Tupac
KILLBOX http://www.bleepingcomputer.com/files/killbox.php Anleitung: (bebildert) http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\netstat.com C:\WINDOWS\system32\ping.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\system32\tasklist.com C:\WINDOWS\system32\taskkill.com C:\temp.zip C:\x.txt C:\z.txt C:\z.tmp C:\xz.exe C:\Programme\winupdates\winupdates.exe C:\Programme\winupdates C:\WINDOWS\system32\cmd.com C:\WINDOWS\system32\taskmgr.com C:\WINDOWS\system32\tracert.com C:\WINDOWS\system32\bszip.dll PC neustarten ueberpruefe, ob das hier geloescht ist: C:\Programme\winupdates ewido scanne und poste den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
12.10.2005, 01:42
...neu hier
Beiträge: 3 |
#40
Hallo ich habe mir auch leider den worm/alcra.b "eingefangen"
wäre nett wenn mir jemand von euch helfen könnte der Wurm befindet sich in einem archivierten Ordner den ich nicht finden kann vielen Dank schonmal im voraus Logfile of HijackThis v1.99.1 Scan saved at 01:41:55, on 12.10.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe D:\tools\ICQLite\ICQLite.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE D:\tools\Winamp\winampa.exe D:\tools\QuickTime\qttask.exe D:\tools\D-Tools\daemon.exe D:\tools\Babylon\Babylon.exe D:\tools\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe D:\tools\Yahoo!\Messenger\ypager.exe C:\Programme\MSN Messenger\MsnMsgr.Exe D:\tools\Netscape\Netscape\Netscp.exe D:\TOOLS\AVPERSONAL\AVGUARD.EXE d:\tools\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\wuauclt.exe D:\tools\Opera\opera.exe C:\Programme\Internet Explorer\iexplore.exe d:\tools\WinRAR\WinRAR.exe C:\DOKUME~1\the-hulk\LOKALE~1\Temp\Rar$EX00.921\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\tools\ICQToolbar\toolbaru.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\tools\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\tools\ICQToolbar\toolbaru.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\tools\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [ICQ Lite] d:\tools\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] d:\tools\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\tools\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\tools\D-Tools\daemon.exe" -lang 1033 -lock O4 - HKLM\..\Run: [Babylon Client] d:\tools\Babylon\Babylon.exe -AutoStart O4 - HKLM\..\Run: [AVGCtrl] "d:\tools\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] "D:\tools\Yahoo!\Messenger\ypager.exe" -quiet O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\tools\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\tools\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\tools\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\tools\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\tools\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\tools\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\tools\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\tools\ICQLite\ICQLite.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\tools\Yahoo!\Common\yinsthelper.dll O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\TOOLS\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\tools\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
|
12.10.2005, 11:01
...neu hier
Beiträge: 3 |
#41
hallo sabina
erstma l danke für deine hilfe :-) hier die kopien Datentr„ger in Laufwerk C: ist Hauptplatte Datentr„gernummer: 3498-C233 Verzeichnis von C:\WINNT\system32 09.10.2005 19:20 760 ModemLog_ISDN Internet (PPP over ISDN).txt 09.10.2005 19:20 749 ModemLog_ISDN Custom Config.txt 09.10.2005 19:20 739 ModemLog_ISDN BTX.txt 09.10.2005 19:20 758 ModemLog_ISDN Analog Modem (V.32bis).txt 09.10.2005 19:20 744 ModemLog_ISDN FAX (G3).txt 09.10.2005 19:20 749 ModemLog_ISDN - ISDN (X.75).txt 09.10.2005 19:20 750 ModemLog_ISDN Mailbox (X.75).txt 09.10.2005 19:20 764 ModemLog_ISDN SoftCompression X.75-V.42bis.txt 09.10.2005 19:20 755 ModemLog_ISDN RAS (PPP over ISDN).txt 08.10.2005 10:09 120.544 FNTCACHE.DAT 07.10.2005 14:53 2 regedit.com 07.10.2005 14:53 2 cmd.com 07.10.2005 14:53 2 taskkill.com 07.10.2005 14:53 2 tasklist.com 07.10.2005 14:53 2 tracert.com 07.10.2005 14:53 2 ping.com 07.10.2005 14:53 2 netstat.com 07.10.2005 12:33 16.384 Perflib_Perfdata_564.dat 07.10.2005 12:32 16.384 Perflib_Perfdata_34c.dat 07.10.2005 12:27 16.384 Perflib_Perfdata_e8.dat 07.10.2005 12:24 16.384 Perflib_Perfdata_354.dat 07.10.2005 11:23 16.384 Perflib_Perfdata_61c.dat 12.09.2005 18:58 42.595 QuickTime.qtp 08.09.2005 21:36 2.006.368 MRT.exe 08.09.2005 17:36 62.464 bszip.dll 05.09.2005 13:55 19.040 ATMdeuxx.GID 29.08.2005 13:27 520.968 LegitCheckControl.DLL 29.08.2005 13:27 23.304 GWFSPidGen.DLL 17.08.2005 07:37 16.384 Perflib_Perfdata_418.dat 16.08.2005 02:17 768.272 KERNEL32.DLL 16.08.2005 02:17 505.616 NTDLL.DLL Bitte hilf mir ;-) |
|
|
12.10.2005, 11:36
Ehrenmitglied
Beiträge: 29434 |
#42
ajnom
KILLBOX http://www.bleepingcomputer.com/files/killbox.php Anleitung: (bebildert) http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINNT\system32\regedit.com C:\WINNT\system32\cmd.com C:\WINNT\system32\taskkill.com C:\WINNT\system32\tasklist.com C:\WINNT\system32\tracert.com C:\WINNT\system32\ping.com C:\WINNT\system32\netstat.com C:\WINNT\system32\bszip.dll PC neustarten loesche alle temporaeren Dateien (CCleaner) http://virus-protect.org/temp.html hast du den Remover angewendet ? wenn nicht, suche /loesche: Zitat W32.Sober.D@mm (Removaltool)C:\WINNT\system32\diag.exe C:\WINNT\system32\Humgly.lkur C:\WINNT\system32\yfjq.yqwm C:\WINNT\system32\zmndpgwf.kxx wintmpx33.dat - 46,426 bytes, base64 encoded zip file which contains the worm, MS-Q4632361791.exe. temp32x.data ewido scanne und poste den scanreport http://virus-protect.org/ewido.html Kaspersky (poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
12.10.2005, 11:43
Ehrenmitglied
Beiträge: 29434 |
#43
The_Hulk
dein PC hat noch nie ein WindowsUpdate gesehen...kein Wunder also, dass er voellig ungeschuetzt ist..... öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe PC neustarten loesche alle temporaeren Dateien (CCleaner) http://virus-protect.org/temp.html poste hier alle 4 Logs (40 Tage, vom Datum her) http://virus-protect.org/datfindbat.html Zitat W32/Rbot-UB ist ein Netzwerkwurm und ein IRC-Backdoortrojaner für die Windows-Plattform.nach der Reinigung: Patches für die Betriebssystem-Schwachstellen, die von W32/Rbot-UB ausgenutzt werden, stehen von Microsoft zur Verfügung unter: http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx http://www.microsoft.com/technet/security/bulletin/ms03-039.mspx http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx http://www.microsoft.com/technet/security/bulletin/ms01-059.mspx __________ MfG Sabina rund um die PC-Sicherheit |
|
|
12.10.2005, 17:09
...neu hier
Beiträge: 3 |
#44
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C439-65E3 Verzeichnis von C:\WINDOWS\system32 12.10.2005 16:42 26.324 nvapps.xml 11.10.2005 13:35 2.184 wpa.dbl 09.10.2005 17:59 2 cmd.com 09.10.2005 17:59 2 regedit.com 09.10.2005 17:59 2 taskkill.com 09.10.2005 17:59 2 tasklist.com 09.10.2005 17:59 2 tracert.com 09.10.2005 17:59 2 ping.com 09.10.2005 17:59 2 netstat.com 09.10.2005 13:42 62.464 bszip.dll 28.08.2005 13:25 28.672 f3PSSavr.scr 12.10.2005 16:54 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}4917.html 12.10.2005 16:53 65.536 ~DF5B4B.tmp 12.10.2005 16:43 16.384 ~DFA143.tmp 12.10.2005 16:43 16.384 Perflib_Perfdata_7b8.dat 12.10.2005 16:42 16.384 ~DFF6C8.tmp 12.10.2005 16:42 512 ~DFA2A0.tmp 12.10.2005 16:42 16.384 ~DF827A.tmp 12.10.2005 16:57 19.156 svcpack.log 12.10.2005 16:56 52.122 setupapi.log 12.10.2005 16:56 0 setuperr.log 12.10.2005 16:56 0 setupact.log 12.10.2005 16:48 2.050.498 WindowsUpdate.log 12.10.2005 16:43 512 win.ini 12.10.2005 16:42 54.156 QTFont.qfn 12.10.2005 16:42 2.048 bootstat.dat 12.10.2005 16:40 32.506 SchedLgU.Txt 12.10.2005 16:24 1.409 QTFont.for 12.10.2005 02:04 192 winamp.ini 09.10.2005 20:49 116 NeroDigital.ini 16.09.2005 15:46 101 CMMIXER.INI 12.10.2005 17:08 0 sys.txt 12.10.2005 17:08 3.799 system.txt 12.10.2005 17:08 650 systemtemp.txt 12.10.2005 17:08 94.046 system32.txt 12.10.2005 16:42 1.207.959.552 pagefile.sys |
|
|
12.10.2005, 20:49
Ehrenmitglied
Beiträge: 29434 |
#45
The_Hulk
wegen dem Backdoor poste mir bitte die Daten von 2 Monaten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
07.10.2005 11:57 31.767 vsconfig.xml
07.10.2005 10:46 2 cmd.com
07.10.2005 10:46 2 taskkill.com
07.10.2005 10:46 2 tasklist.com
07.10.2005 10:46 2 tracert.com
07.10.2005 10:46 2 regedit.com
07.10.2005 10:46 2 netstat.com
07.10.2005 10:46 2 ping.com
07.10.2005 09:02 62.464 bszip.dll
06.10.2005 21:10 2.177.024 TUKernel.exe
06.10.2005 19:54 13.646 wpa.dbl
06.10.2005 19:52 4.212 zllictbl.dat
06.10.2005 19:27 0 h323log.txt
06.10.2005 19:21 23.392 nscompat.tlb
06.10.2005 19:21 16.832 amcompat.tlb
06.10.2005 18:49 13.646 wpa.bak
06.10.2005 18:42 39.992 perfc009.dat
06.10.2005 18:42 48.156 perfc007.dat
06.10.2005 18:42 316.594 perfh007.dat
06.10.2005 18:42 311.604 perfh009.dat
06.10.2005 18:42 723.744 PerfStringBackup.INI
06.10.2005 18:33 25.065 wmpscheme.xml
06.10.2005 18:32 90.296 FNTCACHE.DAT
06.10.2005 18:31 386 $winnt$.inf
06.10.2005 18:30 2.951 CONFIG.NT
06.10.2005 18:29 488 logonui.exe.manifest
06.10.2005 18:29 488 WindowsLogon.manifest
06.10.2005 18:29 749 wuaucpl.cpl.manifest
06.10.2005 18:29 749 nwc.cpl.manifest
06.10.2005 18:29 749 ncpa.cpl.manifest
06.10.2005 18:29 749 sapi.cpl.manifest
06.10.2005 18:29 749 cdplayer.exe.manifest
06.10.2005 18:28 21.740 emptyregdb.dat
08.09.2005 21:36 2.006.368 MRT.exe
07.10.2005 12:09 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}11656.html
07.10.2005 12:05 107.106 EOFFRadio16443.m3u
07.10.2005 12:04 16.384 ~DF5E87.tmp
07.10.2005 12:04 512 ~DF2ABE.tmp
07.10.2005 12:04 16.384 ~DF2A97.tmp
07.10.2005 11:34 1.076 _isdelet.ini
07.10.2005 10:46 16.384 ~DF5839.tmp
07.10.2005 10:46 16.384 ~DFBD37.tmp
07.10.2005 10:46 16.384 ~DF7D7C.tmp
07.10.2005 10:08 919.931 tmp.xpi
07.10.2005 09:02 16.384 ~DF72FF.tmp
07.10.2005 09:02 16.384 ~DFD1BF.tmp
07.10.2005 09:02 16.384 ~DF819B.tmp
07.10.2005 09:00 50 kb.log
07.10.2005 08:55 16.384 ~DF3C3F.tmp
07.10.2005 07:44 16.384 ~DF7C82.tmp
07.10.2005 07:44 16.384 ~DF646A.tmp
07.10.2005 07:44 16.384 ~DFA22E.tmp
27.06.2005 19:17 1.198.280 Patch_MSN_Messenger.EXE
07.10.2005 12:18 358.905 WindowsUpdate.log
07.10.2005 12:12 25.776 iis6.log
07.10.2005 12:12 32.795 ntdtcsetup.log
07.10.2005 12:12 54.194 comsetup.log
07.10.2005 12:12 80.210 ocgen.log
07.10.2005 12:12 61.412 tsoc.log
07.10.2005 12:12 1.374 imsins.log
07.10.2005 12:12 5.512 ocmsn.log
07.10.2005 12:12 39.591 KB899587.log
07.10.2005 12:12 7.894 msgsocm.log
07.10.2005 12:12 160.749 FaxSetup.log
07.10.2005 12:12 73.281 setupapi.log
07.10.2005 12:12 7.996 updspapi.log
07.10.2005 12:12 38.701 KB896422.log
07.10.2005 12:12 1.374 imsins.BAK
07.10.2005 12:12 1.364 xpsp1hfm.log
07.10.2005 12:12 33.153 KB828741.log
07.10.2005 12:12 35.127 KB885835.log
07.10.2005 12:12 31.222 KB885836.log
07.10.2005 12:12 26.293 KB835732.log
07.10.2005 12:11 29.871 KB899591.log
07.10.2005 12:11 29.824 KB893756.log
07.10.2005 12:11 28.358 KB896423.log
07.10.2005 12:11 27.768 KB873339.log
07.10.2005 12:11 27.825 KB888113.log
07.10.2005 12:11 28.944 KB896358.log
07.10.2005 12:11 27.372 KB891781.log
07.10.2005 12:10 2.066 vminst.log
07.10.2005 12:10 28.345 KB890046.log
07.10.2005 12:10 27.180 KB893066.log
07.10.2005 12:10 26.790 KB873333.log
07.10.2005 12:10 22.984 KB901214.log
07.10.2005 12:10 22.178 KB888302.log
07.10.2005 12:10 23.057 KB899588.log
07.10.2005 12:10 13.442 KB896727-IE6SP1-20050719.165959.log
07.10.2005 12:09 18.400 KB893086.log
07.10.2005 12:09 14.952 KB896428.log
07.10.2005 12:09 18.265 KB890859.log
07.10.2005 11:58 0 0.log
07.10.2005 11:57 2.048 bootstat.dat
07.10.2005 11:56 2.180 SchedLgU.Txt
07.10.2005 11:56 155 winamp.ini
07.10.2005 11:44 6.763 KB842773.log
07.10.2005 11:44 4.510 setupact.log
07.10.2005 11:44 6.977 KB893803v2.log
07.10.2005 11:43 7.526 KB898461.log
07.10.2005 11:43 0 setuperr.log
07.10.2005 10:45 216 wiadebug.log
07.10.2005 10:40 50 wiaservc.log
07.10.2005 10:40 0 Sti_Trace.log
07.10.2005 10:08 3.251 mozver.dat
06.10.2005 19:25 231 system.ini
06.10.2005 19:23 0 nsreg.dat
06.10.2005 19:23 99.970 UninstallFirefox.exe
06.10.2005 19:21 487 win.ini
06.10.2005 19:20 316.640 WMSysPr9.prx
06.10.2005 18:58 737.280 iun6002.exe
06.10.2005 18:39 4.328 Ascd_tmp.ini
06.10.2005 18:32 8.192 REGLOCS.OLD
06.10.2005 18:30 0 control.ini
06.10.2005 18:30 299.552 WMSysPrx.prx
06.10.2005 18:30 4.161 ODBCINST.INI
06.10.2005 18:29 749 WindowsShell.Manifest
06.10.2005 18:28 36 vb.ini
06.10.2005 18:28 37 vbaddin.ini
26.05.2005 00:44 10.752 hh.exe
07.10.2005 12:48 0 sys.txt
07.10.2005 12:48 5.305 system.txt
07.10.2005 12:47 1.280 systemtemp.txt
07.10.2005 12:45 96.793 system32.txt
07.10.2005 11:57 805.306.368 pagefile.sys
06.10.2005 21:10 355 boot.ini
06.10.2005 18:30 0 AUTOEXEC.BAT
06.10.2005 18:30 0 IO.SYS
06.10.2005 18:30 0 MSDOS.SYS
06.10.2005 18:30 0 CONFIG.SYS
29.08.2002 14:00 4.952 bootfont.bin