Email-Worm.Win32.Warezov.ji gefunden, wie werde ich den wieder los?

Home » Viren, Trojaner & Malware Forum » Email-Worm.Win32.Warezov.ji gefunden, wie werde ich den wieder los? » Themenansicht

Seite(n): 1 2

Antworten

Email-Worm.Win32.Warezov.ji gefunden, wie werde ich den wieder los?

02.01.2007, 14:49 Alex87 ...neu hier Beiträge: 7	#1 Hi, bei mir geht seit Tagen das Windows Update nicht mehr, bekomme dann nur folgenden fehler: Fehlernummer: 0x80070424 Hab schon im Internet gesucht wie ich das wieder los werde, und fand nur das ich verschiedene dlls unregistern bzw wieder regestrieren sollte. Hat aber nichts geholfen, jetzt hab ich gedacht könnte ein Virus sein und siehe da: 3 Viren gefunden. Anbei die LOG, wäre nett, wenn mir jemand helfen kann. Gruß Alex EDIT: sry hab gerade hier im forum nen thread gefunden,d er das bearbeitet... werd da weiter schaun edit2: hab das versucht was in dem thread (Email-Worm.Win32.Warezov - Win32/Stration ) stand, aber irgendwie hab ichs nicht so verstanden oder falsch gemacht, wahrscheinlich beides, kann mir irgendjemand helfen??? ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Dienstag, 2. Januar 2007 14:30:51 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 2/01/2007 Anzahl der Einträge in den Antiviren-Datenbanken: 255607 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ K:\ L:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 80992 Viren gefunden: 3 Infizierte Objekte gefunden: 11 / 0 Verdächtige Objekte gefunden: 2 Untersuchungszeit: 00:44:08 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\Alex\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{358D8D44-0CF9-4F4D-84C4-EA8B8DCA9DC2} Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\2.tmp Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Alex\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Alex\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-11122006-145711.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Programme\EpsonNet\EpsonNet Print\log\log.txt Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\WINDOWS\$_hpcst$.hpc Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd8605.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\e1.dll Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\ipv6rasm.dll Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen C:\WINDOWS\system32\ipv6rasm.exe Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen C:\WINDOWS\system32\ssdprasa.dll Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen C:\WINDOWS\system32\tlntqedw.dll Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen C:\WINDOWS\system32\vdieasyc.exe Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen D:\Programme\Miranda IM\Alex.dat Das Objekt ist gesperrt übersprungen D:\Programme\mIRC\mirc.exe Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.62 übersprungen D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen E:\Dateien\Downloads\Programme\mirc62.exe/stream/data0006 Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.62 übersprungen E:\Dateien\Downloads\Programme\mirc62.exe/stream Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.62 übersprungen E:\Dateien\Downloads\Programme\mirc62.exe NSIS: infiziert - 2 übersprungen E:\Dateien\Downloads\Programme\mod-extract.zip/extract.exe Verdächtige Objekte: Password-protected-EXE übersprungen E:\Dateien\Downloads\Programme\mod-extract.zip ZIP: verdächtig - 1 übersprungen E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. Dieser Beitrag wurde am 02.01.2007 um 15:33 Uhr von Alex87 editiert.

02.01.2007, 16:22 Sabina Ehrenmitglied Beiträge: 29434	#2 Alex87 «« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html «« Erstellen eines Hijackthis-Logfiles http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit

02.01.2007, 16:45 Alex87 ...neu hier Themenstarter Beiträge: 7	#3 ich hoffe ich mach das richtig: system32.txt 02.01.2007 13:43 99.328 ipv6rasm.exe 02.01.2007 13:33 13.646 wpa.dbl 01.01.2007 20:48 59.576 perfc009.dat 01.01.2007 20:48 395.336 perfh009.dat 01.01.2007 20:48 408.948 perfh007.dat 01.01.2007 20:48 71.796 perfc007.dat 01.01.2007 20:48 946.822 PerfStringBackup.INI 01.01.2007 20:44 191.384 FNTCACHE.DAT 01.01.2007 20:42 135 spupdsvc.inf 29.12.2006 13:00 16.832 amcompat.tlb 29.12.2006 13:00 23.392 nscompat.tlb 26.12.2006 14:24 122.880 ipv6rasm.dll 26.12.2006 14:24 20.480 e1.dll 26.12.2006 14:24 24.576 tlntqedw.dll 26.12.2006 14:24 16.384 vdieasyc.exe 26.12.2006 14:24 28.672 ssdprasa.dll 16.12.2006 18:46 109.444 TZLog.log 12.12.2006 10:45 1.474.864 LegitCheckControl.dll 07.12.2006 15:13 10.716.584 MRT.exe 03.12.2006 20:36 176.167 rmoc3260.dll 03.12.2006 20:36 5.632 pndx5032.dll 03.12.2006 20:36 6.656 pndx5016.dll 03.12.2006 20:36 278.528 pncrt.dll 03.12.2006 00:23 9.132 jupdate-1.5.0_10-b03.log 29.11.2006 17:35 34.308 BASSMOD.dll 27.11.2006 09:45 60.416 tzchange.exe 17.11.2006 18:54 1.040.384 ieframe.dll.mui 17.11.2006 18:53 12.288 advpack.dll.mui 12.11.2006 15:14 146.650 BuzzingBee.wav 12.11.2006 15:14 940.794 LoopyMusic.wav 12.11.2006 13:46 13.646 wpa.bak systemtemp.txt: 02.01.2007 14:44 512 ~DFBB78.tmp 1 Datei(en) 512 Bytes 0 Verzeichnis(se), 4.034.428.928 Bytes frei system.txt 02.01.2007 15:09 1.848.381 WindowsUpdate.log 02.01.2007 13:39 750.515 setupapi.log 02.01.2007 13:33 0 0.log 02.01.2007 13:33 157 wiadebug.log 02.01.2007 13:33 50 wiaservc.log 02.01.2007 13:33 2.048 bootstat.dat 02.01.2007 13:32 27.444 SchedLgU.Txt 01.01.2007 20:43 91.014 iis6.log 01.01.2007 20:43 118.118 ntdtcsetup.log 01.01.2007 20:43 197.818 comsetup.log 01.01.2007 20:43 220.636 tsoc.log 01.01.2007 20:43 1.355 imsins.log 01.01.2007 20:43 31.323 ocmsn.log 01.01.2007 20:43 123.302 PRESP3-1.5.12.log 01.01.2007 20:42 28.681 msgsocm.log 01.01.2007 20:42 277.125 ocgen.log 01.01.2007 20:42 567.980 FaxSetup.log 01.01.2007 20:42 97.751 updspapi.log 31.12.2006 16:52 1.152 mozver.dat 31.12.2006 16:48 0 nsreg.dat 30.12.2006 00:39 34.869 wmsetup.log 30.12.2006 00:37 116 NeroDigital.ini 29.12.2006 12:48 0 ds346392d7.log 28.12.2006 15:14 0 aorvno91m.txt 26.12.2006 14:25 0 xt2in5uk.ini 16.12.2006 19:41 42.343 spupdsvc.log 16.12.2006 18:46 1.393 imsins.BAK 16.12.2006 18:46 16.345 KB928388.log 16.12.2006 18:46 11.408 KB929120.log 16.12.2006 18:46 3.146 wmsetup10.log 16.12.2006 18:46 5.440 KB926239.log 16.12.2006 18:46 3.322 MSCompPackV1.log 16.12.2006 18:46 16.193 wmp11.log 16.12.2006 18:45 603 win.ini 16.12.2006 18:45 25.331 WMFDist11.log 16.12.2006 18:45 316.640 WMSysPr9.prx 30.11.2006 22:55 946 IE4 Error Log.txt 21.11.2006 17:16 113.786 EPSTPLOG.TXT 21.11.2006 17:14 31 EPSMTL32.TXT 21.11.2006 17:11 25 CDEALCX11Euro.ini 21.11.2006 17:10 1.100 epsswt_log.txt tmp.txt: Verzeichnis von C:\WINDOWS\Temp down.txt 29.12.2006 13:00 65 desktop.ini 24.10.2006 17:15 367 LegitCheckControl.inf sys.txt 02.01.2007 16:36 0 sys.txt 02.01.2007 16:36 662 down.txt 02.01.2007 16:36 110 tmp.txt 02.01.2007 16:36 10.594 system.txt 02.01.2007 16:36 284 systemtemp.txt 02.01.2007 16:35 98.994 system32.txt 02.01.2007 15:11 24.994 ComboFix.txt 02.01.2007 13:33 805.306.368 pagefile.sys 01.01.2007 20:42 251.712 ntldr 12.11.2006 12:52 0 AUTOEXEC.BAT 12.11.2006 12:52 0 MSDOS.SYS 12.11.2006 12:52 0 CONFIG.SYS 12.11.2006 12:52 0 IO.SYS 12.11.2006 12:46 211 boot.ini hijack.log: Logfile of HijackThis v1.99.1 Scan saved at 16:45:08, on 02.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\eEBSVC.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Windows Defender\MSASCui.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\Microsoft IntelliType Pro\itype.exe D:\Programme\Winamp\winampa.exe D:\Programme\D-Tools\daemon.exe D:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe D:\Programme\Miranda IM\miranda32.exe C:\WINDOWS\System32\ipv6rasm.exe D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Alex\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\Programme\ReGetDx\iebar.dll O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167739735046 O17 - HKLM\System\CCS\Services\Tcpip\..\{1AA07971-F8E5-4077-8D45-3ED1255B612F}: NameServer = 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{1AA07971-F8E5-4077-8D45-3ED1255B612F}: NameServer = 194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{1AA07971-F8E5-4077-8D45-3ED1255B612F}: NameServer = 194.25.2.129 O20 - AppInit_DLLs: e1.dll ssdprasa.dll O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: ipv6rasm - C:\WINDOWS\system32\ipv6rasm.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\eEBSVC.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

02.01.2007, 17:24 Sabina Ehrenmitglied Beiträge: 29434	#4 Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to replace with dummy: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\|AppInit_DLLs registry keys to delete: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\ipv6rasm Files to delete: C:\WINDOWS\system32\ipv6rasm.exe C:\WINDOWS\system32\amcompat.tlb C:\WINDOWS\system32\nscompat.tlb C:\WINDOWS\system32\ipv6rasm.dll C:\WINDOWS\system32\e1.dll C:\WINDOWS\system32\tlntqedw.dll C:\WINDOWS\system32\vdieasyc.exe C:\WINDOWS\system32\ssdprasa.dll C:\WINDOWS\IE4 Error Log.txt C:\WINDOWS\ds346392d7.log C:\WINDOWS\aorvno91m.txt C:\WINDOWS\xt2in5uk.ini Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» ueberpruefe, ob die windowsupdates funktionieren __________ MfG Sabina rund um die PC-Sicherheit

02.01.2007, 17:30 Alex87 ...neu hier Themenstarter Beiträge: 7	#5 ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Fatal error: could not create new script file. Error code: 0 Error logged to errorlog.txt. Aborting now! ging nicht, hab mal die error log kopiert

02.01.2007, 17:31 Sabina Ehrenmitglied Beiträge: 29434	#6 klar, wenn man nicht das richtige anhakt und dann wahrscheinlich noch "zitat" mit reinkopiert ........ __________ MfG Sabina rund um die PC-Sicherheit

02.01.2007, 17:40 Alex87 ...neu hier Themenstarter Beiträge: 7	#7 Hab das programm nochmal neu geladen und dann nochmal versucht, dann ging es, tut mir leid wenn ich vorher was falsch gemacht hab... also hat den neustart gemacht und soweit, als ich dann über Start -> Windows Update das windows update aufrufen wollte, öffnete sich die Mircosoft seite immerhin wieder. (Hat es vorher nicht getan). Aber als ich dann auf schnellsuche ging, bekamm ich wieder meinen fehler: Fehlernummer: 0x80070424 soll ich das log vom avenger kopieren??

02.01.2007, 17:52 Sabina Ehrenmitglied Beiträge: 29434	#8 brauchst nichts kopieren, der wurm ist geloescht. um die windowsupdates wieder zu aktivieren, arbeite das ab - alles bis: Rechner neustarten http://virus-protect.org/artikel/spyware/warezov_1.html dann berichte __________ MfG Sabina rund um die PC-Sicherheit

02.01.2007, 18:31 Alex87 ...neu hier Themenstarter Beiträge: 7	#9 Ich hab wirklich alles hargenau nach anleitung gemacht, aber es geht nicht [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] @="*DoNotAllowXPSP2" das donotallowxpsp2 war nicht vorhanden... die beiden schlüssel AU und WindowsUpdate waren auch nicht vorhanden, hab sie erstellt und die import durchgeführt, dann neustart. Klappt trotzdem nicht... -> [Fehlernummer: 0x80070424]

02.01.2007, 18:36 Sabina Ehrenmitglied Beiträge: 29434	#10 gehe in die registry Start - Ausführen - regedit klicke dich durch zum Schluessel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update oben links auf "exportieren" klicken und die Datei jeweils als update.txt und date.txt abspeichern (zur überprüfung) und hier posten __________ MfG Sabina rund um die PC-Sicherheit

02.01.2007, 19:49 Alex87 ...neu hier Themenstarter Beiträge: 7	#11 Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 02.01.2007 - 13:22 Wert 0 Name: NoAutoUpdate Typ: REG_DWORD Daten: 0x0 Wert 1 Name: AUOptions Typ: REG_DWORD Daten: 0x5 Wert 2 Name: ScheduledInstallDay Typ: REG_DWORD Daten: 0x0 Wert 3 Name: ScheduledInstallTime Typ: REG_DWORD Daten: 0x11 Wert 4 Name: RescheduleWaitTime Typ: REG_DWORD Daten: 0x3 Wert 5 Name: NoAutoRebootWithLoggedOnUsers Typ: REG_DWORD Daten: 0x1 Wert 6 Name: UseWUServer Typ: REG_DWORD Daten: 0x1 Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\Auto Update Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 02.01.2007 - 13:20 ich hab jetzt wo der wurm entfernt wurde, nochmal einen anderen lösungsweg getestet, den ich davor auch mal genutzt habe, und es funktioniert wieder alles einwandfrei: > erstelle eine Textdatei > füge folgende Zeilen ein: regsvr32 comcat.dll /s regsvr32 shdoc401.dll /s regsvr32 shdoc401.dll /i /s regsvr32 asctrls.ocx /s regsvr32 oleaut32.dll /s regsvr32 shdocvw.dll /I /s regsvr32 shdocvw.dll /s regsvr32 browseui.dll /s regsvr32 browseui.dll /I /s regsvr32 msrating.dll /s regsvr32 mlang.dll /s regsvr32 hlink.dll /s regsvr32 mshtmled.dll /s regsvr32 urlmon.dll /s regsvr32 plugin.ocx /s regsvr32 sendmail.dll /s regsvr32 scrobj.dll /s regsvr32 mmefxe.ocx /s regsvr32 corpol.dll /s regsvr32 jscript.dll /s regsvr32 msxml.dll /s regsvr32 imgutil.dll /s regsvr32 thumbvw.dll /s regsvr32 cryptext.dll /s regsvr32 rsabase.dll /s regsvr32 inseng.dll /s regsvr32 iesetup.dll /i /s regsvr32 cryptdlg.dll /s regsvr32 actxprxy.dll /s regsvr32 dispex.dll /s regsvr32 occache.dll /s regsvr32 occache.dll /i /s regsvr32 iepeers.dll /s regsvr32 urlmon.dll /i /s regsvr32 cdfview.dll /s regsvr32 webcheck.dll /s regsvr32 mobsync.dll /s regsvr32 pngfilt.dll /s regsvr32 licmgr10.dll /s regsvr32 icmfilter.dll /s regsvr32 hhctrl.ocx /s regsvr32 inetcfg.dll /s regsvr32 tdc.ocx /s regsvr32 MSR2C.DLL /s regsvr32 msident.dll /s regsvr32 msieftp.dll /s regsvr32 xmsconf.ocx /s regsvr32 ils.dll /s regsvr32 msoeacct.dll /s regsvr32 inetcomm.dll /s regsvr32 msdxm.ocx /s regsvr32 dxmasf.dll /s regsvr32 l3codecx.ax /s regsvr32 acelpdec.ax /s regsvr32 mpg4ds32.ax /s regsvr32 voxmsdec.ax /s regsvr32 danim.dll /s regsvr32 Daxctle.ocx /s regsvr32 lmrt.dll /s regsvr32 datime.dll /s regsvr32 dxtrans.dll /s regsvr32 dxtmsft.dll /s regsvr32 WEBPOST.DLL /s regsvr32 WPWIZDLL.DLL /s regsvr32 POSTWPP.DLL /s regsvr32 CRSWPP.DLL /s regsvr32 FTPWPP.DLL /s regsvr32 FPWPP.DLL /s regsvr32 WUAPI.DLL /s regsvr32 WUAUENG.DLL /s regsvr32 ATL.DLL /s regsvr32 WUCLTUI.DLL /s regsvr32 WUPS.DLL /s regsvr32 WUWEB.DLL /s regsvr32 wshom.ocx /s regsvr32 wshext.dll /s regsvr32 vbscript.dll /s regsvr32 scrrun.dll mstinit.exe /setup /s regsvr32 msnsspc.dll /SspcCreateSspiReg /s regsvr32 msapsspc.dll /SspcCreateSspiReg /s exit > benenne die Datei 'IEreg.bat' und führe sie aus Danke vielmals für deine Hilfe gruß alex

07.03.2007, 00:08 Franky80321 ...neu hier Beiträge: 3	#12 Hallo liebes Helferteam, ich habe heute Abend ebenfalls die Bekanntschaft mit dem Worm.Win32.Warezov machen dürfen. Nachdem ich mich hier etwas durchgeklickt habe, poste ich vielleicht erstmal das log. Weiterhin muss ich dazu sagen, dass ich auch das clean-up schon gemacht habe, ich mir allerdings bei den datfindbat nicht ganz sicher war, was ich da nun nehmen soll, ob nur die drei letzten wie bei alex oben oder alles... na ich warte mal ab, was ihr so sagt. Vielen Dank im Voraus für eure Antwort!!! Und hier das log: Logfile of HijackThis v1.99.1 Scan saved at 23:57:45, on 06.03.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Plaxo\2.12.1.1\PlaxoHelper.exe C:\Dokumente und Einstellungen\Franky\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\2.12.1.1\PlaxoHelper.exe -a O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {E8BCDF2F-B247-42F6-8BA3-30C12142FE41} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O20 - AppInit_DLLs: e1.dll crypds16.dll O20 - Winlogon Notify: sccsumdm - C:\WINDOWS\System32\sccsumdm.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe ich hoffe, das nützt euch was?! Viele grüße und gute Nacht, Franky

07.03.2007, 10:30 Sabina Ehrenmitglied Beiträge: 29434	#13 Franky80321 poste die 6 logs von datfindbat http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit

07.03.2007, 20:00 Franky80321 ...neu hier Beiträge: 3	#14 Okidoki, hier kommen sie: 1. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 3854-FE4E Verzeichnis von C:\WINDOWS\system32 06.03.2007 22:36 83.220 sccsumdm.exe 06.03.2007 21:35 2.206 wpa.dbl 06.03.2007 20:55 2.953 CONFIG.NT 05.03.2007 23:10 4 sccsumdm.dat 04.03.2007 22:50 4.149 ikhcore.log 04.03.2007 21:25 1.806 AUTOEXEC.NT 22.02.2007 10:14 379.118 perfh009.dat 22.02.2007 10:14 52.856 perfc009.dat 22.02.2007 10:14 390.082 perfh007.dat 22.02.2007 10:14 63.794 perfc007.dat 22.02.2007 10:14 895.350 PerfStringBackup.INI 22.02.2007 09:46 8 success 23.01.2007 21:55 176.167 rmoc3260.dll 23.01.2007 21:54 5.632 pndx5032.dll 23.01.2007 21:54 6.656 pndx5016.dll 23.01.2007 21:54 278.528 pncrt.dll 02.01.2007 22:19 9.132 jupdate-1.5.0_10-b03.log 2. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 3854-FE4E Verzeichnis von C:\DOKUME~1\Franky\LOKALE~1\Temp 07.03.2007 19:56 289 datFind.zip 07.03.2007 19:31 346 jusched.log 07.03.2007 19:26 16.384 ~DF4362.tmp 3 Datei(en) 17.019 Bytes 0 Verzeichnis(se), 4.739.235.840 Bytes frei 3. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 3854-FE4E Verzeichnis von C:\WINDOWS 07.03.2007 19:27 3.886 ModemLog_Intel(R) 537EA Modem.txt 07.03.2007 19:27 50 wiaservc.log 07.03.2007 19:27 159 wiadebug.log 07.03.2007 19:26 0 0.log 07.03.2007 19:26 2.048 bootstat.dat 07.03.2007 07:29 32.562 SchedLgU.Txt 06.03.2007 22:58 436.274 ntbtlog.txt 06.03.2007 21:35 723 ie7_main.log 06.03.2007 21:34 26.325 iis6.log 06.03.2007 21:34 69.602 comsetup.log 06.03.2007 21:34 42.702 ntdtcsetup.log 06.03.2007 21:34 1.891 imsins.log 06.03.2007 21:34 80.623 tsoc.log 06.03.2007 21:34 8.416 ocmsn.log 06.03.2007 21:34 119.619 ocgen.log 06.03.2007 21:34 9.262 msgsocm.log 06.03.2007 21:34 193.411 FaxSetup.log 06.03.2007 21:28 19.604 setupapi.log 04.03.2007 22:57 794 KB894391.log 04.03.2007 21:25 (2) winstart.bat 04.03.2007 17:54 1.555.362 setupapi.log.0.old 03.03.2007 16:14 1.113.830 WindowsUpdate.log 03.03.2007 09:09 16 fwall32.dat 25.02.2007 20:03 214.818 setupact.log 25.02.2007 19:38 426 BRWMARK.INI 17.12.2006 14:32 225 cdplayer.ini 12.12.2006 21:29 191.226 wmsetup.log 4. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 3854-FE4E Verzeichnis von C:\WINDOWS\Temp 07.03.2007 07:19 0 T30DebugLogFile.txt 1 Datei(en) 0 Bytes 0 Verzeichnis(se), 4.739.223.552 Bytes frei 5. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 3854-FE4E Verzeichnis von C:\WINDOWS\Downloaded Program Files 28.02.2007 01:00 148 tinfidx.dat 28.02.2007 01:00 32 virscant.dat 28.02.2007 01:00 2.504 catalog.dat 28.02.2007 01:00 4.180.802 virscan9.dat 28.02.2007 01:00 1.693.294 virscan8.dat 28.02.2007 01:00 6.899 ecbootil.vxd 28.02.2007 01:00 6.943.538 virscan7.dat 28.02.2007 01:00 390.341 virscan6.dat 28.02.2007 01:00 97.744 scrauth.dat 28.02.2007 01:00 3.517.554 virscan5.dat 28.02.2007 01:00 11.875 symaveng.cat 28.02.2007 01:00 1.061 symaveng.inf 28.02.2007 01:00 188.891 tcdefs.dat 28.02.2007 01:00 1.352.076 tcscan7.dat 28.02.2007 01:00 336.485 tcscan8.dat 28.02.2007 01:00 771.206 tcscan9.dat 28.02.2007 01:00 453 tinf.dat 28.02.2007 01:00 224 zdone.dat 28.02.2007 01:00 1.957 tinfl.dat 28.02.2007 01:00 65.037 tscan1.dat 28.02.2007 01:00 3.113 tscan1hd.dat 28.02.2007 01:00 4.778 v.grd 28.02.2007 01:00 2.261 v.sig 28.02.2007 01:00 106.244 virscan.inf 28.02.2007 01:00 978.451 virscan1.dat 28.02.2007 01:00 570.174 virscan2.dat 28.02.2007 01:00 147.908 virscan3.dat 28.02.2007 01:00 320.186 virscan4.dat 22.06.2006 10:41 5.032 swflash.inf 6. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 3854-FE4E Verzeichnis von C:\ 07.03.2007 19:59 0 sys.txt 07.03.2007 19:58 1.986 down.txt 07.03.2007 19:58 275 tmp.txt 07.03.2007 19:58 6.582 system.txt 07.03.2007 19:57 382 systemtemp.txt 07.03.2007 19:56 91.271 system32.txt 07.03.2007 19:26 200.331.264 hiberfil.sys 07.03.2007 19:26 301.989.888 pagefile.sys 19.08.2006 18:20 194 boot.ini So, sieht teilweise so leer aus im Gegensatz zu meinem Vorgänger... ich hoffe, ich habe das richtig gemacht!

07.03.2007, 20:05 Sabina Ehrenmitglied Beiträge: 29434	#15 Franky80321 Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to replace with dummy: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\|AppInit_DLLs Registry keys to delete: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sccsumdm Files to delete: C:\WINDOWS\system32\sccsumdm.exe C:\WINDOWS\system32\sccsumdm.dat C:\WINDOWS\fwall32.dat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ------ «« http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 1 oder 2 oder 3 3 : wird Sophos geladen - wahle 6 - scane und poste den report __________ MfG Sabina rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2