W32.HLLW.Torvel.B@mm und glaub noch en paar andere :(

#1 Hi all,

ich bin froh das ich dieses Forum gefunden habe und hoffe auf Hilfe!!
Jedenfalls habe ich im Forum nach diesem Wurm gesucht habe aber nur einen Thread gefunden der mir nich wirklich weiterhelfen konnte
Auf jeden Fall habe ich vor 2 tagen meine Festplatte formatiert und Windows XP neu aufgespielt!!
Ich wusste zwar von dem Sasser und Blaster Wurm aber ich weiss net warum...hab die Updates vergessen und bin einfach ins internet :/
keine 2min. später kam dann diese 60sec. Meldung...OK
nach dem rebooten hab ich das Update drauf...
So nun rebootet der nich mehr!!
Habe mit Fixblast und dem FxScanner mal nach den beiden gesucht und habe aber gar nichts gefunden...
c:\win.log
c:\windows\avserve.exe
c:\windows\system32\"xxxx_up.exe" (xxxx = vierstellige Zufallszahl) << von dem war auch nichts zu finden!!
OK..dann habe ich Norton nochma laufen lassen...und der zeigte mir 2x den W32.HLLW.Torvel.B@mm an

Dann schaute ich in dem Forum nach und habe ein paar Online-scanner gefunden mit denen ich nochma durchgescannt habe...und habe dann doch noch en paar viren gefunden

Scan initiated on Thu May 13 12:42:05 2004
C:\WINDOWS\System32\kwved32.exe\kwved32.exe
Found the W32/Sdbot.worm.gen.g virus !!!
C:\WINDOWS\System32\kwved32.exe\kwved32.exe has been deleted.
C:\WINDOWS\system32\drivers\etc\hosts
Found the Qhosts.apd trojan !!!
C:\WINDOWS\system32\drivers\etc\hosts has been repaired.
C:\WINDOWS\system32\TFTP2372\TFTP2372
Found the W32/Sdbot.worm.gen.g virus !!!
C:\WINDOWS\system32\TFTP2372\TFTP2372 has been deleted.
Number of clean files: 14176
Number of infected files: 2
Number of files repaired: 1
Number of files deleted: 2

und hier noch der HijackThis Report:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\ntsyskrnl.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Der Neger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\RunServices: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38120.1869212963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCF09A52-B3DF-4795-8FDE-79C0604E7D88}: NameServer = 217.237.150.33 194.25.2.129


C:\WINDOWS\System32\ntsyskrnl.exe wurde von nem Onlinescanner als virus gemeldet aber bekomme den net weg
C:\WINDOWS\system32\drivers\etc\hosts wurde von nem Onlinescanner als virus gemeldet, kann ich zwar löschen aber kommt wieder
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe das is der w32.spybot..., aber k.a was ich machen soll
und zu guter letzt, wie bekomme ich den W32.HLLW.Torvel.B@mm weg

ich hoffe mir kann jemand helfen
Danke im vorraus

#2 Hi

Fixe bitte das, im abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\RunServices: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe

Dann neustart wieder im Abgesicherten Modus
Virenscanner starten, alles löschen was Virus ist


Das ist nur noch aufräumen
Wenn du nicht sicher ist, las es oder Frage nochmal nach

Zitat

1. Registry öffnen (Start/ausführen/regedit)

Diesen Schlüssel suchen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Dort steht dies
"Shell"="Explorer.exe %Windir%<filename>.exe"
es sollte nur
"Shell"="Explorer.exe"
dastehen

2.
Das suchen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
explorer\Advanced

Dort gibt es einen Schlüssel
OneLevelDeeper\TorvilDB
mit dem Eintrag
"TORVIL"="<filename>.exe"
Diese kann gelöscht weerden

http://securityresponse.symantec.com/avcenter/venc/data/pf/w32.hllw.torvel.b@mm.html

Dann neustart

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 also paff ertsma herzlichen dank für deine Hilfe!!

ich hab im abgesicherten modus gestartet, unter system32 geschaut wo der wuamgrd.exe w32.spybot drin sein sollte...hab aber bevor ich in den abgesicherten gegangen bin nochma gescannt und den glaub ich entfernen können...bin mir aber nich sicher!!

im abgesicherten hab ich wie du gesagt hast den virenscanner laufen lassen und einen wurm in der ntsyskrnl.exe gefunden...isoliert und gelöscht und nun is auch dieser wurm nich mehr zu finden!!

Aber bei beiden fällen bin ich mir nich sicher ob ich das nun richtig gemacht hab oder nich :/

nun versuch ich ma die reg aufzuräumen!!

#4 Du mußt auf jedenfall diese EInträge in HiJAckThis fixen
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\RunServices: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
Dann die Dateien löschen, wenn noch da
Sollten im system32 oder Windows Verzeichnis sein

Gruß paf
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
explorer\Advanced

Dort gibt es einen Schlüssel
OneLevelDeeper\TorvilDB
mit dem Eintrag
"TORVIL"="<filename>.exe"
Diese kann gelöscht weerden << diesen schlüssel habe ich nicht gefunden

Zitat

paff postete
Du mußt auf jedenfall diese EInträge in HiJAckThis fixen
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\RunServices: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe

Gruß paf

wie soll ich die in HiJAckThis fixen? sry weisst nich so recht wie du das meinst :/

#6 Fixen in HiJackThis

Einfach die angegebenen Einträge ankreuzen und "Fix Cheched.." drücken.

Dann werden die EInträge entfernt

Poste danach einfach nochmal das Logfile

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 ahh habs verstanden und ausgeführt...

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\regedit.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Dokumente und Einstellungen\Der Neger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38120.1869212963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCF09A52-B3DF-4795-8FDE-79C0604E7D88}: NameServer = 217.237.150.33 194.25.2.129

jetzt bleibt mir nur noch das da:
Dort gibt es einen Schlüssel
OneLevelDeeper\TorvilDB
mit dem Eintrag
"TORVIL"="<filename>.exe"
Diese kann gelöscht weerden << diesen schlüssel habe ich nicht gefunden

#8 #Du musst im Exporer unter EXtras/Ordneroptionen/Ansicht/Versteckte Dateien und Ordner "Alle Dateien und Ordner anzeigen" und mit der Suchfunktion finden und loeschen, falls da:
-----------------------------------------------------------------------------
yourwin.bat
probsolv.doc.pif
flt-xb5.rar.pif
document.doc.pif
sexinthecity.scr
torvil.pif
win$hitrulez.pif
sex.jpg
flt-ixb23.zip
readit.doc.pif
document1.doc.pif
attachment.zip


#Start<Ausfuehren<regedit:loesche auf der rechten Seite, wenn es da ist:
-------------------------------------------------------------------------
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Service Host

HKLM\Software\Microsoft\Windows\CurrentVersion\
Advanced\OneLevelDeeper\TorvilDB
HKCU\Software\Microsoft\Windows\CurrentVersion\
Advanced\OneLevelDeeper\TorvilDB

HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Advanced\OneLevelDeeper\TorvilDB

http://www.sophos.com/virusinfo/analyses/w32torvilb.html
------------------------------------------------------------------------------


MfG
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#9 hab ich

grml...ich brauche 18 Zeichen...so


http://www.sophos.com/virusinfo/analyses/w32torvilb.html << aus irgendeinem grund Die Seite kann nicht angezeigt werden.
http://securityresponse.symantec.com/avcenter/venc/data/vbs.voodoo.a.html << das gleiche

#10 Fixe c:\progra~1\intern~1\iexplore.exe

http://securityresponse.symantec.com/avcenter/venc/data/vbs.voodoo.a.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 W32/Torvil-B
Type
Win32 worm
Detection
Detected by Sophos Anti-Virus since November 2003.

Note: Sophos issued an IDE for W32/Agobot-AG, W32/Torvil-A and W32/Torvil-B at 11:18 GMT on 3rd November. This updated IDE includes detection for a slight variant of W32/Torvil-B.
Description
W32/Torvil-B is an email worm that arrives in an email with varying characteristics.

The subject lines used by the worm contain the following words or phrases:

Congratulations!
darling
Do not release, its the internal rls!
Documents
Pr0n!
Undeliverable mail--
Returned mail--
Here's a nice Picture
NewInternal Rls...
here's the document
here's the document you requested
here's the archive you requested
See the attached file for details.
Hello,
Re:
Fw:

The message text used by the worm contains the following:

I have a document attached which should solve your problems.
The release file is attached...
Send me your comments.
Real outtakes from Sex in the City!! Adult content!!! Use with parental
advisory
have a look the Pic attached !!
dOnT gIvE iT aWaY... iTs cOnFiDeNtIaL
Here's the document that you had requested.
That's the answer to all your questions.
Have a look at the attatchment

The worm may arrive as an attachment with one of the following filenames:

yourwin.bat
probsolv.doc.pif
flt-xb5.rar.pif
document.doc.pif
sexinthecity.scr
torvil.pif
win$hitrulez.pif
sex.jpg
flt-ixb23.zip
readit.doc.pif
document1.doc.pif
attachment.zip

Additionally the worm may arrive in an email with the following characteristics:

Subject line: Who should read this bulletin: Users running Microsoft Windows
Message text: You should apply this fix which solves the newest Internet Explorer Vulnerability described in MS05-023.
It's Important that you apply this fix now since we estimate the Buffer
Overflow is at a Critical Level
Sincerely Yours
Attached file: Q723523_W9X_WXP_x86_EN.exe

When W32/Torvil-B is first executed a dialog box is displayed containing the following text "Press "Patch" to install the RPC-DCOM Fix2". The computer will be infected whether or not the user clicks on the button titled "Patch".

W32/Torvil-B drops three copies of itself to the Windows folder. One of the copies has the filename svchost.exe, the other two copies have a filename that begins spool or SMSS. Additionally the two files message.dat and message.htm may be created in the Windows folder and contain base64 encoded copies of the worm.

The following registry entry will be set so that the worm is run when Windows starts up:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Service Host

The following registry entries are created and should be deleted:

HKLM\Software\Microsoft\Windows\CurrentVersion\
Advanced\OneLevelDeeper\TorvilDB
HKCU\Software\Microsoft\Windows\CurrentVersion\
Advanced\OneLevelDeeper\TorvilDB

The Mircrosoft Outlook Express stationery file will be set to the file message.htm dropped in the Windows folder, in an attempt to force Outlook Express to send the worm with every email sent by the infected user.

On NT based systems W32/Torvil-B will attempt to copy itself to network shares with weak administrator passwords. A service will also be installed on these system with the name TORVIL.

W32/Torvil-B attempts to send copies of itself to a number of newsgroups.
Recovery
Please follow the instructions for removing worms.

Check your administrator passwords and review network security.

You will also need to edit the following registry entries, if they are present. Please read the warning about editing the registry.

At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.

Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.

Locate the HKEY_LOCAL_MACHINE entries:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Service Host

HKLM\Software\Microsoft\Windows\CurrentVersion\
Advanced\OneLevelDeeper\TorvilDB

and delete them if they exist.

Each user has a registry area named HKEY_USERS\[code number indicating user]\. For each user locate the entry:

HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Advanced\OneLevelDeeper\TorvilDB

and delete it if it exists.

Close the registry editor and reboot your computer.
__________
MfG Sabina

rund um die PC-Sicherheit

#12 When you open an infected file, VBS.Voodoo.A changes the Value data of the following registry keys to 0 (zero):

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\Zones\0\1201

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\0\1201

This reduces the security protection that is provided by Microsoft Internet Explorer to a level that is less safe.

The virus then infects .htm, .htm and .htt files that are located either in the same folder as the virus, or in the following locations:
C:\
C:\Windows\Desktop
C:\Windows\Web
C:\Windows\Web\Wallpaper
C:\Windows\Help
C:\Windows\Temp
C:\My Documents
C:\Program Files\Microsoft Office\Office\Headers
C:\Program Files\Internet Explorer\Connection Wizard
C:\Inetpub\wwwroot

By inserting virus code into .htt files, the virus is executed every time that you click in the left pane of Windows Explorer.

The virus also changes the .html file icon to the Recycle Bin icon.



Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

* Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended Thread have less avenues of attack and you have fewer services to maintain through patch updates.
* If a blended Thread exploits one or more network services, disable, or block access to, those services until a patch is applied.
* Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
* Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
* Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.
* Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
* Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.



To remove this virus, delete files detected as VBS.Voodoo.A, and then undo the changes made to the registry.

To remove this worm:

1. Run LiveUpdate to make sure that you have the most recent virus definitions.
2. Start Norton AntiVirus (NAV), and run a full system scan, making sure that NAV is set to scan all files.
3. Delete any files detected as VBS.Voodoo.A.


To edit the registry:

CAUTION: We strongly recommend that you back up the system registry before making any changes. Incorrect changes to the registry could result in permanent data loss or corrupted files. Please make sure you modify only the keys specified. Please see the document How to back up the Windows registry before proceeding.

1. Click Start, and click Run. The Run dialog box appears.
2. Type regedit and then click OK. The Registry Editor opens.
3. Navigate to the following key:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\Zones\0
4. In the right pane, double-click the value 1201
5. Change the number in the Value data box to 0 and then click OK.
6. Navigate to the following key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\0
7. In the right pane, double-click the value 1201
8. Change the number in the Value data box to 0 and then click OK.
9. Navigate to the following key:

HKEY_CLASSES_ROOT\htmlfile\DefaultIcon\
10. In the right pane, double-click (Default).
11. Changed the contents of the Value data box to the following, and then click OK:

C:\PROGRA~1\INTERN~1\iexplore.exe,1
12. Exit the Registry Editor.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 O17 - HKLM\System\CCS\Services\Tcpip\..\{CCF09A52-B3DF-4795-8FDE-79C0604E7D88}: NameServer = 217.237.150.33 194.25.2.129

ist das dein Server ????
c:\progra~1\intern~1\iexplore.exe hat es vielleicht verstellt.
Nach Loeschen des Virus, musst du wahrscheinlich alles neu einstellen.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#14

Zitat

Sabina postete
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCF09A52-B3DF-4795-8FDE-79C0604E7D88}: NameServer = 217.237.150.33 194.25.2.129

ist das dein Server ????

MfG
Sabina

nein

#15 c:\progra~1\intern~1\iexplore.exe hat es vielleicht verstellt.
Nach Loeschen des Virus, musst du wahrscheinlich alles neu einstellen.
Siehe 2. Thread....VBS.Voodoo.A
Delete any files detected as VBS.Voodoo.A.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit