wie entfernt man w32.spybot.worm?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
22.03.2005, 10:52
...neu hier
Beiträge: 2 |
||
|
||
22.03.2005, 20:10
...neu hier
Beiträge: 4 |
#152
hallo,
habe dasselbe problem. hier das highjackthis-ergebnis. vielleicht kann ja einer von euch mal schauen, was ist. danke! Logfile of HijackThis v1.99.1 Scan saved at 19:57:31, on 22.03.2005 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINNT\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\WINNT\System32\LXSUPMON.EXE C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\WINNT\System32\sygate.exe C:\WINNT\System32\internat.exe C:\WINNT\System32\ntsf.exe C:\WINNT\System32\sys.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\ArcorOnline\Arcor.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hijackthis.exe C:\WINNT\system32\tftp.exe C:\WINNT\system32\tftp.exe C:\WINNT\System32\VSStatmn326.exe C:\WINNT\system32\SystemReg166b.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\Run: [Sygate Personal Firewall] sys.exe O4 - HKLM\..\Run: [Windows_Protect] sygate.exe O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sys.exe O4 - HKLM\..\RunServices: [Windows_Protect] sygate.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKCU\..\Run: [Sygate Personal Firewall] sys.exe O4 - HKCU\..\Run: [Windows_Protect] sygate.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylom.lycos.de/activex/zylomgamesplayer.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B3343B6E-3A13-4DD9-B2BD-37B8808A9D78}: NameServer = 195.50.140.252 145.253.2.81 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe |
|
|
||
22.03.2005, 20:53
...neu hier
Beiträge: 6 |
#153
hi sabina,
habe (fast) alles nach deinen anweisungen erledigt. komme erst heute wieder an meinen privaten pc... leider isses mir unmöglich alle zeile aus dem logfile in denen "infected" vorkommt hier reinzukopieren, das sind schlicht zuviele (3295). das tool hat auch alle viren aufgelistet, die in der "Quarantine" des norton sind. kann ich die suche etwas einschränken? äh, und was bitte ist die "Killbox" ? mal wieder danke im voraus!!!! grüsse blutsvente |
|
|
||
23.03.2005, 00:53
Ehrenmitglied
Beiträge: 29434 |
#154
Hallo@blutsvente
Die Quarantaene kannst du dir sparen, aber die anderen kopiere ab Die Zusammenfassung hast du leider auch nicht gepostet.(was du gepostet hast, ist nicht das Endlog) Die Killbox poste ich dir, wenn alle "infected" hier stehen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2005, 00:54
Ehrenmitglied
Beiträge: 29434 |
#155
Hallo@katha
Nimm bitte diese Viren/Backdoorschleuder aus dem Netz und formatiere http://virus-protect.org/ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2005, 00:56
...neu hier
Beiträge: 4 |
||
|
||
23.03.2005, 00:59
Ehrenmitglied
Beiträge: 29434 |
#157
schau mal, was ich alles rot gekennzeichnet hab...sind alles Backdoors.
Der PC wird schon nicht mehr von dir gesteuert..... Du hast keine WindowsUpdates...keinen Schutz....Windows 2000 SP2 --> es gibt schon SP4. Selbst wenn wir den PC reinigen, ist er nicht mehr vertrauenswuerdig..... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2005, 01:02
...neu hier
Beiträge: 4 |
||
|
||
23.03.2005, 01:03
Ehrenmitglied
Beiträge: 29434 |
#159
http://virus-protect.org/
Kleine Hilfestellung (auch wenn es mehr fuer XP ist....)aber vieles gilt auch fuer Win2000...und mach dann die Updates !!!! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2005, 15:02
...neu hier
Beiträge: 6 |
#160
Hallo Sabina,
wollte mich schon mal bedanken für deine Hilfe. Mit den Programmen von deinen Links konnte ich schon sehr viel machen und kann wieder richtig online gehen ohne das irgendwas blockt. Ein oder 2 Scans muss ich ja noch machen damit ich mit dem Programm (glaube mwavpd.exe o.ä. war es) das Ergebnis dann noch mal posten kann. Nur ein Programm konnte ich noch nicht richig löschen (Webrebates) hatte es im abgesicherten Modus gescannt und über die Killbox auch gelöscht, aber nach einem Neustart sind diese Dateien wieder da. Mal sehen werde heute abend dann das Ergebnis des anderen Scans posten. Heute abend bin ich dann wieder an meinem Rechner. Gruß coolzapp |
|
|
||
23.03.2005, 20:26
...neu hier
Beiträge: 9 |
||
|
||
23.03.2005, 21:21
...neu hier
Beiträge: 6 |
#162
hi@sabina,
hier der hoffentlich vollständige scan: Tue Mar 22 18:48:10 2005 => File C:\WINNT\system32\trmupdate.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Tue Mar 22 18:48:12 2005 => File C:\WINNT\system32\msmq2inst.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Tue Mar 22 18:48:26 2005 => File C:\WINNT\re11.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.^ Tue Mar 22 18:50:29 2005 => File C:\WINNT\System32\winupdates.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken. Tue Mar 22 18:50:54 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\012RCL6N\p3nis2[1].exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.^ Tue Mar 22 18:50:54 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\HYNU44A0\cancelled[1].exe infected by "Tro Tue Mar 22 18:50:54 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\HYNU44A0\cancelled[1].exe infected by "Tro Tue Mar 22 18:50:55 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\HYNU44A0\hempy[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 18:50:55 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\HYNU44A0\hempy[2].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 18:50:56 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\I1U32LCV\hempy[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 18:50:56 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\UVERYT07\fxpd[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 18:50:56 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\UVERYT07\fxpd[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 18:50:57 2005 => File C:\DOKUME~1\meik\LOKALE~1\TEMPOR~1\Content.IE5\UVERYT07\fxpd[2].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 18:53:50 2005 => File C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M11MBI90\cancelled[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 18:53:52 2005 => File C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M11MBI90\hempy[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 19:49:45 2005 => File C:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dc104.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 19:49:45 2005 => File C:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dc105.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 19:50:32 2005 => File C:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dc16\Quarantine\13B65F6C.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Tue Mar 22 19:51:22 2005 => File C:\supdate282.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 19:51:22 2005 => File C:\supdate582.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 19:51:22 2005 => File C:\supdatesp591.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.Tue Mar 22 19:51:23 2005 => File C:\supdatesp991.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 20:20:09 2005 => File C:\WINNT\Temp\tmp5F.tmp infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Tue Mar 22 20:20:03 2005 => File C:\WINNT\system32\winupdates.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken. Tue Mar 22 20:20:03 2005 => File C:\WINNT\system32\winupdates.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken. Tue Mar 22 20:11:33 2005 => File C:\WINNT\re11.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 20:06:45 2005 => File D:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dd23.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. Tue Mar 22 20:04:05 2005 => File C:\WINNT\Temp\tmp5F.tmp infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Tue Mar 22 20:03:58 2005 => File C:\WINNT\system32\winupdates.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken. Tue Mar 22 19:55:16 2005 => File C:\WINNT\re11.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 19:52:04 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0003676.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 19:52:04 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0003673.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 19:52:04 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0003672.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 19:52:02 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002644.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 19:52:02 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002643.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 19:52:02 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002640.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Tue Mar 22 19:52:02 2005 => File C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002640.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. zwei dinge noch mit bitte um aufklärung: -> habe noch nen noetbook (win2k), das macht die gleichen mucken, wenn ich über das modem "online" gehe. schliesse ich es an die dsl-leitung an der arbeit an, passiert nix. das ist doch komisch oder? hier handelt es sich doch um nen wurm der 32 bit betriebssysteme befälllt, oder nicht? unabhängig von der art des zuganges zum internet??? wie auch immer, thanxxx a loTTT |
|
|
||
23.03.2005, 22:37
...neu hier
Beiträge: 1 |
#163
Hallo Sabine! Ich bin nun neu hier und habe auch ein kleines Problem.
Habe schon ein Highjackthis Log. Hier das Log Logfile of HijackThis v1.99.1 Scan saved at 17:43:07, on 23.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE A:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50213 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50213 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing) O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing) O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll (file missing) O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing) O3 - Toolbar: (no name) - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - (no file) O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll O4 - HKLM\..\Run: [LaunchApp] LaunApp O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [vptray] C:\Programme\Symantec_Client_Security\Symantec AntiVirus\vptray.exe O4 - HKLM\..\Run: [System CPL manager] gkqzxgy.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe O4 - HKLM\..\Run: [wtwpoj] C:\WINDOWS\wtwpoj.exe O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe O4 - HKLM\..\Run: [vmss] C:\WINDOWS\System32\vmss\vmss.exe O4 - HKLM\..\Run: [Start Uppings] mssupdate.exe O4 - HKLM\..\Run: [NAV Auto Updates] navupdaterx.exe O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe O4 - HKLM\..\Run: [zxgenvtw] c:\windows\system32\zxgenvtw.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [Start Uppings] mssupdate.exe O4 - HKLM\..\RunServices: [Auto CD-ROM Startup] cdaccess.exe O4 - HKLM\..\RunServices: [System CPL manager] gkqzxgy.exe O4 - HKLM\..\RunServices: [NAV Auto Updates] navupdaterx.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe O23 - Service: Firebird Guardian (FirebirdGuardian) - FirebirdSQL Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server (FirebirdServer) - FirebirdSQL Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe DANKE im Vorraus Micha Dieser Beitrag wurde am 23.03.2005 um 22:39 Uhr von Michas-Ecke editiert.
|
|
|
||
24.03.2005, 11:50
Ehrenmitglied
Beiträge: 29434 |
#164
Hallo@blutsvente
dein Thread liegt schon lang zurueck, aber du hattest: Logfile of HijackThis v1.99.1 Scan saved at 15:28:52, on 10.3.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) O4 - HKLM\..\Run: [Popup Blocker System32c Monitoring] PopUpBlockercd.exe O4 - HKLM\..\Run: [winupdates] winupdates.exe O4 - HKLM\..\Run: [Go And Start] svdll32.exe O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe O4 - HKLM\..\RunServices: [Popup Blocker System32c Monitoring] PopUpBlockercd.exe O4 - HKLM\..\RunServices: [winupdates] winupdates.exe O4 - HKLM\..\RunServices: [Go And Start] svdll32.exe O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe O4 - HKCU\..\Run: [Popup Blocker System32c Monitoring] PopUpBlockercd.exe O4 - HKCU\..\Run: [Go And Start] svdll32.exe O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe C:\WINNT\System32\winupdates.exe C:\WINNT\System32\Svch0st.exe C:\WINNT\System32\svdll32.exe C:\WINNT\System32\wuamgrd.exe C:\WINNT\System32\PopUpBlockercd.exe -------------------------------------------------------------------------- •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINNT\system32\trmupdate.exe C:\WINNT\system32\msmq2inst.exe C:\WINNT\re11.REG C:\WINNT\System32\winupdates.exe C:\supdate282.exe C:\supdate582.exe C:\supdatesp591.exe C:\supdatesp991.exe C:\WINNT\Temp\tmp5F.tmp C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M11MBI90\cancelled[1].exe C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M11MBI90\hempy[1].exe C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\012RCL6N\p3nis2[1].exe C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HYNU44A0\cancelled[1].exe C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HYNU44A0\hempy[1].exe C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I1U32LCV\hempy[1].exe C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVERYT07\fxpd[2].exe C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0003676.REG C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0003673.exe C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0003672.exe C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002644.exe C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002643.REG C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002640.exe C:\System Volume Information\_restore{2834BEB8-BEC2-4629-8D34-E82C0FBA68DF}\RP4\A0002640.exe PC neustarten ------------------------------------------------------------------------------------------------------------------------------------- #Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Loeschen: C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M11MBI90\cancelled[1].exe C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M11MBI90\hempy[1].exe C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\012RCL6N\p3nis2[1].exe C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HYNU44A0\cancelled[1].exe C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HYNU44A0\hempy[1].exe C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I1U32LCV\hempy[1].exe C:\Dokumente und Einstellungen\uta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVERYT07\fxpd[2].exe C:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dc104.exe C:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dc105.exe C:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dc16\Quarantine\13B65F6C.EXE D:\RECYCLER\S-1-5-21-583907252-790525478-682003330-1003\Dd23.exe #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #Winsweep (Browser-Reinigung)--> du musst dich dann im Forum (und in anderen neu anmelden)--> merke dir also dein(e) Passwort(e) http://www.winsweep.de/down.htm Klicke auf die Grafik , da erscheint der Download. Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken. Dann das Tool wieder aus dem Autostart nehmen (mit dem HijackThis oder Start<Ausfuehren<msconfig<Systemstart das Heackchen vor Winsweep rausnehmen. #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner dann scanne noch mal mit escan (bis alles sauber ist) Onlinescanns http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ http://www.ravantivirus.com/scan/ http://www3.ca.com/virusinfo/ http://www.bitdefender.com/scan/licence.php http://www.commandondemand.com/eval/index.cfm http://www.freedom.net/viruscenter/...viruscheck.html http://info.ahnlab.com/english/ http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp -------------------------------------------------------------- W32/RBot-A ist ein Wurm mit einer Backdoor-Komponente, der sich auf wenig geschützte Netzwerkfreigaben auf der Windows-Plattform verbreitet. Der Wurm verbreitet sich, indem er zufällige IP-Adressen nach offenen SMB-Ports (445) durchsucht und versucht, sich in den Windows-Systemordner auf den remoten Admin$- und C$-Freigaben als Datei namens wuamgrd.exe zu kopieren. W32/RBot-A verwendet ein internes Wörterbuch häufiger Kennwörter, um Zugriff zu erlangen. Der Wurm versucht, einen Zeitplan für den Start der kopierten Datei auf dem remoten Computer zu erstellen. W32/RBot-A verfügt außerdem über eine Backdoor-Komponente, die einem bösartig gesinnten Anwender Fernzugriff auf einen infizierten Computer ermöglicht. Wenn er ausgeführt wird, versucht der Wurm, einen remoten IRC-Server zu kontaktieren und sich mit einem bestimmten Kanal zu verbinden und dort auf Befehle zu warten. Neben der Verbreitungs-Funktion ermöglicht W32/RBot-A dem remoten Anwender auch, einen Proxyserver einzurichten, einen HTTP-Server an einem benutzerspezifischen Port zu starten, Systemdaten zu sammeln, Freigaben und Benutzer hinzuzufügen oder zu löschen, Prozesse zu beenden, Dateien herunterzuladen und auszuführen, E-Mails zu versenden, eine Webcam remote zu steuern, in Netzwerkverkehr zu schnüffeln oder eine Denial-of-Service-Attacke gegen ein benutzerspezifisches Ziel zu starten. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.03.2005, 12:06
Ehrenmitglied
Beiträge: 29434 |
#165
Hallo@Michas-Ecke
Dein Problem ist nicht klein, sondern ziemlich gross....nimm diese Virenschleuder bitte aus dem Netz und formatiere neu. http://virus-protect.org/ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
hatte am wochenende meinen rechner formatiert,da meine festplatte mit der windows partition am abend seinen dienst eingestellt hatte,somit ein neuaufsetzen von windows notwendig geworden ist....trotzdem danke fuer deine mühe und mach weiter so....