wie entfernt man w32.spybot.worm?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
13.03.2005, 11:51
...neu hier
Beiträge: 9 |
||
|
||
13.03.2005, 17:18
Ehrenmitglied
Beiträge: 29434 |
#92
Bibi 118
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY... natuerlich nur die loeschen, die WinDll drin haben !!!!!!!!!!!!! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.03.2005, 22:18
...neu hier
Beiträge: 9 |
#93
hallo Sabina
ich habs jetzt nochmal versucht! es läßt sich einfach nicht löschen!!! auch nicht unter eigenschaften. hab da jetzt den zugriff verweigert. erstmal! bin wirklich am verzweifeln!!! aber toll was du für eine geduld mit mir hast hier nochmal ein log Logfile of HijackThis v1.99.1 Scan saved at 21:15:43, on 13.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\progra~1\softwin\bitdef~1\bdmcon.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Filetopia3\Filetopia.exe C:\Programme\No-IP\DUC20.exe C:\Dokumente und Einstellungen\Bibi\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O15 - Trusted Zone: www.seb.de O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{17B5DBA1-4104-4EA7-BA9F-FF53A1ED978D}: NameServer = 217.237.150.225 217.237.150.141 O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe |
|
|
||
14.03.2005, 12:40
Ehrenmitglied
Beiträge: 29434 |
#94
Hallo@Bibi 118
Wir riskieren es mal...mache folgendes: •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs WinDLL DLL Loader Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) WinDLL Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Vergiss nicht, die Sicherung, die angeboten wird, zu akzeptieren, denn das Tool loescht manchmal auch aehnliche Sachen aus der Registry, und dann stehen wir dumm da, also akzeptiere vor dem Schliessen /o.k die Sicherung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.03.2005, 16:13
...neu hier
Beiträge: 6 |
#95
hallo@sabina
erstmal THANXXX für dein posting - wenn ich sehe was auf dich so einprasselt... komme erst heute dazu mich um meinen waidwunden pc zu kümmern und deinen anweisungen zu folgen. problem ist, dass ich nicht die option habe, meinen rechner im <<abgesicherten modus mit internetverbindung>> zu starten, taucht schlichtweg nicht auf. nur mit <<...netzwerktreibern>> oder <<...eingabeaufforderung>>. habe auch versucht eine verbindung herzustellen, bekomme aber die fehlermeldung <<fehler beim verbindungsaufbau b:711>> da fehlt wohl was??? die ersten schritte habe ich jedoch befolgt. was soll ich nun als nächstes tun? du schreibst auch ich soll diverse *.exe löschen. wo soll ich die löschen? suchfunktion und tschüss? dank im voraus!!! |
|
|
||
14.03.2005, 19:17
Ehrenmitglied
Beiträge: 29434 |
#96
Zitat Sabina posteteInfo: W32/RBot-A ist ein Wurm mit einer Backdoor-Komponente, der sich auf wenig geschützte Netzwerkfreigaben auf der Windows-Plattform verbreitet. Der Wurm verbreitet sich, indem er zufällige IP-Adressen nach offenen SMB-Ports (445) durchsucht und versucht, sich in den Windows-Systemordner auf den remoten Admin$- und C$-Freigaben als Datei namens wuamgrd.exe zu kopieren. W32/RBot-A verwendet ein internes Wörterbuch häufiger Kennwörter, um Zugriff zu erlangen. Der Wurm versucht, einen Zeitplan für den Start der kopierten Datei auf dem remoten Computer zu erstellen. W32/RBot-A verfügt außerdem über eine Backdoor-Komponente, die einem bösartig gesinnten Anwender Fernzugriff auf einen infizierten Computer ermöglicht. Wenn er ausgeführt wird, versucht der Wurm, einen remoten IRC-Server zu kontaktieren und sich mit einem bestimmten Kanal zu verbinden und dort auf Befehle zu warten. Neben der Verbreitungs-Funktion ermöglicht W32/RBot-A dem remoten Anwender auch, einen Proxyserver einzurichten, einen HTTP-Server an einem benutzerspezifischen Port zu starten, Systemdaten zu sammeln, Freigaben und Benutzer hinzuzufügen oder zu löschen, Prozesse zu beenden, Dateien herunterzuladen und auszuführen, E-Mails zu versenden, eine Webcam remote zu steuern, in Netzwerkverkehr zu schnüffeln oder eine Denial-of-Service-Attacke gegen ein benutzerspezifisches Ziel zu starten. Damit er automatisch beim Start von Windows aktiviert wird, kopiert sich W32/RBot-A in die Datei wuamgrd.exe im Windows-Systemordner und erstellt die folgenden Registrierungseinträge: Start<Ausfuehren<regedit /reinschreiben HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ [Microsoft DirectX]= wuamgrd.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ [Microsoft DirectX]= wuamgrd.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ [Microsoft DirectX]= wuamgrd.exe HKU\Software\Microsoft\Windows\CurrentVersion\Run\ [Microsoft DirectX] = wuamgrd.exe HKU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ [Microsoft DirectX] = wuamgrd.exe Der Wurm erstellt außerdem die Protokolldatei \debug.txt. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.03.2005, 20:41
...neu hier
Beiträge: 9 |
#97
hallo Sabina da bin ich mal gespannt was nun pasiert! hier das erste log ; RegSrch.vbs © Bill James
; Registry search results for string "WinDLL DLL Loader" 14.03.2005 20:36:23 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDLL] "DisplayName"="WinDLL DLL Loader" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinDLL] "DisplayName"="WinDLL DLL Loader" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDLL] "DisplayName"="WinDLL DLL Loader" und hier das 2te ergebnis ; RegSrch.vbs © Bill James ; Registry search results for string "WinDLL" 14.03.2005 20:38:59 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDLL] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDLL] "DisplayName"="WinDLL DLL Loader" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDLL\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDLL\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDLL\Enum] "0"="Root\\LEGACY_WINDLL\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinDLL] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinDLL] "DisplayName"="WinDLL DLL Loader" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinDLL\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDLL] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDLL] "DisplayName"="WinDLL DLL Loader" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDLL\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDLL\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDLL\Enum] "0"="Root\\LEGACY_WINDLL\\0000" [HKEY_USERS\S-1-5-21-1409082233-764733703-1343024091-1003\Software\Microsoft\Search Assistant\ACMru\5603] "000"="WinDLL Loader" schlau werd ich nicht daraus. hoffe du kannst was damit anfangen!! zum ok klicken war da aber nix beim beenden! hoffe ich habs trotzdem richtig gemacht! einen schönen abend noch und ich kann nicht oft genug danke sagen liebe grüße bibi |
|
|
||
15.03.2005, 00:29
Ehrenmitglied
Beiträge: 29434 |
#98
Hallo@Bibi 118
ja, wunderbar...nun gehe in die Registry und schaue, ob die Eintraege (von oben)noch da sind dann schau noch mal unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY... und falls du noch eine mit WinDll findest, schreibe mir den genauen Pfad auf und poste ihn. (im Prinzip duerfte aber nichts mehr zu finden sein......) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.03.2005, 01:02
...neu hier
Beiträge: 9 |
#99
hallo hatte auch das problemm und habe alles gemacht was ich konnte!
aber zu sicherheit poste ich mein logfile vieleicht habe ich doch noch ergen so ein Schei... drauf! Logfile of HijackThis v1.99.1 Scan saved at 01:01:12, on 15.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQPlus\vplus.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\BHODemon 2\BHODemon.exe C:\Dokumente und Einstellungen\Rico\Desktop\hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://formel1.somy.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\Rico\LOKALE~1\Temp\MsgPlusUninst.bat" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe O4 - Startup: ICQ Plus.lnk = C:\Programme\ICQPlus\VPlus.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe so danke schon mal im forraus mfg Cody |
|
|
||
15.03.2005, 01:15
Ehrenmitglied
Beiträge: 29434 |
#100
Hallo@Cody
du solltest: MessengerPlus deinstallieren--> bringt nur Probleme ...... #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\Rico\LOKALE~1\Temp\MsgPlusUninst.bat" PC neustarten Loesche: MsgPlusUninst.bat --> unter: C:\DOKUME~1\Rico\LOKALE~1\Temp\MsgPlusUninst.bat •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory •Beim Start von e-scan sollten folgende Optionen aktiviert sein: -->und "Scan " klicken. •Gehe wieder in den Normalmodus:[/u] •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.03.2005, 12:04
...neu hier
Beiträge: 6 |
#101
hallo@sabina
wiedermal danke leider komme ich mit der beschreibung nicht klar??? ich hatte ja die ersten zwei schritte deines ersten bugfix schon ausgeführt, so dass die winupdates.exe svdll32.exe wuamgrd.exe PopUpBlockercd.exe nicht mehr vorhanden sind. das verzeichnis <<c:/windows>> gibt es bei mir leider nicht. ich kann nur mit <<C:\Programme\Windows NT>> dienen. du schreibst auch ich soll <<PC neustarten---> in den abgesicherten Modus--> mit Internetverbindung (druecke F8, wenn der PC hochfaehrt und waehle die Option: "abgesicherter Modus mit Internetverbindung)>>. kann ich leider nicht. ich kann im abgesicherten modus keine internetverbindung herstellen - sorry! dann habe ich noch fogendes entdeckt: (will hier gerade nen bild einfügen, werde aber aus der beschreibung nicht schlau) habe zwei *.exe-dateien entdeckt <<supdate282.exe>> und <<supdatesp991.exe>>. ich schliesse daraus, dass die verseuchung meines rechners sugsessive voranschreitet... gib mir doch bitte noch mal nen plan wie ich von vorne anfange. mal angenommen ich muss meinen rechner plätten und brenne mir wichtige daten auf cd, besteht die möglichkeit, dass ich den verf****** wurm mitbrenne??? wie immer - dank im voraus!!! |
|
|
||
15.03.2005, 13:00
...neu hier
Beiträge: 3 |
#102
Hallo Zusammen,
bin neu in diesem Forum. Habe auch ein Problem mit dem w32.spybot. Wie es der Zufall will, gibt mit Norton AntiVirus gerade folgende Meldung: Norton AntiVirus entdeckte Virus W32.Spybot in C:\windows\system32\vvv.exe Die Datei konnte nicht repariert werden. Die Datei heißt ständig anders. Habe bereits mehrmals im abgesicherten Modus und bei deaktivierter Systemwiederherstellung mit Norton und Antivir alle Dateien überprüfen lassen. Es wurde nie etwas gefunden. Jedoch bringt mir Norton wenn ich etwas länger im Internet bin immer die oben beschriebene Fehlermeldung. Folgender virus wurde bereits von Antivir gefunden und entfernt: w32.hllw.gaobot.gem Bin nun ziemlich ratlos. Kann mir Bitte jemand helfen? Besten Dank im voraus. |
|
|
||
15.03.2005, 18:53
...neu hier
Beiträge: 9 |
#103
Hallo Sabina, ich habs in der registrie immernoch drin. und zwar in folgenden pfaden:
HKEY_LOCAL_Machine\System\ControllSet003\Enum\Root\LEGACY WinDLL HKEY_LOCAL_Machine\System\ControllSet002\Enum\Root\LEGACY WinDLL HKEY_LOCAL_Machine\SystemCurrentControllSet\Enum\Root\LEGACY WinDLL das Teil scheint an mir zu hängen!!!!! vieleicht hast du ja noch eine gute idee! danke erst nochmal und einen schönen Abend. liebe grüße bibi |
|
|
||
15.03.2005, 21:57
...neu hier
Beiträge: 9 |
#104
@Sabina danke für die schnelle antwort!
habe damit heute angefangen aber der scan dauert ja ne ewigkeit 11stunden hatte das gedauert ich habe gedacht ich spinne!*g* so hier man die infected: File C:\DOKUME~1\Rico\LOKALE~1\Temp\knfsozka.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rico\LOKALE~1\Temp\woxyfeyq.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rico\LOKALE~1\TEMPOR~1\Content.IE5\2ZQ18DW1\IberoDialerHTML[1].cab infected by "not-a-virusornWare.Dialer.IberoDial" Virus. Action Taken: No Action Taken. C:\DOKUME~1\Rico\LOKALE~1\Temp\woxyfeyq.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rico\LOKALE~1\TEMPOR~1\Content.IE5\2ZQ18DW1\IberoDialerHTML[1].cab infected by "not-a-virusornWare.Dialer.IberoDial" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rico\LOKALE~1\TEMPOR~1\Content.IE5\8HYPU3G1\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Idle cdrom chin info\Readme part.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Idle cdrom chin info\web road.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\error sixth\Phone Program.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\Chin cdrom ace.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\Idlejunkmags.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\rtzwzmoh.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\uuygugmj.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Rico\Desktop\hijack\backups\backup-20050226-235732-181.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Rico\Eigene Dateien\zip's& rar's\Meine empfangenen Dateien.zip infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\ccb70.exe infected by "Trojan-Downloader.Win32.Swizzor.cs" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\knfsozka.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\woxyfeyq.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2ZQ18DW1\IberoDialerHTML[1].cab infected by "not-a-virusornWare.Dialer.IberoDial" Virus. Action Taken: No Action Taken File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HYPU3G1\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus. Action Taken: No Action Taken. File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\50D00345.exe infected by "not-a-virusorn-Dialer.Win32.Agent.a" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\50E05533.exe infected by "not-a-virusorn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP114\A0016892.pif infected by "IM-Worm.Win32.Bropia.i" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP114\A0016961.exe infected by "not-virus:Joke.DOS.Alarm.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017040.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017263.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017264.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017265.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017267.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017270.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017272.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017277.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017281.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017282.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017283.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017284.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP117\A0017537.exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP117\A0017607.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP120\A0018846.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0018888.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0018946.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019177.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019178.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019194.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019196.EXE infected by "not-a-virusorn-Dialer.Win32.Agent.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019200.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP136\A0023289.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. Tue Mar 15 21:09:44 2005 => ***** Checking for specific ITW Viruses ***** Tue Mar 15 21:09:44 2005 => Checking for Welchia Virus... Tue Mar 15 21:09:45 2005 => Checking for LovGate Virus... Tue Mar 15 21:09:45 2005 => Checking for CodeRed Virus... Tue Mar 15 21:09:45 2005 => Checking for OpaServ Virus... Tue Mar 15 21:09:45 2005 => Checking for Sobig.e Virus... Tue Mar 15 21:09:45 2005 => Checking for Winupie Virus... Tue Mar 15 21:09:45 2005 => Checking for Swen Virus... Tue Mar 15 21:09:45 2005 => Checking for JS.Fortnight Virus... Tue Mar 15 21:09:45 2005 => Checking for Novarg Virus... Tue Mar 15 21:09:45 2005 => Checking for Pagabot Virus... Tue Mar 15 21:09:45 2005 => Checking for Parite.b Virus... Tue Mar 15 21:09:45 2005 => Checking for Parite.a Virus... Tue Mar 15 21:09:45 2005 => ***** Scanning complete. ***** Tue Mar 15 21:09:45 2005 => Total Files Scanned: 567793 Tue Mar 15 21:09:45 2005 => Total Virus(es) Found: 58 Tue Mar 15 21:09:45 2005 => Total Disinfected Files: 0 Tue Mar 15 21:09:45 2005 => Total Files Renamed: 0 Tue Mar 15 21:09:45 2005 => Total Deleted Files: 0 Tue Mar 15 21:09:45 2005 => Total Errors: 14 Tue Mar 15 21:09:45 2005 => Time Elapsed: 11:08:22 Tue Mar 15 21:09:45 2005 => Virus Database Date: 2005/03/11 Tue Mar 15 21:09:45 2005 => Virus Database Count: 121166 Tue Mar 15 21:09:45 2005 => Scan Completed. so hoffe dagegen kann man was machen ohne zu formatiren! mfg Cody ps: danke Sabina |
|
|
||
16.03.2005, 10:54
Ehrenmitglied
Beiträge: 29434 |
#105
blutsvente
Vorgehensweise: scanne mit escan im abgesicherten Modus, •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten kopiere alle also-->"infected" raus, dann mit der Killbox loeschen und Onlinescanns machen + das neue Log vom HijackThis posten. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
vielen dank für deine neue nachricht. hab es gestern schon im abgesicherten modus versucht. aber bis auf je 1 schlüssel ließ sich alles entfernen. nur der ordner halt nicht! unter run stehen soviele Legacy sachen drinne. alles löschen oder nur wo WinDll drin ist? bevor ich was falsch mache frag ich lieber nochmal! danke für deine mühe und liebe grüße bibi