wie entfernt man w32.spybot.worm?

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.03.2005, 11:51
...neu hier

Beiträge: 9
#91 hallo Sabina
vielen dank für deine neue nachricht. hab es gestern schon im abgesicherten modus versucht. aber bis auf je 1 schlüssel ließ sich alles entfernen. nur der ordner halt nicht! unter run stehen soviele Legacy sachen drinne. alles löschen oder nur wo WinDll drin ist? bevor ich was falsch mache frag ich lieber nochmal! danke für deine mühe und liebe grüße bibi
Seitenanfang Seitenende
13.03.2005, 17:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#92 Bibi 118

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY...
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY...
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY...


natuerlich nur die loeschen, die WinDll drin haben !!!!!!!!!!!!!
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.03.2005, 22:18
...neu hier

Beiträge: 9
#93 hallo Sabina
ich habs jetzt nochmal versucht! es läßt sich einfach nicht löschen!!! auch nicht unter eigenschaften. hab da jetzt den zugriff verweigert. erstmal! bin wirklich am verzweifeln!!! aber toll was du für eine geduld mit mir hast hier nochmal ein log Logfile of HijackThis v1.99.1
Scan saved at 21:15:43, on 13.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Filetopia3\Filetopia.exe
C:\Programme\No-IP\DUC20.exe
C:\Dokumente und Einstellungen\Bibi\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O15 - Trusted Zone: www.seb.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17B5DBA1-4104-4EA7-BA9F-FF53A1ED978D}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
Seitenanfang Seitenende
14.03.2005, 12:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#94 Hallo@Bibi 118

Wir riskieren es mal...mache folgendes:

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

WinDLL DLL Loader

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

WinDLL

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Vergiss nicht, die Sicherung, die angeboten wird, zu akzeptieren, denn das Tool loescht manchmal auch aehnliche Sachen aus der Registry, und dann stehen wir dumm da, also akzeptiere vor dem Schliessen /o.k die Sicherung
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.03.2005, 16:13
...neu hier

Beiträge: 6
#95 hallo@sabina

erstmal THANXXX für dein posting - wenn ich sehe was auf dich so einprasselt...
komme erst heute dazu mich um meinen waidwunden pc zu kümmern und deinen anweisungen zu folgen. problem ist, dass ich nicht die option habe, meinen rechner im <<abgesicherten modus mit internetverbindung>> zu starten, taucht schlichtweg nicht auf. nur mit <<...netzwerktreibern>> oder <<...eingabeaufforderung>>. habe auch versucht eine verbindung herzustellen, bekomme aber die fehlermeldung <<fehler beim verbindungsaufbau b:711>> da fehlt wohl was???
die ersten schritte habe ich jedoch befolgt. was soll ich nun als nächstes tun?
du schreibst auch ich soll diverse *.exe löschen. wo soll ich die löschen? suchfunktion und tschüss?
dank im voraus!!!
Seitenanfang Seitenende
14.03.2005, 19:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#96

Zitat

Sabina postete
Hallo@blutsvente

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/

C:\Windows\System32\winupdates.exe
C:\Windows\System32\Svch0st.exe
C:\Windows\System32\svdll32.exe
C:\Windows\System32\wuamgrd.exe
C:\Windows\System32\PopUpBlockercd.exe

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

#deaktiviere die Systemwiederherstellung, dann aktiviere sie wieder

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Popup Blocker System32c Monitoring] PopUpBlockercd.exe
O4 - HKLM\..\Run: [winupdates] winupdates.exe<--W32.HLLW.Gaobot.BC
O4 - HKLM\..\Run: [Go And Start] svdll32.exe
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe<-W32/RBot-A
O4 - HKLM\..\RunServices: [Popup Blocker System32c Monitoring] PopUpBlockercd.exe
O4 - HKLM\..\RunServices: [winupdates] winupdates.exe
O4 - HKLM\..\RunServices: [Go And Start] svdll32.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe

PC neustarten---> in den abgesicherten Modus--> mit Internetverbindung
(druecke F8, wenn der PC hochfaehrt und waehle die Option: "abgesicherter Modus mit Internetverbindung)

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

kopiere rein:

C:\Windows\System32\winupdates.exe
C:\Windows\System32\Svch0st.exe
C:\Windows\System32\svdll32.exe
C:\Windows\System32\wuamgrd.exe
C:\Windows\System32\PopUpBlockercd.exe

PC neustarten


suche und loesche:debug.txt

Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
http://www.firewallleaktester.com/wwdc.htm

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

dann alles "INFECTED" mit der killbox oder maunuell loeschen

alle Onlinescanns, die du auf meiner Seite findest (nach unten scrollen, da sind sie)

http://eddys-domain.de/nikita/

dann berichte bitte von jedem einzelnen Onlinescann (alles notieren oder gleich hier reinkopieren--> mit dem kompletten Pfad)
+
poste das neue Log vom HijackThis
Info:

W32/RBot-A ist ein Wurm mit einer Backdoor-Komponente, der sich auf wenig geschützte Netzwerkfreigaben auf der Windows-Plattform verbreitet. Der Wurm verbreitet sich, indem er zufällige IP-Adressen nach offenen SMB-Ports (445) durchsucht und versucht, sich in den Windows-Systemordner auf den remoten Admin$- und C$-Freigaben als Datei namens wuamgrd.exe zu kopieren.
W32/RBot-A verwendet ein internes Wörterbuch häufiger Kennwörter, um Zugriff zu erlangen. Der Wurm versucht, einen Zeitplan für den Start der kopierten Datei auf dem remoten Computer zu erstellen.

W32/RBot-A verfügt außerdem über eine Backdoor-Komponente, die einem bösartig gesinnten Anwender Fernzugriff auf einen infizierten Computer ermöglicht. Wenn er ausgeführt wird, versucht der Wurm, einen remoten IRC-Server zu kontaktieren und sich mit einem bestimmten Kanal zu verbinden und dort auf Befehle zu warten.

Neben der Verbreitungs-Funktion ermöglicht W32/RBot-A dem remoten Anwender auch, einen Proxyserver einzurichten, einen HTTP-Server an einem benutzerspezifischen Port zu starten, Systemdaten zu sammeln, Freigaben und Benutzer hinzuzufügen oder zu löschen, Prozesse zu beenden, Dateien herunterzuladen und auszuführen, E-Mails zu versenden, eine Webcam remote zu steuern, in Netzwerkverkehr zu schnüffeln oder eine Denial-of-Service-Attacke gegen ein benutzerspezifisches Ziel zu starten.

Damit er automatisch beim Start von Windows aktiviert wird, kopiert sich W32/RBot-A in die Datei wuamgrd.exe im Windows-Systemordner und erstellt die folgenden Registrierungseinträge:

Start<Ausfuehren<regedit /reinschreiben

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
[Microsoft DirectX]= wuamgrd.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
[Microsoft DirectX]= wuamgrd.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
[Microsoft DirectX]= wuamgrd.exe
HKU\Software\Microsoft\Windows\CurrentVersion\Run\
[Microsoft DirectX] = wuamgrd.exe
HKU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
[Microsoft DirectX] = wuamgrd.exe

Der Wurm erstellt außerdem die Protokolldatei \debug.txt.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.03.2005, 20:41
...neu hier

Beiträge: 9
#97 hallo Sabina da bin ich mal gespannt was nun pasiert! hier das erste log ; RegSrch.vbs © Bill James

; Registry search results for string "WinDLL DLL Loader" 14.03.2005 20:36:23

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDLL]
"DisplayName"="WinDLL DLL Loader"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinDLL]
"DisplayName"="WinDLL DLL Loader"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDLL]
"DisplayName"="WinDLL DLL Loader"



und hier das 2te ergebnis ; RegSrch.vbs © Bill James

; Registry search results for string "WinDLL" 14.03.2005 20:38:59

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDLL]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDLL]
"DisplayName"="WinDLL DLL Loader"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDLL\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDLL\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDLL\Enum]
"0"="Root\\LEGACY_WINDLL\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinDLL]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinDLL]
"DisplayName"="WinDLL DLL Loader"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinDLL\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDLL]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDLL]
"DisplayName"="WinDLL DLL Loader"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDLL\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDLL\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDLL\Enum]
"0"="Root\\LEGACY_WINDLL\\0000"

[HKEY_USERS\S-1-5-21-1409082233-764733703-1343024091-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="WinDLL Loader"


schlau werd ich nicht daraus. hoffe du kannst was damit anfangen!! zum ok klicken war da aber nix beim beenden! hoffe ich habs trotzdem richtig gemacht! einen schönen abend noch und ich kann nicht oft genug danke sagen liebe grüße bibi
Seitenanfang Seitenende
15.03.2005, 00:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#98 Hallo@Bibi 118

ja, wunderbar...nun gehe in die Registry und schaue, ob die Eintraege (von oben)noch da sind ;)

dann schau noch mal unter:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY...
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY...
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY...

und falls du noch eine mit WinDll findest, schreibe mir den genauen Pfad auf und poste ihn.
(im Prinzip duerfte aber nichts mehr zu finden sein......)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.03.2005, 01:02
...neu hier

Beiträge: 9
#99 hallo hatte auch das problemm und habe alles gemacht was ich konnte!

aber zu sicherheit poste ich mein logfile vieleicht habe ich doch noch ergen so ein Schei... drauf!

Logfile of HijackThis v1.99.1
Scan saved at 01:01:12, on 15.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQPlus\vplus.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\BHODemon 2\BHODemon.exe
C:\Dokumente und Einstellungen\Rico\Desktop\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://formel1.somy.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\Rico\LOKALE~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Startup: ICQ Plus.lnk = C:\Programme\ICQPlus\VPlus.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

so danke schon mal im forraus

mfg
Cody
Seitenanfang Seitenende
15.03.2005, 01:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#100 Hallo@Cody

du solltest: MessengerPlus deinstallieren--> bringt nur Probleme ......

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\Rico\LOKALE~1\Temp\MsgPlusUninst.bat"

PC neustarten

Loesche:

MsgPlusUninst.bat
--> unter:
C:\DOKUME~1\Rico\LOKALE~1\Temp\MsgPlusUninst.bat

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

•Beim Start von e-scan sollten folgende Optionen aktiviert sein:


-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:[/u]

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein



•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.03.2005, 12:04
...neu hier

Beiträge: 6
#101 hallo@sabina

wiedermal danke ;) leider komme ich mit der beschreibung nicht klar??? ich hatte ja die ersten zwei schritte deines ersten bugfix schon ausgeführt, so dass die

winupdates.exe
svdll32.exe
wuamgrd.exe
PopUpBlockercd.exe

nicht mehr vorhanden sind.

das verzeichnis <<c:/windows>> gibt es bei mir leider nicht. ich kann nur mit <<C:\Programme\Windows NT>> dienen.

du schreibst auch ich soll <<PC neustarten---> in den abgesicherten Modus--> mit Internetverbindung
(druecke F8, wenn der PC hochfaehrt und waehle die Option: "abgesicherter Modus mit Internetverbindung)>>. kann ich leider nicht. ich kann im abgesicherten modus keine internetverbindung herstellen - sorry!
dann habe ich noch fogendes entdeckt: (will hier gerade nen bild einfügen, werde aber aus der beschreibung nicht schlau)
habe zwei *.exe-dateien entdeckt <<supdate282.exe>> und <<supdatesp991.exe>>. ich schliesse daraus, dass die verseuchung meines rechners sugsessive voranschreitet...
gib mir doch bitte noch mal nen plan wie ich von vorne anfange.
mal angenommen ich muss meinen rechner plätten und brenne mir wichtige daten auf cd, besteht die möglichkeit, dass ich den verf****** wurm mitbrenne???

wie immer - dank im voraus!!!
Seitenanfang Seitenende
15.03.2005, 13:00
...neu hier

Beiträge: 3
#102 Hallo Zusammen,

bin neu in diesem Forum. Habe auch ein Problem mit dem w32.spybot.

Wie es der Zufall will, gibt mit Norton AntiVirus gerade folgende Meldung:

Norton AntiVirus entdeckte Virus W32.Spybot in

C:\windows\system32\vvv.exe

Die Datei konnte nicht repariert werden.

Die Datei heißt ständig anders.

Habe bereits mehrmals im abgesicherten Modus und bei deaktivierter Systemwiederherstellung mit Norton und Antivir alle Dateien überprüfen lassen. Es wurde nie etwas gefunden. Jedoch bringt mir Norton wenn ich etwas länger im Internet bin immer die oben beschriebene Fehlermeldung.

Folgender virus wurde bereits von Antivir gefunden und entfernt:

w32.hllw.gaobot.gem

Bin nun ziemlich ratlos. Kann mir Bitte jemand helfen?

Besten Dank im voraus.
Seitenanfang Seitenende
15.03.2005, 18:53
...neu hier

Beiträge: 9
#103 Hallo Sabina, ich habs in der registrie immernoch drin. und zwar in folgenden pfaden:
HKEY_LOCAL_Machine\System\ControllSet003\Enum\Root\LEGACY WinDLL
HKEY_LOCAL_Machine\System\ControllSet002\Enum\Root\LEGACY WinDLL
HKEY_LOCAL_Machine\SystemCurrentControllSet\Enum\Root\LEGACY WinDLL

das Teil scheint an mir zu hängen!!!!! vieleicht hast du ja noch eine gute idee! danke erst nochmal und einen schönen Abend. liebe grüße bibi
Seitenanfang Seitenende
15.03.2005, 21:57
...neu hier

Beiträge: 9
#104 @Sabina danke für die schnelle antwort!

habe damit heute angefangen aber der scan dauert ja ne ewigkeit 11stunden hatte das gedauert ich habe gedacht ich spinne!*g*

so hier man die infected:

File C:\DOKUME~1\Rico\LOKALE~1\Temp\knfsozka.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rico\LOKALE~1\Temp\woxyfeyq.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rico\LOKALE~1\TEMPOR~1\Content.IE5\2ZQ18DW1\IberoDialerHTML[1].cab infected by "not-a-virus:pornWare.Dialer.IberoDial" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\Rico\LOKALE~1\Temp\woxyfeyq.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rico\LOKALE~1\TEMPOR~1\Content.IE5\2ZQ18DW1\IberoDialerHTML[1].cab infected by "not-a-virus:pornWare.Dialer.IberoDial" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rico\LOKALE~1\TEMPOR~1\Content.IE5\8HYPU3G1\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Idle cdrom chin info\Readme part.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Idle cdrom chin info\web road.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\error sixth\Phone Program.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\Chin cdrom ace.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\Idlejunkmags.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\rtzwzmoh.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\uuygugmj.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Rico\Desktop\hijack\backups\backup-20050226-235732-181.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Eigene Dateien\zip's& rar's\Meine empfangenen Dateien.zip infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\ccb70.exe infected by "Trojan-Downloader.Win32.Swizzor.cs" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\knfsozka.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\woxyfeyq.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2ZQ18DW1\IberoDialerHTML[1].cab infected by "not-a-virus:pornWare.Dialer.IberoDial" Virus. Action Taken: No Action Taken
File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HYPU3G1\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus. Action Taken: No Action Taken.
File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\50D00345.exe infected by "not-a-virus:porn-Dialer.Win32.Agent.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\50E05533.exe infected by "not-a-virus:porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP114\A0016892.pif infected by "IM-Worm.Win32.Bropia.i" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP114\A0016961.exe infected by "not-virus:Joke.DOS.Alarm.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017040.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017263.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017264.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017265.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017267.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017270.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017272.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017277.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017281.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017282.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017283.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017284.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP117\A0017537.exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP117\A0017607.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP120\A0018846.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0018888.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0018946.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019177.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019178.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019194.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019196.EXE infected by "not-a-virus:porn-Dialer.Win32.Agent.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019200.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP136\A0023289.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.




Tue Mar 15 21:09:44 2005 => ***** Checking for specific ITW Viruses *****
Tue Mar 15 21:09:44 2005 => Checking for Welchia Virus...
Tue Mar 15 21:09:45 2005 => Checking for LovGate Virus...
Tue Mar 15 21:09:45 2005 => Checking for CodeRed Virus...
Tue Mar 15 21:09:45 2005 => Checking for OpaServ Virus...
Tue Mar 15 21:09:45 2005 => Checking for Sobig.e Virus...
Tue Mar 15 21:09:45 2005 => Checking for Winupie Virus...
Tue Mar 15 21:09:45 2005 => Checking for Swen Virus...
Tue Mar 15 21:09:45 2005 => Checking for JS.Fortnight Virus...
Tue Mar 15 21:09:45 2005 => Checking for Novarg Virus...
Tue Mar 15 21:09:45 2005 => Checking for Pagabot Virus...
Tue Mar 15 21:09:45 2005 => Checking for Parite.b Virus...
Tue Mar 15 21:09:45 2005 => Checking for Parite.a Virus...

Tue Mar 15 21:09:45 2005 => ***** Scanning complete. *****

Tue Mar 15 21:09:45 2005 => Total Files Scanned: 567793
Tue Mar 15 21:09:45 2005 => Total Virus(es) Found: 58
Tue Mar 15 21:09:45 2005 => Total Disinfected Files: 0
Tue Mar 15 21:09:45 2005 => Total Files Renamed: 0
Tue Mar 15 21:09:45 2005 => Total Deleted Files: 0
Tue Mar 15 21:09:45 2005 => Total Errors: 14
Tue Mar 15 21:09:45 2005 => Time Elapsed: 11:08:22
Tue Mar 15 21:09:45 2005 => Virus Database Date: 2005/03/11
Tue Mar 15 21:09:45 2005 => Virus Database Count: 121166

Tue Mar 15 21:09:45 2005 => Scan Completed.

so hoffe dagegen kann man was machen ohne zu formatiren!

mfg
Cody
ps: danke Sabina
Seitenanfang Seitenende
16.03.2005, 10:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#105 blutsvente

Vorgehensweise:
scanne mit escan im abgesicherten Modus,

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten

kopiere alle also-->"infected" raus, dann mit der Killbox loeschen und Onlinescanns machen + das neue Log vom HijackThis posten.

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: