Home » Viren, Trojaner & Malware Forum » Trojaner Qhost.AA und Dldr.Agent.MG.6 Worm SdBot.4761628 » Themenansicht
Trojaner Qhost.AA und Dldr.Agent.MG.6 Worm SdBot.4761628 |
||
|---|---|---|
| #0
| ||
|
11.06.2005, 15:07
Member
Beiträge: 14 |
||
 
|
|
|
|
12.06.2005, 00:11
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@lamauny
•Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: hmlsvc32.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: znlto Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - URLSearchHook: ProtoHandler Class - {724F6607-4698-48F8-903F-120EA084E3F9} - C:\Programme\BrowserEnh_müll\ie.dll (file missing) O2 - BHO: Network Essentials - {0421701D-CF13-4E70-ADF0-45A953E7CB8B} - C:\Programme\Network Essentials\v16\NE.DLL (file missing) O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll (file missing) O4 - HKLM\..\Run: [atapidrv] atapidrv.exe O4 - HKLM\..\Run: [zyrqp] C:\WINNT\zyrqp.exe O4 - HKLM\..\Run: [Sfwafasdw] C:\WINNT\SYSTEM32\avuwome.exe O4 - HKLM\..\RunServices: [atapidrv] atapidrv.exe O23 - Service: znlto - Unknown owner - \\82.240.213.110\C\hmlsvc32.exe" -service (file missing) PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken C:\Programme\BrowserEnh_müll\ie.dll C:\WINNT\SYSTEM32\atapidrv.exe C:\WINNT\system32\msbe.dll C:\WINNT\zyrqp.exe C:\WINNT\SYSTEM32\avuwome.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten Desinfektion von W32/Agobot Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen) http://bilder.informationsarchiv.net/Nikitas_Tools/ #oeffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < loesche alles , lasse nur stehen: 127.1.1.0 localhost windsdoorcleaner (laden und alles aktivieren) http://virus-protect.org/windsdoorcleaner.html Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 30 Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit ------------------------ W32/Agobot-SI http://www.sophos.com/virusinfo/analyses/w32agobotsi.html W32/Agobot-SL ist ein Netzwerkwurm mit IRC-Backdoorfunktionalität. http://www.sophos.de/virusinfo/analyses/w32agobotsl.html W32/Agobot-SL verbindet sich mit einem vorkonfigurierten IRC-Server und einem Kanal und wartet auf weitere Anweisungen. W32/Agobot-SL beendet außerdem Antiviren- und Sicherheitsanwendungen. Der Wurm verbreitet sich auf Computer, die von bekannten Schwachstellen betroffen sind und auf denen Netzwerkdienste aktiv sind, die durch einfache Kennwörter geschützt sind. Schwachstellen: RPC DCOM (MS03-026, MS04-012) MSSQL (MS02-039) Dienste: NetBios Die folgenden Patches für die Betriebssystemschwachstellen, die von W32/Agobot-SL ausgenutzt werden, stehen auf der Microsoft-Website zur Verfügung: RPC-DCOM (MS04-012) Sicherheitslücke MSSQL (MS02-039) Sicherheitslücke W32/Agobot-SL ist ein Netzwerkwurm mit IRC-Backdoorfunktionalität. W32/Agobot-SL verbindet sich mit einem vorkonfigurierten IRC-Server und einem Kanal und wartet auf weitere Anweisungen. Aufgrund dieser Anweisungen kann der Bot folgende Aktionen starten: Starten einer UDP-, TCP-, ICMP-, syn-, http- oder ping-Flood Starten eines socks4-, socks5-, http- oder https-Proxyservers Umleiten von TCP- oder GRE-Verbindungen Starten eines FTP-Servers Starten eines Commandshell-Servers Anzeigen von Statistiken über das infizierte System Neustarten/Herunterfahren des infizierten Computers Beenden von Antiviren- und Sicherheitsprozessen Auflisten/Beenden aktiver Prozesse Durchsuchen zufälliger oder aufeinander folgender IPs nach infizierbaren Computern Freigeben lokaler Laufwerke im Netzwerk Beenden anfälliger Dienste, um den Computer zu sichern Suchen nach Produktschlüsseln Durchsuchen lokaler Laufwerke nach AOL-Benutzerdaten Schnüffeln in Netzwerkverkehr nach Kennwörtern Starten eines Keyloggers Herunterladen und Installieren einer aktualisierten Version des Wurms Installieren von Bot-Plugins für zusätzliche Funktionalität. Der Wurm verbreitet sich auf Computer, die von bekannten Schwachstellen betroffen sind und auf denen Netzwerkdienste aktiv sind, die durch einfache Kennwörter geschützt sind. Schwachstellen: RPC DCOM (MS03-026, MS04-012) MSSQL (MS02-039) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.06.2005, 15:32
Member
Themenstarter Beiträge: 14 |
#3
Vielen Dank fuer die rasche Antwort!
Kurz nachdem ich an Protecus geschrieben hqbe ist folgendes passiert: Ploetzlich hat sich mein Mausanzeiger gezielt bewegt und verschiedene Sachen angeklickt, dann hat jemand in meinem Navigator vor meinen Augen eien frz Erotikseite eingetippt und isdt darin rumgesurft ! Ich habe dann schnellstens das Internetkabel gezogen! Irgendjemand hat die Kontrolle ueber meinen Rechner!!! habe jetzt panische Angst, mit meinem Rechner ins Netz zu gehen, sitze jetzt vor einem anderen Rechner und habe mir all deine Anweisungen runtergeladen und mir die entsprechenden Seiten angeschaut, damit ich so wenig wie moeglich ins Netz muss beim Versuch meinen Rechner zu bereinigen! hqbe gestern im Anschluss an den Schreck nochmal Antivir scannen lassen, habe daraufhin einen neuen Trojaner entdeckt/ Dldr.Small.D1 in C:\progrqm files\Preview Ad Service\Prev Ad Comm.dll Muss ich deswegen noch was anderes tun als schon beschrieben??? Bitte Daumen druecken, gehe jetzt nach hause und versuche den Rechner zu reinigen.........melde mich am Abend wieder Michael |
|
|
|
|
|
|
13.06.2005, 00:39
Member
Themenstarter Beiträge: 14 |
#4
Hallo Sabina,
noch mal vielen Dank für deine Hilfe! Habe alles wie vorgeschlagen erledigt: Doppelklick:regsrch.vbs reinkopieren: hmlsvc32.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: znlto Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Nach 4 bzw. 2 sekunden suche wurde gemeldet, dass nichts besonderes gefunden wurde. Hijack this und killbox hat gut geklappt, windsdoorcleaner ebenfalls. Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 30 Tage raus einzeln reinkopieren: Das einzeln reinkopieren hab ich gemacht, aber was meinst Du mit Einträge der letzten 30 Tage raus ? Agobot32: Agobtcli.com und Agobtgui.com hab ich gemacht, Agotsfx.exe ebenfalls, es wurde moniert, dass ich nicht als Administor angemeldet habe, war ich jedoch! Agobtci.com hat nix gefunden, Agobtsfx.exe hat vor den Dateien die Anitivir auch jetzt noch als infiziert angibt kurz beim scannen gestoppt (bei imefoya.exe, izyyid.exe, timok.exe, diau.exe) ist dann jedoch immer weitergelaufen und hat am Ende keine infizierte Datei angezeigt. RPC DCOM (MS03-026, MS04-012) MSSQL (MS02-039) Hab ich upgedated. Habe ausserdem Win32sec.exe zum Windowsdienst abschalten benutzt, wenn ich jedoch -Dienste abschalten Einzelner Computer-möglichst viele Dienste abschalten – wähle kann ich mich nicht ins Internet einwählen (die Freebox für DSL wird als Netzwerkkarte erkannt), habe deswegen: -Computer in einem Netzwerk – alle Dienste ausser für ein lokales Netzwerk abschalten – gewählt. Habe mir ausserdem Mozilla Firefox als Standardzugang ins Netz installiert. Hier das Ergebnis von Antivir, der immer noch Würmer und Trojaner findet, und von Hijack this: Logfile of HijackThis v1.99.1 Scan saved at 00:23:20, on 13/06/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\antivirpersonaledition622\AVGUARD. EXE C:\Programme\antivirpersonaledition622\AVWUPSRV .EXE C:\WINNT\SYSTEM32\DWRCS.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\Programme\Norton Speed Disk\nopdb.exe C:\WINNT\system32\stisvc.exe C:\WINNT\SCARDS32.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SYSTEM32\DWRCST.exe C:\WINNT\system32\devldr32.exe C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE C:\Programme\antivirpersonaledition622\AVGNT.EX E C:\WINNT\SYSTEM32\csadqw.exe C:\WINNT\system32\tiwqacf.exe C:\WINNT\system32\svchcst.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\WINNT\system32\svchcst.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\WINNT\msagent\AgentSvr.exe C:\Dokumente und Einstellungen\Dr. HC Cäsar\Desktop\Antivirus0605\Hijack\HijackThis.e xe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von planet-interkom O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [D066UUtility] C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\antivirpersonaledition622\AVGNT.EX E /min O4 - HKLM\..\Run: [dqwdasdqw] C:\WINNT\SYSTEM32\csadqw.exe O4 - HKLM\..\Run: [sdux] tiwqacf.exe O4 - HKLM\..\Run: [SoundCard] svchcst.exe O4 - HKLM\..\RunServices: [sdux] tiwqacf.exe O4 - HKLM\..\RunServices: [SoundCard] svchcst.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [sdux] tiwqacf.exe O4 - HKCU\..\Run: [SoundCard] svchcst.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV 02.EXE O8 - Extra context menu item: GoHip! - http://www.gohip.com/browser/home.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .swf: C:\Programme\Netscape\Communicator\Program\PLUG INS\npswf32.dll O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/gam es3.cab O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://www.e-fiat.com/Components/Ocx/Exterior/O utside.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C13B3D38-8E4 A-4E9E-A4A3-3EB97749A332}: NameServer = 192.168.0.11,192.168.0.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{D55BCE18-0B6 E-4CC3-8500-85AA3FF56A98}: NameServer = 192.168.120.252,192.168.120.253 O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\antivirpersonaledition622\AVGUARD. EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\antivirpersonaledition622\AVWUPSRV .EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Norton Speed Disk\nopdb.exe O23 - Service: CHIPDRIVESCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE O23 - Service: Performance Logging Messaging (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing) O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe Erstellungsdatum der Reportdatei: dimanche 12 juin 2005 22:48 AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1047 vom 07.06.2005 Hauptptogramm 6.31.00.03 vom 10.05.2005 VDF-Datei 6.31.0.25 (0) vom 09.06.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 178212 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-WURGE-0001 Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ Email ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.0 Build 2195 (Service Pack 4) Benutzername: Dr. HC Cäsar Computername: MEDICUS Prozessor: Pentium Arbeitsspeicher: 261624 KB frei Versionsinformationen: AVWIN.DLL : 6.31.00.03 528424 07.06.2005 11:34:24 AVEWIN32.DLL : 6.31.0.5 823808 08.06.2005 23:02:40 AVGNT.EXE : 6.31.00.01 168039 07.06.2005 11:34:22 AVGUARD.EXE : 6.31.00.01 238120 07.06.2005 11:34:22 GUARDMSG.DLL : 6.31.00.01 98344 07.06.2005 11:34:24 AVGCMSG.DLL : 6.31.00.00 295029 07.06.2005 11:34:22 AVGNTDW.SYS : 6.31.00.01 32896 07.06.2005 11:34:22 AVPACK32.DLL : 6.31.00.03 323664 07.06.2005 11:34:22 AVGETVER.DLL : 6.30.00.00 24576 16.03.2005 10:17:42 AVWIN.DLL : 6.31.00.03 528424 07.06.2005 11:34:24 AVSHLEXT.DLL : 6.30.00.01 40960 16.03.2005 10:17:42 AVSched32.EXE : 6.30.00.00 110632 16.03.2005 10:17:42 AVSched32.DLL : 6.30.00.00 122880 16.03.2005 10:17:42 AVREG.DLL : 6.30.00.03 41000 16.03.2005 10:17:42 AVRep.DLL : 6.31.00.08 1155112 08.06.2005 23:02:48 INETUPD.EXE : 6.31.00.02 249915 07.06.2005 11:34:24 INETUPD.DLL : 6.31.00.02 159744 07.06.2005 11:34:24 CTL3D32.DLL : 2.31.000 27136 10.12.1999 14:00:00 MFC42.DLL : 6.00.9586.0 1015859 19.06.2003 20:05:04 MSVCRT.DLL : 6.10.9844.0 286773 19.06.2003 20:05:04 CTL3DV2.DLL : 2.31.001 27632 14.07.1998 10:59:02 Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\antivirpersonaledition622\AVWIN.INI Name der Reportdatei: C:\Programme\antivirpersonaledition622\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\antivirpersonaledition622 Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [X] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\Programme\antivirpersonaledition622\BUILD.DAT [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [X] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: A: Diskettenlaufwerk C: Festplatte D: CDRom E: CDRom F: Diskettenlaufwerk G: Diskettenlaufwerk Start des Suchlaufs: dimanche 12 juin 2005 22:48 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Master-Bootsektor von Festplatte HD1 Der Sektor konnte nicht gelesen werden! Fehlercode: 0x0015 Master-Bootsektor von Festplatte HD2 OK Bootsektor von Laufwerk C: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Dr. HC Cäsar NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Dr. HC Cäsar\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LEY1CJTT WebCleaner[1].cab ArchiveType: CAB (Microsoft) --> WebCleaner.dll HINWEIS! Der Archivheader ist defekt --> WebCleaner.inf HINWEIS! Der Archivheader ist defekt KillBox[1].zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt C:\Dokumente und Einstellungen\Dr. HC Cäsar\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Dr. HC Cäsar\Anwendungsdaten\Mozilla\Profiles\michaelknecht-1\s9gc6yst.slt parent.lock Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINNT ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! SCARDSRV.TMP Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINNT\system32 imefoja.exe ArchiveType: RAR SFX (self extracting) --> aloticahu.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.1 --> ibugage.exe [FUND!] Enthält Signatur des Wurmes WORM/SdBot.YU izyyid.exe ArchiveType: RAR SFX (self extracting) --> avuwome.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.2 --> ixawefi.exe [FUND!] Enthält Signatur des Wurmes WORM/IRCBot.36069 timak.exe ArchiveType: RAR SFX (self extracting) --> obilade.exe [FUND!] Enthält Signatur des Wurmes WORM/SdBot.35129.1 --> fiyisuj.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.3 diau.exe ArchiveType: RAR SFX (self extracting) --> ohmariah.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.BQ C:\WINNT\system32\config software.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! default.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM.ALT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SOFTWARE Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! DEFAULT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINNT\system32\spool\drivers\w32x86 EB5ST000.DAT ArchiveType: CAB SFX (self extracting) --> \EBAPISET.dll HINWEIS! Der Archivheader ist defekt --> \EBAPISET.exe HINWEIS! Der Archivheader ist defekt --> \EBSETUP.dll HINWEIS! Der Archivheader ist defekt --> \SHARE2_t\EbpShre2.dll HINWEIS! Der Archivheader ist defekt --> \LPT_t\Ebplpt.dll HINWEIS! Der Archivheader ist defekt --> \LPT_s\ECBTEG.DLL HINWEIS! Der Archivheader ist defekt --> \LPTW2K_s\EBPMON2.DLL HINWEIS! Der Archivheader ist defekt --> \LPTW2K_s\ebpport.dat HINWEIS! Der Archivheader ist defekt --> \LPTNT_s\ebppmon.dll HINWEIS! Der Archivheader ist defekt --> \LPT95_s\EBPMON.DLL HINWEIS! Der Archivheader ist defekt --> \LPT95_s\ebpport.dat HINWEIS! Der Archivheader ist defekt --> \Etc\EBAPI.ini HINWEIS! Der Archivheader ist defekt --> \EBAPI16_s\Ebapi162.dll HINWEIS! Der Archivheader ist defekt --> \EBAPI16_s\EBAPI2HS.EXE HINWEIS! Der Archivheader ist defekt --> \BASE_t\STMSetup.exe HINWEIS! Der Archivheader ist defekt --> \BASE_t\STMSetup.ex0 HINWEIS! Der Archivheader ist defekt --> \BASE_s\ebapi2.dll HINWEIS! Der Archivheader ist defekt --> \AGENT2_t\SAgent2.exe HINWEIS! Der Archivheader ist defekt C:\WINNT\system32\spool\drivers\w32x86\3 EB5ST000.DAT ArchiveType: CAB SFX (self extracting) --> \EBAPISET.dll HINWEIS! Der Archivheader ist defekt --> \EBAPISET.exe HINWEIS! Der Archivheader ist defekt --> \EBSETUP.dll HINWEIS! Der Archivheader ist defekt --> \SHARE2_t\EbpShre2.dll HINWEIS! Der Archivheader ist defekt --> \LPT_t\Ebplpt.dll HINWEIS! Der Archivheader ist defekt --> \LPT_s\ECBTEG.DLL HINWEIS! Der Archivheader ist defekt --> \LPTW2K_s\EBPMON2.DLL HINWEIS! Der Archivheader ist defekt --> \LPTW2K_s\ebpport.dat HINWEIS! Der Archivheader ist defekt --> \LPTNT_s\ebppmon.dll HINWEIS! Der Archivheader ist defekt --> \LPT95_s\EBPMON.DLL HINWEIS! Der Archivheader ist defekt --> \LPT95_s\ebpport.dat HINWEIS! Der Archivheader ist defekt --> \Etc\EBAPI.ini HINWEIS! Der Archivheader ist defekt --> \EBAPI16_s\Ebapi162.dll HINWEIS! Der Archivheader ist defekt --> \EBAPI16_s\EBAPI2HS.EXE HINWEIS! Der Archivheader ist defekt --> \BASE_t\STMSetup.exe HINWEIS! Der Archivheader ist defekt --> \BASE_t\STMSetup.ex0 HINWEIS! Der Archivheader ist defekt --> \BASE_s\ebapi2.dll HINWEIS! Der Archivheader ist defekt --> \AGENT2_t\SAgent2.exe HINWEIS! Der Archivheader ist defekt C:\Programme\antivirpersonaledition622\INFECTED hmvsvc32.VIR [FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6 Nach Rückfrage nicht gelöscht! SCREENSAVER.EXE.VIR [FUND!] Ist das Trojanische Pferd TR/Dldr.Prevk Nach Rückfrage nicht gelöscht! HMVSVC32.EXE.VIR [FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6 WURDE GELÖSCHT! wnplayer.VIR [FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4 Nach Rückfrage nicht gelöscht! WNPLAYER.EXE.VIR [FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4 Nach Rückfrage nicht gelöscht! HMVSVC32.EXE.001 [FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6 Nach Rückfrage nicht gelöscht! C:\program files\Preview AdService PrevAdComm.dll [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.D.1 Nach Rückfrage nicht gelöscht! Ende des Suchlaufs: lundi 13 juin 2005 00:18 Benötigte Zeit: 89:57 min 3768 Verzeichnisse wurden durchsucht 92167 Dateien wurden geprüft 27 Warnungen wurden ausgegeben 1 Datei wurde gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 14 Viren bzw. unerwünschte Programme wurden gefunden Wie schon in meiner 2 mail erwähnt findet Antivir jetzt zusätzlich auch TR/Dldr.Small.D.1 Ich fürchte ich bin noch nicht befreit, oder ? Hoffe du kannst mir weiterhin helfen ! Viele Grüße ! Michael |
|
|
|
|
|
|
13.06.2005, 00:40
Ehrenmitglied
Beiträge: 29434 |
#5
Zitat [FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6WARUM LOESCHST DU NICHT ???????????????????? Zitat Zugriff verweigert! Fehler beim Öffnen der Datei. Zitat O23 - Service: Performance Logging Messaging Zitat O4 - HKLM\..\Run: [dqwdasdqw]C:\WINNT\SYSTEM32\csadqw.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.06.2005, 00:41
Ehrenmitglied
Beiträge: 29434 |
#6
es hat keinen Sinn, nur die Zeit, die wir aufwenden, um alles sauber zu bekommen...und selbst dann sind ports geoeffnet.... Formatiere ...
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.06.2005, 09:57
Member
Themenstarter Beiträge: 14 |
#7
ich hab schon mehrfach versucht die Dateien zu loeschen, die Antivir gefunden hat, aber sie kommen immer wieder, deshalb hab ich beim letzten Durchlauf nicht geloescht, wenn Antivir etwas gefunden hat, da das durchlaufende W32/Agobot-Remove tool dann "Fehler beim Zugriff auf .....exe" gemeldet hat. Dachte Antivir behindert so das Entfernen der Dateien durch W32/Agobot-Remove tool. Wie gesagt, wenn ich nur Antivir durchlaufen lasse findet es zwar alles (?) bietet auch das loeschen an oder Quarantaeneverzeichnis, aber beim naechsten mal findet es die gleichen infizierten Dateien wieder.
Werde noch eine paar Tage versuchen doch alles zu bereinigen ..... wenn Du "Formatieren" sagst, heisst das nur Windows neu installieren oder die ganze Festplatte loeschen und alle Programme neu installieren ? Vielen Dank fuer deine Muehe und die Tipps ! |
|
|
|
|
|
|
13.06.2005, 12:53
Ehrenmitglied
Beiträge: 29434 |
#8
Zitat wenn Du "Formatieren" sagst, heisst das nur Windows neu installieren oder die ganze Festplatte loeschen und alle Programme neu installieren ?ja, du musst formatieren,( Windows neu installieren...aber keine Reparatur oder so machen, sondern von Grund auf Windows neu installieren, falls du eine partition hast, wo Windows separat von allem anderen installiert ist, dann formatiere nur dies) es hat keinen Zweck, eine Reinigung zu versuchen. http://virus-protect.org/seite1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.06.2005, 14:04
Member
Themenstarter Beiträge: 14 |
#9
Schade, hatte nach dem anfaenglichen Frust gerade Kaempferwillen entwickelt und wollte dem "conard" der meinen Rechner kontrolliert den Garaus machen. Nur noch 2 Fragen die vielleicht fuer alle interessant sein koennen:
1. Warum hast Du entschieden, dass eine Saeuberung doch nicht in Frage kommt nach ersten Reparaturanweisungen? Weil tatsaechlich jemand meinen Rechner kontrolliert ? Prinzipiell besteht diese Gefahr doch bei jeder Wurm/Trojanerinfektion oder ? Wie kann man entscheiden, ob Reparatur Sinn macht? http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-removal.html empfiehlt ja grundsaetzliche Formatierung bei Befall ohne Reparaturversuche; 2. Und eine letzte Frage, die mich als Wenigchecker entlarvt: Formatieren bedeutet nicht nur die Neuinstallation von Windows sondern saemtlicher Software oder, da nach dem Formatieren nichts mehr auf dem Rechner ist? Viele Gruesse und vielen Dank |
|
|
|
|
|
|
13.06.2005, 21:22
Ehrenmitglied
Beiträge: 29434 |
#10
nun gut, saeubern wir den PC...hast du die Nerven dafuer?
•Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: WksPatch Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: znlto Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: hmlsvc32.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Start<Ausfuehren < schreib rein: cmd kopiere rein: sc stop znlto klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete znlto klicke "enter" kopiere rein: del C:\WINNT\SYSTEM32\hmlsvc32.exe Klicke "enter" -------------------------- kopiere rein: sc stop WksPatch klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete WksPatch klicke "enter" kopiere rein: del C:\WINNT\system32\drivers\svchost.exe Klicke "enter" -------------------------------------------------------------------- Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 60 Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit -------------------------------------------------------------------------------------------------------------------------------------------------- •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\Dokumente und Einstellungen\Dr. HC Cäsar\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZQ720VG2\diau[1].exe C:\WINNT\SYSTEM32\avuwome.exe C:\WINNT\system32\drivers\svchost.exe C:\WINNT\SYSTEM32\hmlsvc32.exe C:\WINNT\system32\imefoja.exe C:\WINNT\SYSTEM32\csadqw.exe C:\WINNT\SYSTEM32\tiwqacf.exe C:\WINNT\SYSTEM32\svchcst.exe C:\program files\Preview AdServicePrevAdComm.dll PC neustarten •HOSTFILE: #öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button lösche alles , lasse nur stehen: 127.0.0.1 localhost ----------------------------------------------- Zitat INFO: __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
14.06.2005, 16:18
Member
Themenstarter Beiträge: 14 |
#11
Super, werde mich heute abend gleich ans Werk machen !
Nur eines habe ich nicht verstanden: Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 60 Tage raus woher soll ich was rauskopieren und wie mache ich das ??? |
|
|
|
|
|
|
14.06.2005, 17:31
Ehrenmitglied
Beiträge: 29434 |
#12
Start--> Ausfuehren--> cmd-->DOS oeffnet sich
reinkopieren: (von hier aus) cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit dann oeffnet sich der Editor--> alles, was erscheint in den Thread kopieren...usw. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
14.06.2005, 22:17
Member
Themenstarter Beiträge: 14 |
#13
Puuuuuuuuuuuuuuuuuhh, langsam geht' s mit den Nerven dahin !!
Hab alles nach Anleitung versucht: Doppelklick:regsrch.vbs reinkopieren: WksPatch Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: znlto Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: hmlsvc32.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Nach wenigen Sekunden wird angezeigt alles ok Start<Ausfuehren < schreib rein: cmd kopiere rein: sc stop znlto klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete znlto klicke "enter" kopiere rein: del C:\WINNT\SYSTEM32\hmlsvc32.exe Klicke "enter" -------------------------- kopiere rein: sc stop WksPatch klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete WksPatch klicke "enter" kopiere rein: del C:\WINNT\system32\drivers\svchost.exe Klicke "enter" sagt: kennt Befehl sc nicht ! Findet hmlsvc32.exe nicht svchost.exe ist nicht in C:\WINNT\system32\drivers\svchost.exe sondern in C:\WINNT\system32\svchost.exe, der Zugriff darauf wird verweigert !! Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 60 Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit abgesicherter Modus: die Maus geht nicht, kann mit keiner Taste Start öffnen, geschweige denn irgendetwas reinkopieren. Habe dann den letzten abgesicherten Modus gewählt (mit Eingabeaufforderung) und es irgendwie geschafft CMD zu öffnen, habe dann alles per Tastatur eingetippt, Zugriff auf Systemdrive wird jedoch verweigert. rkfiles.bat: Nach Doppelklick öffnet sich ein Fenster für 0.001 Sekunde, kann nicht erkennen, was da drin steht ! killbox scheint zu funktionieren, hängt sich jedoch nach yes für reboot auf zeigt an kein resort und dann grauer Bildschirm. •HOSTFILE: #öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button lösche alles , lasse nur stehen: 127.0.0.1 localhost da steht nix drin ausser 127.0.0.1 localhost Ergebnis Antivir danach Erstellungsdatum der Reportdatei: mardi 14 juin 2005 20:44 AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1047 vom 07.06.2005 Hauptptogramm 6.31.00.03 vom 10.05.2005 VDF-Datei 6.31.0.25 (0) vom 09.06.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 178212 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-WURGE-0001 Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ Email ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.0 Build 2195 (Service Pack 4) Benutzername: Dr. HC Cäsar Computername: MEDICUS Prozessor: Pentium Arbeitsspeicher: 261624 KB frei Versionsinformationen: AVWIN.DLL : 6.31.00.03 528424 07.06.2005 11:34:24 AVEWIN32.DLL : 6.31.0.5 823808 08.06.2005 23:02:40 AVGNT.EXE : 6.31.00.01 168039 07.06.2005 11:34:22 AVGUARD.EXE : 6.31.00.01 238120 07.06.2005 11:34:22 GUARDMSG.DLL : 6.31.00.01 98344 07.06.2005 11:34:24 AVGCMSG.DLL : 6.31.00.00 295029 07.06.2005 11:34:22 AVGNTDW.SYS : 6.31.00.01 32896 07.06.2005 11:34:22 AVPACK32.DLL : 6.31.00.03 323664 07.06.2005 11:34:22 AVGETVER.DLL : 6.30.00.00 24576 16.03.2005 10:17:42 AVWIN.DLL : 6.31.00.03 528424 07.06.2005 11:34:24 AVSHLEXT.DLL : 6.30.00.01 40960 16.03.2005 10:17:42 AVSched32.EXE : 6.30.00.00 110632 16.03.2005 10:17:42 AVSched32.DLL : 6.30.00.00 122880 16.03.2005 10:17:42 AVREG.DLL : 6.30.00.03 41000 16.03.2005 10:17:42 AVRep.DLL : 6.31.00.08 1155112 08.06.2005 23:02:48 INETUPD.EXE : 6.31.00.02 249915 07.06.2005 11:34:24 INETUPD.DLL : 6.31.00.02 159744 07.06.2005 11:34:24 CTL3D32.DLL : 2.31.000 27136 10.12.1999 14:00:00 MFC42.DLL : 6.00.9586.0 1015859 19.06.2003 20:05:04 MSVCRT.DLL : 6.10.9844.0 286773 19.06.2003 20:05:04 CTL3DV2.DLL : 2.31.001 27632 14.07.1998 10:59:02 Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\antivirpersonaledition622\AVWIN.INI Name der Reportdatei: C:\Programme\antivirpersonaledition622\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\antivirpersonaledition622 Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [X] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\Programme\antivirpersonaledition622\BUILD.DAT [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [X] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: A: Diskettenlaufwerk C: Festplatte D: CDRom E: CDRom F: Diskettenlaufwerk Start des Suchlaufs: mardi 14 juin 2005 20:44 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Master-Bootsektor von Festplatte HD1 Der Sektor konnte nicht gelesen werden! Fehlercode: 0x0015 Bootsektor von Laufwerk C: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Dr. HC Cäsar NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Dr. HC Cäsar\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LEY1CJTT WebCleaner[1].cab ArchiveType: CAB (Microsoft) --> WebCleaner.dll HINWEIS! Der Archivheader ist defekt --> WebCleaner.inf HINWEIS! Der Archivheader ist defekt KillBox[1].zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt C:\Dokumente und Einstellungen\Dr. HC Cäsar\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Dr. HC Cäsar\Anwendungsdaten\Mozilla\Profiles\michaelknecht-1\s9gc6yst.slt parent.lock Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINNT ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! SCARDSRV.TMP Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINNT\system32 izyyid.exe ArchiveType: RAR SFX (self extracting) --> avuwome.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.2 --> ixawefi.exe [FUND!] Enthält Signatur des Wurmes WORM/IRCBot.36069 timak.exe ArchiveType: RAR SFX (self extracting) --> obilade.exe [FUND!] Enthält Signatur des Wurmes WORM/SdBot.35129.1 --> fiyisuj.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.3 diau.exe ArchiveType: RAR SFX (self extracting) --> ohmariah.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.BQ C:\WINNT\system32\config software.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! default.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM.ALT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SOFTWARE Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! DEFAULT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINNT\system32\spool\drivers\w32x86 EB5ST000.DAT ArchiveType: CAB SFX (self extracting) --> \EBAPISET.dll HINWEIS! Der Archivheader ist defekt --> \EBAPISET.exe HINWEIS! Der Archivheader ist defekt --> \EBSETUP.dll HINWEIS! Der Archivheader ist defekt --> \SHARE2_t\EbpShre2.dll HINWEIS! Der Archivheader ist defekt --> \LPT_t\Ebplpt.dll HINWEIS! Der Archivheader ist defekt --> \LPT_s\ECBTEG.DLL HINWEIS! Der Archivheader ist defekt --> \LPTW2K_s\EBPMON2.DLL HINWEIS! Der Archivheader ist defekt --> \LPTW2K_s\ebpport.dat HINWEIS! Der Archivheader ist defekt --> \LPTNT_s\ebppmon.dll HINWEIS! Der Archivheader ist defekt --> \LPT95_s\EBPMON.DLL HINWEIS! Der Archivheader ist defekt --> \LPT95_s\ebpport.dat HINWEIS! Der Archivheader ist defekt --> \Etc\EBAPI.ini HINWEIS! Der Archivheader ist defekt --> \EBAPI16_s\Ebapi162.dll HINWEIS! Der Archivheader ist defekt --> \EBAPI16_s\EBAPI2HS.EXE HINWEIS! Der Archivheader ist defekt --> \BASE_t\STMSetup.exe HINWEIS! Der Archivheader ist defekt --> \BASE_t\STMSetup.ex0 HINWEIS! Der Archivheader ist defekt --> \BASE_s\ebapi2.dll HINWEIS! Der Archivheader ist defekt --> \AGENT2_t\SAgent2.exe HINWEIS! Der Archivheader ist defekt C:\WINNT\system32\spool\drivers\w32x86\3 EB5ST000.DAT ArchiveType: CAB SFX (self extracting) --> \EBAPISET.dll HINWEIS! Der Archivheader ist defekt --> \EBAPISET.exe HINWEIS! Der Archivheader ist defekt --> \EBSETUP.dll HINWEIS! Der Archivheader ist defekt --> \SHARE2_t\EbpShre2.dll HINWEIS! Der Archivheader ist defekt --> \LPT_t\Ebplpt.dll HINWEIS! Der Archivheader ist defekt --> \LPT_s\ECBTEG.DLL HINWEIS! Der Archivheader ist defekt --> \LPTW2K_s\EBPMON2.DLL HINWEIS! Der Archivheader ist defekt --> \LPTW2K_s\ebpport.dat HINWEIS! Der Archivheader ist defekt --> \LPTNT_s\ebppmon.dll HINWEIS! Der Archivheader ist defekt --> \LPT95_s\EBPMON.DLL HINWEIS! Der Archivheader ist defekt --> \LPT95_s\ebpport.dat HINWEIS! Der Archivheader ist defekt --> \Etc\EBAPI.ini HINWEIS! Der Archivheader ist defekt --> \EBAPI16_s\Ebapi162.dll HINWEIS! Der Archivheader ist defekt --> \EBAPI16_s\EBAPI2HS.EXE HINWEIS! Der Archivheader ist defekt --> \BASE_t\STMSetup.exe HINWEIS! Der Archivheader ist defekt --> \BASE_t\STMSetup.ex0 HINWEIS! Der Archivheader ist defekt --> \BASE_s\ebapi2.dll HINWEIS! Der Archivheader ist defekt --> \AGENT2_t\SAgent2.exe HINWEIS! Der Archivheader ist defekt C:\Programme\antivirpersonaledition622\INFECTED hmvsvc32.VIR [FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6 WURDE GELÖSCHT! SCREENSAVER.EXE.VIR [FUND!] Ist das Trojanische Pferd TR/Dldr.Prevk WURDE GELÖSCHT! wnplayer.VIR [FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4 WURDE GELÖSCHT! WNPLAYER.EXE.VIR [FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4 WURDE GELÖSCHT! HMVSVC32.EXE.001 [FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6 WURDE GELÖSCHT! wnplayer.VIR00 [FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4 WURDE GELÖSCHT! wnplayer.VIR01 [FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4 WURDE GELÖSCHT! wnplayer.VIR02 [FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4 WURDE GELÖSCHT! wnplayer.VIR03 [FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4 WURDE GELÖSCHT! C:\program files\Preview AdService PrevAdComm.dll [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.D.1 WURDE GELÖSCHT! Ende des Suchlaufs: mardi 14 juin 2005 21:47 Benötigte Zeit: 62:43 min 3777 Verzeichnisse wurden durchsucht 92230 Dateien wurden geprüft 21 Warnungen wurden ausgegeben 10 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 15 Viren bzw. unerwünschte Programme wurden gefunden Ergebnis Hijackthis danach: Logfile of HijackThis v1.99.1 Scan saved at 20:43:31, on 14/06/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\antivirpersonaledition622\AVGUARD.EXE C:\Programme\antivirpersonaledition622\AVWUPSRV.EXE C:\WINNT\SYSTEM32\DWRCS.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\Programme\Norton Speed Disk\nopdb.exe C:\WINNT\system32\stisvc.exe C:\WINNT\SCARDS32.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SYSTEM32\DWRCST.exe C:\WINNT\system32\devldr32.exe C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE C:\Programme\antivirpersonaledition622\AVGNT.EXE C:\WINNT\system32\svchcst.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\WINNT\system32\svchcst.exe C:\WINNT\System32\svchost.exe C:\Dokumente und Einstellungen\Dr. HC Cäsar\Desktop\Antivirus0605\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von planet-interkom O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [D066UUtility] C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\antivirpersonaledition622\AVGNT.EXE /min O4 - HKLM\..\Run: [dqwdasdqw] C:\WINNT\SYSTEM32\csadqw.exe O4 - HKLM\..\Run: [sdux] tiwqacf.exe O4 - HKLM\..\Run: [SoundCard] svchcst.exe O4 - HKLM\..\RunServices: [sdux] tiwqacf.exe O4 - HKLM\..\RunServices: [SoundCard] svchcst.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [sdux] tiwqacf.exe O4 - HKCU\..\Run: [SoundCard] svchcst.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O8 - Extra context menu item: GoHip! - http://www.gohip.com/browser/home.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .swf: C:\Programme\Netscape\Communicator\Program\PLUGINS\npswf32.dll O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games3.cab O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://www.e-fiat.com/Components/Ocx/Exterior/Outside.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C13B3D38-8E4A-4E9E-A4A3-3EB97749A332}: NameServer = 192.168.0.11,192.168.0.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{D55BCE18-0B6E-4CC3-8500-85AA3FF56A98}: NameServer = 192.168.120.252,192.168.120.253 O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\antivirpersonaledition622\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\antivirpersonaledition622\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Norton Speed Disk\nopdb.exe O23 - Service: CHIPDRIVESCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE O23 - Service: Performance Logging Messaging (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing) O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe Ok, ich glaube ich bin ein hoffnungsloser Fall ! Nur noch ein paar letzte Fragen: Verhindert der TR oder Worm, dass ich nach deiner Anleitung saeubern kann indem Zugriffe verweigert werden oder check ich es nicht ? Hat sich mein System seit meiem ersten hijackthis vor 5 Tagen weiter infiziert ? Gibts noch ein paar letzte aufmunternde Tipps ? Viele Grüße und herzlichen Dank! |
|
|
|
|
|
|
14.06.2005, 23:01
Ehrenmitglied
Beiträge: 29434 |
#14
das Problem. du bist wahrscheinlich kein Administrator mehr, oder der Backdoorbesitzer hat auch Admin-Rechte und kann so auf deinem PC schalten und walten, wie er will.
Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt Fixen (mit dem HijackTHis)...dann neustarten O4 - HKLM\..\Run: [dqwdasdqw] C:\WINNT\SYSTEM32\csadqw.exe O4 - HKLM\..\Run: [sdux] tiwqacf.exe O4 - HKLM\..\Run: [SoundCard] svchcst.exe O4 - HKLM\..\RunServices: [sdux] tiwqacf.exe O4 - HKLM\..\RunServices: [SoundCard] svchcst.exe O4 - HKCU\..\Run: [sdux] tiwqacf.exe O4 - HKCU\..\Run: [SoundCard] svchcst.exe O8 - Extra context menu item: GoHip! - http://www.gohip.com/browser/home.html O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games3.cab O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://www.e-fiat.com/Components/Ocx/Exterior/Outside.cab C:\WINNT\SYSTEM32\csadqw.exe tiwqacf.exe C:\WINNT\system32\svchcst.exe Onlinescans http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.06.2005, 14:56
Member
Themenstarter Beiträge: 14 |
#15
Stimmt beides fuerchte ich:
1. Bin wahrscheinlich kein Administrator mehr, das wurde mir beim Laden von zahlreichen Programmen bereits angezeigt, obwohl ich mich als Administrator eingeloggt hatte 2. Der Backdoorbesitzer hat vermutlich auch Administratorrechte, bin fahrlaessigerweise als Admin im Internet gewesen...... Problem ist, dass ich nach dem Starten im abgesicherten Modus fast nichts mehr machen kann: Maus geht nicht mehr und ich komme auch nicht in die Startleiste zudem dauert es ueber 10 min bis der abgesicherte Modus startet. rkfiles.bat: Nach Oeffnen öffnet sich ein Fenster für 0.01 Sekunde, kann nicht erkennen, was da drin steht, geschweige den etwas posten ! Besteht noch Hoffnung ? |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Habe bereits 2 mal Antivir sowie ewido und stinger scannen lassen und zahreiche Würmer enteckt und gelöscht. Die beiden oben genannten Trojaner und der Wurm werden jedoch von Antivir bei jedem Neustart entdeckt, der Rechner startet zahreiche exeprogramme und läuft ständig auf 100 % Auslastung und wird immer langsamer.
Hijackthis ergibt jetzt folgendes:
ogfile of HijackThis v1.99.1
Scan saved at 13:39:22, on 11/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\antivirpersonaledition622\AVGUARD.EXE
C:\Programme\antivirpersonaledition622\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Norton Speed Disk\nopdb.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\SCARDS32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\antivirpersonaledition622\AVGNT.EXE
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Dokumente und Einstellungen\Dr. HC Cäsar\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von planet-interkom
R3 - URLSearchHook: ProtoHandler Class - {724F6607-4698-48F8-903F-120EA084E3F9} - C:\Programme\BrowserEnh_müll\ie.dll (file missing)
O2 - BHO: Network Essentials - {0421701D-CF13-4E70-ADF0-45A953E7CB8B} - C:\Programme\Network Essentials\v16\NE.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [D066UUtility] C:\WINNT\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [atapidrv] atapidrv.exe
O4 - HKLM\..\Run: [zyrqp] C:\WINNT\zyrqp.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\antivirpersonaledition622\AVGNT.EXE /min
O4 - HKLM\..\Run: [Sfwafasdw] C:\WINNT\SYSTEM32\avuwome.exe
O4 - HKLM\..\RunServices: [atapidrv] atapidrv.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: GoHip! - http://www.gohip.com/browser/home.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .swf: C:\Programme\Netscape\Communicator\Program\PLUGINS\npswf32.dll
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games3.cab
O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://www.e-fiat.com/Components/Ocx/Exterior/Outside.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C13B3D38-8E4A-4E9E-A4A3-3EB97749A332}: NameServer = 192.168.0.11,192.168.0.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{D55BCE18-0B6E-4CC3-8500-85AA3FF56A98}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\antivirpersonaledition622\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\antivirpersonaledition622\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Norton Speed Disk\nopdb.exe
O23 - Service: CHIPDRIVESCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE
O23 - Service: Performance Logging Messaging (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing)
O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe
O23 - Service: znlto - Unknown owner - \\82.240.213.110\C\hmlsvc32.exe" -service (file missing)
Ergebnisse von Antivir:
stellungsdatum der Reportdatei: vendredi 10 juin 2005 00:21
AntiVir®/XP (2000 + NT) PersonalEdition Classic
Build 1047 vom 07.06.2005
Hauptptogramm 6.31.00.03 vom 10.05.2005
VDF-Datei 6.31.0.25 (0) vom 09.06.2005
Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.
Es wird nach 178212 Viren bzw. unerwünschten Programmen gesucht.
Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-WURGE-0001
Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:
Name ___________________________________________
Straße ___________________________________________
PLZ/Ort ___________________________________________
Telefon/Fax ___________________________________________
Email ___________________________________________
Plattform: Windows NT Workstation
Windows-Version: 5.0 Build 2195 (Service Pack 4)
Benutzername: Dr. HC Cäsar
Computername: MEDICUS
Prozessor: Pentium
Arbeitsspeicher: 261624 KB frei
Versionsinformationen:
AVWIN.DLL : 6.31.00.03 528424 07.06.2005 11:34:24
AVEWIN32.DLL : 6.31.0.5 823808 08.06.2005 23:02:40
AVGNT.EXE : 6.31.00.01 168039 07.06.2005 11:34:22
AVGUARD.EXE : 6.31.00.01 238120 07.06.2005 11:34:22
GUARDMSG.DLL : 6.31.00.01 98344 07.06.2005 11:34:24
AVGCMSG.DLL : 6.31.00.00 295029 07.06.2005 11:34:22
AVGNTDW.SYS : 6.31.00.01 32896 07.06.2005 11:34:22
AVPACK32.DLL : 6.31.00.03 323664 07.06.2005 11:34:22
AVGETVER.DLL : 6.30.00.00 24576 16.03.2005 10:17:42
AVWIN.DLL : 6.31.00.03 528424 07.06.2005 11:34:24
AVSHLEXT.DLL : 6.30.00.01 40960 16.03.2005 10:17:42
AVSched32.EXE : 6.30.00.00 110632 16.03.2005 10:17:42
AVSched32.DLL : 6.30.00.00 122880 16.03.2005 10:17:42
AVREG.DLL : 6.30.00.03 41000 16.03.2005 10:17:42
AVRep.DLL : 6.31.00.08 1155112 08.06.2005 23:02:48
INETUPD.EXE : 6.31.00.02 249915 07.06.2005 11:34:24
INETUPD.DLL : 6.31.00.02 159744 07.06.2005 11:34:24
CTL3D32.DLL : 2.31.000 27136 10.12.1999 14:00:00
MFC42.DLL : 6.00.9586.0 1015859 19.06.2003 20:05:04
MSVCRT.DLL : 6.10.9844.0 286773 19.06.2003 20:05:04
CTL3DV2.DLL : 2.31.001 27632 14.07.1998 10:59:02
Konfigurationsdaten:
Name der Konfigurationsdatei: C:\Programme\antivirpersonaledition622\AVWIN.INI
Name der Reportdatei: C:\Programme\antivirpersonaledition622\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\antivirpersonaledition622
Kommandozeile:
Startmodus: unbekannt
Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen
Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information
Reportdatei kürzen:
[ ] Reportdatei kürzen
Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt
Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100
Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[X] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien
Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung
Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren
Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren
Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen
Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen
Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen
Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\Programme\antivirpersonaledition622\BUILD.DAT
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden
Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel
Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: CDRom
E: CDRom
F: Diskettenlaufwerk
Start des Suchlaufs: vendredi 10 juin 2005 00:21
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0015
Bootsektor von Laufwerk C: OK
C:\
screensaver.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Prevk
WURDE GELÖSCHT!
ntvdmn.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.39540
WURDE GELÖSCHT!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Dr. HC Cäsar
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
payloing.dat
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
ntvdmn.dat
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.39540
WURDE GELÖSCHT!
hmvsvc.dat
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Dr. HC Cäsar\Lokale Einstellungen\Temp
Moorhuhn.exe
[FUND!] Enthält Signatur des Spielprogrammes GAME/Moorhuhn
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Dr. HC Cäsar\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZQ720VG2
diau[1].exe
ArchiveType: RAR SFX (self extracting)
--> ohmariah.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.BQ
C:\Dokumente und Einstellungen\Dr. HC Cäsar\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Dr. HC Cäsar\Desktop\Quarantäne
ifaifa.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.YU
WURDE GELÖSCHT!
hmvsvc32.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
wnplayer.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Dr. HC Cäsar\Desktop\quarantäne2
wnplayer.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Dr. HC Cäsar\Anwendungsdaten\Mozilla\Profiles\michaelknecht-1\s9gc6yst.slt
parent.lock
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINNT
?
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
?
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
?
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
SCARDSRV.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
?
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
microsoft.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.37525
WURDE GELÖSCHT!
bcvsrv32.exe
[FUND!] Enthält Signatur des Wurmes WORM/Agobot.144384
WURDE GELÖSCHT!
installer_MARKETING12.exe
[FUND!] Ist das Trojanische Pferd TR/Adload.A
WURDE GELÖSCHT!
optimize19.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.ds
WURDE GELÖSCHT!
C:\WINNT\system32
imefoja.exe
ArchiveType: RAR SFX (self extracting)
--> aloticahu.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.1
--> ibugage.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.YU
ibugage.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.YU
WURDE GELÖSCHT!
msgfix.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.47616.28
WURDE GELÖSCHT!
izyyid.exe
ArchiveType: RAR SFX (self extracting)
--> avuwome.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.2
--> ixawefi.exe
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.36069
hmvsvc.dat
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
payloing.dat
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
timak.exe
ArchiveType: RAR SFX (self extracting)
--> obilade.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.35129.1
--> fiyisuj.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.3
ixawefi.exe
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.36069
WURDE GELÖSCHT!
isanomud.exe
[FUND!] Enthält Signatur des Droppers DR/SdBot.104837
WURDE GELÖSCHT!
pictures.exe
[FUND!] Enthält Signatur des Droppers DR/Proxy.Ranky.BO
WURDE GELÖSCHT!
ilohi.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.105683
WURDE GELÖSCHT!
xiyid.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.35117
WURDE GELÖSCHT!
aloticahu.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.1
WURDE GELÖSCHT!
ifanekik.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.BN
WURDE GELÖSCHT!
xifecinoy.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.35117.1
WURDE GELÖSCHT!
ntvdmn.dat
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.39540
WURDE GELÖSCHT!
stubbb.exe
[FUND!] Enthält Signatur des Droppers DR/IRCBot.AY
WURDE GELÖSCHT!
dancee.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.36053
WURDE GELÖSCHT!
oohou.exe
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.36053
WURDE GELÖSCHT!
msword.exe
[FUND!] Enthält Signatur des Wurmes WORM/RBot.111616.4
WURDE GELÖSCHT!
inconn.exe
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.36069
WURDE GELÖSCHT!
helloyou.exe
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.36069
WURDE GELÖSCHT!
massari.exe
[FUND!] Enthält Signatur des Droppers DR/Proxy.Ranky.108839
WURDE GELÖSCHT!
diau.exe
ArchiveType: RAR SFX (self extracting)
--> ohmariah.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.BQ
ludacris.exe
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.34161
WURDE GELÖSCHT!
ohmariah.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.BQ
WURDE GELÖSCHT!
standup.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.BQ
WURDE GELÖSCHT!
C:\WINNT\system32\config
software.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
default.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM.ALT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINNT\system32\drivers\etc
hosts
[FUND!] Ist das Trojanische Pferd TR/Qhost.AA
WURDE GELÖSCHT!
C:\WINNT\system32\spool\drivers\w32x86
EB5ST000.DAT
ArchiveType: CAB SFX (self extracting)
--> \EBAPISET.dll
HINWEIS! Der Archivheader ist defekt
--> \EBAPISET.exe
HINWEIS! Der Archivheader ist defekt
--> \EBSETUP.dll
HINWEIS! Der Archivheader ist defekt
--> \SHARE2_t\EbpShre2.dll
HINWEIS! Der Archivheader ist defekt
--> \LPT_t\Ebplpt.dll
HINWEIS! Der Archivheader ist defekt
--> \LPT_s\ECBTEG.DLL
HINWEIS! Der Archivheader ist defekt
--> \LPTW2K_s\EBPMON2.DLL
HINWEIS! Der Archivheader ist defekt
--> \LPTW2K_s\ebpport.dat
HINWEIS! Der Archivheader ist defekt
--> \LPTNT_s\ebppmon.dll
HINWEIS! Der Archivheader ist defekt
--> \LPT95_s\EBPMON.DLL
HINWEIS! Der Archivheader ist defekt
--> \LPT95_s\ebpport.dat
HINWEIS! Der Archivheader ist defekt
--> \Etc\EBAPI.ini
HINWEIS! Der Archivheader ist defekt
--> \EBAPI16_s\Ebapi162.dll
HINWEIS! Der Archivheader ist defekt
--> \EBAPI16_s\EBAPI2HS.EXE
HINWEIS! Der Archivheader ist defekt
--> \BASE_t\STMSetup.exe
HINWEIS! Der Archivheader ist defekt
--> \BASE_t\STMSetup.ex0
HINWEIS! Der Archivheader ist defekt
--> \BASE_s\ebapi2.dll
HINWEIS! Der Archivheader ist defekt
--> \AGENT2_t\SAgent2.exe
HINWEIS! Der Archivheader ist defekt
C:\WINNT\system32\spool\drivers\w32x86\3
EB5ST000.DAT
ArchiveType: CAB SFX (self extracting)
--> \EBAPISET.dll
HINWEIS! Der Archivheader ist defekt
--> \EBAPISET.exe
HINWEIS! Der Archivheader ist defekt
--> \EBSETUP.dll
HINWEIS! Der Archivheader ist defekt
--> \SHARE2_t\EbpShre2.dll
HINWEIS! Der Archivheader ist defekt
--> \LPT_t\Ebplpt.dll
HINWEIS! Der Archivheader ist defekt
--> \LPT_s\ECBTEG.DLL
HINWEIS! Der Archivheader ist defekt
--> \LPTW2K_s\EBPMON2.DLL
HINWEIS! Der Archivheader ist defekt
--> \LPTW2K_s\ebpport.dat
HINWEIS! Der Archivheader ist defekt
--> \LPTNT_s\ebppmon.dll
HINWEIS! Der Archivheader ist defekt
--> \LPT95_s\EBPMON.DLL
HINWEIS! Der Archivheader ist defekt
--> \LPT95_s\ebpport.dat
HINWEIS! Der Archivheader ist defekt
--> \Etc\EBAPI.ini
HINWEIS! Der Archivheader ist defekt
--> \EBAPI16_s\Ebapi162.dll
HINWEIS! Der Archivheader ist defekt
--> \EBAPI16_s\EBAPI2HS.EXE
HINWEIS! Der Archivheader ist defekt
--> \BASE_t\STMSetup.exe
HINWEIS! Der Archivheader ist defekt
--> \BASE_t\STMSetup.ex0
HINWEIS! Der Archivheader ist defekt
--> \BASE_s\ebapi2.dll
HINWEIS! Der Archivheader ist defekt
--> \AGENT2_t\SAgent2.exe
HINWEIS! Der Archivheader ist defekt
C:\Programme\antivirpersonaledition622\INFECTED
011944.EXE.VIR
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/000079 (Dialer)
WURDE GELÖSCHT!
MICROSOFT.EXE.VIR
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.37525
WURDE GELÖSCHT!
hmlsvc32.VIR
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.118784
WURDE GELÖSCHT!
yujixit.VIR
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.36069
WURDE GELÖSCHT!
wnplayer.VIR
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
yujixit.VIR00
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.36069
WURDE GELÖSCHT!
wnplayer.VIR00
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
yujixit.VIR01
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.36069
WURDE GELÖSCHT!
ifaifa.VIR
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.YU
WURDE GELÖSCHT!
avuwome.VIR
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.2
WURDE GELÖSCHT!
wnplayer.VIR01
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
ordont.VIR
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.BQ
WURDE GELÖSCHT!
hezid.VIR
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.Z.4
WURDE GELÖSCHT!
incoming.VIR
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.owl
WURDE GELÖSCHT!
ifaifa.VIR00
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.YU
WURDE GELÖSCHT!
ifaifa.VIR01
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.YU
WURDE GELÖSCHT!
ifaifa.VIR02
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.YU
WURDE GELÖSCHT!
wnplayer.VIR02
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
ifaifa.VIR03
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.YU
WURDE GELÖSCHT!
optimize.VIR
[FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.ds
WURDE GELÖSCHT!
hmvsvc32.VIR
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
hmvsvc32.VIR00
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
hmvsvc32.VIR01
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
hmvsvc32.VIR02
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
hmvsvc32.VIR03
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
hmvsvc32.VIR04
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
hmvsvc32.VIR05
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
hmvsvc32.VIR06
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
hmvsvc32.VIR07
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
hmvsvc32.VIR08
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
pantera.VIR
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.34161
WURDE GELÖSCHT!
wnplayer.VIR03
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
pantera.VIR00
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.34161
WURDE GELÖSCHT!
wnplayer.VIR04
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
pantera.VIR01
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.34161
WURDE GELÖSCHT!
wnplayer.VIR05
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
wnplayer.VIR06
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
pantera.VIR02
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.34161
WURDE GELÖSCHT!
hmvsvc32.VIR09
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
wnplayer.VIR07
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
pantera.VIR03
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.34161
WURDE GELÖSCHT!
hmvsvc32.VIR10
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
wnplayer.VIR08
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
pantera.VIR04
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.34161
WURDE GELÖSCHT!
hmvsvc32.VIR11
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
wnplayer.VIR09
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.45594.4
WURDE GELÖSCHT!
hmvsvc32.VIR12
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.MG.6
WURDE GELÖSCHT!
Sys33.VIR
[FUND!] Enthält Signatur des Wurmes WORM/Agobot.105941
WURDE GELÖSCHT!
ciara.VIR
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.DA
WURDE GELÖSCHT!
pantera.VIR05
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.34161
WURDE GELÖSCHT!
Sys33.VIR00
[FUND!] Enthält Signatur des Wurmes WORM/Agobot.105941
WURDE GELÖSCHT!
pantera.VIR06
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.34161
WURDE GELÖSCHT!
pantera.VIR07
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.34161
WURDE GELÖSCHT!
pantera.VIR08
[FUND!] Enthält Signatur des Wurmes WORM/IRCBot.34161
WURDE GELÖSCHT!
HOSTS.VIR
[FUND!] Ist das Trojanische Pferd TR/Qhost.AA
WURDE GELÖSCHT!
ntvdmn.VIR
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.39540
WURDE GELÖSCHT!
rundl32.VIR
[FUND!] Enthält Signatur des Wurmes WORM/Agobot.97280.1
WURDE GELÖSCHT!
rundl32.VIR00
[FUND!] Enthält Signatur des Wurmes WORM/Agobot.97280.1
WURDE GELÖSCHT!
ntvdmn.VIR00
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.39540
WURDE GELÖSCHT!
ntvdmn.VIR01
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.39540
WURDE GELÖSCHT!
ntvdmn.VIR02
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.39540
WURDE GELÖSCHT!
ntvdmn.VIR03
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.39540
WURDE GELÖSCHT!
ntvdmn.VIR04
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.39540
WURDE GELÖSCHT!
ntvdmn.VIR05
[FUND!] Enthält Signatur des Wurmes WORM/SdBot.39540
WURDE GELÖSCHT!
C:\Attachments
Freibier.exe
[FUND!] Enthält Signatur des Scherzprogrammes JOKE/Freibier
WURDE GELÖSCHT!
PJKnach3Glühwein.exe
[FUND!] Enthält Signatur des Scherzprogrammes JOKE/Slippery.A
WURDE GELÖSCHT!
C:\program files\180search Assistant
msbb.exe
[FUND!] Enthält Code des PMS/180Solutions.A.1-Virus
WURDE GELÖSCHT!
Ende des Suchlaufs: vendredi 10 juin 2005 01:27
Benötigte Zeit: 66:14 min
3508 Verzeichnisse wurden durchsucht
89837 Dateien wurden geprüft
21 Warnungen wurden ausgegeben
105 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
113 Viren bzw. unerwünschte Programme wurden gefunden
Ich kämpfe nun schon seit 2 Wochen mit dem Rechner,komme jedoch einfach nicht weiter und hoffe, daß mir jemand helfen kann ! Ich werde doch hoffentlich nicht alles neu installieren müssen ????
Herzliche Grüße und vielen Dank an alle, die sich schon mal bis hier durchgelesen haben ! Michael
[/b]