Wie kann ich Alcra.B beseitigen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.09.2005, 16:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 Hallo@atilla001

Zitat

alle 4 Logs hier reinkopieren--> mit der Pfadangabe oben
http://virus-protect.org/datfindbat.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2005, 13:39
...neu hier

Beiträge: 1
#32 LEUTE ICH WEIß WIE IHR Alcra.B GANZ EASY VERNICHTET:

-ÖFFNET LAUFWERK C
-ÖFFNET PROGRAMME
-GEHT OBEN IN DER LEISTE AUF EXTRAS
-DANN AUF ORDNEROPTIONEN
-GEHT AUF ANSICHT
-ENTFERNT DAS 7. HÄCKCHEN VON OBEN (GESCHÜTZTE SYSTEMDATEIEN AUSBLENDEN)
-SETZT WEITER UNTEN EIN HÄCKCHEN BEI ALLE DATEIEN UND ORDNER ANZEIGEN
-ÜBERNEHMEN UND OK
-JETZT IST EIN ORDNER NAMENS WinUpdates IM ORDNER Programme ERSCHIENEN
-ÖFFNEN
-DIE INLIEGENDE ZIP DATEI LÖSCHEN
-BEI ORDNER OPTIONEN WIEDER (GESCHÜTZTE SYSTEMDATEIEN AUSBLENDEN) EINSCHALTEN
-PAPIERKORB LEEREN
-WEG ISSER DER Schei... WURM :-)

Amor-Z
Seitenanfang Seitenende
14.09.2005, 22:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33

Zitat

LEUTE ICH WEIß WIE IHR Alcra.B GANZ EASY VERNICHTET:
dann fehlen nur noch die com-Dateien, die zum Virus gehoeren.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2005, 12:18
...neu hier

Beiträge: 2
#34

Zitat

Sabina postete

Zitat

LEUTE ICH WEIß WIE IHR Alcra.B GANZ EASY VERNICHTET:
dann fehlen nur noch die com-Dateien, die zum Virus gehoeren.....
Hallo, heisst das, dass man Amor-Z's Vorschlag annehmen kann und noch etwas anderes machen soll, oder geht das so nicht? Ich hab leider keine Ahnung vom Entfernen von Würmern ;)

Hier ist mein Logfile von HijackThis, mein AntiVir hat heute den Wurm Alcra.B entdeckt. Was muss ich machen, um ihn wieder wegzubekommen?



Logfile of HijackThis v1.99.1
Scan saved at 11:51:24, on 15.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Iris\Desktop\hijack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
Seitenanfang Seitenende
15.09.2005, 13:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 Hallo@Sanjara

Amor-Z's Vorschlag war gut gemeint, aber leider nicht korrekt, weil die Haelfte fehlt.

1.
CCleaner--> loesche alle *temp-Datein (alles anhaken)
http://virus-protect.org/temp.html

2.
poste mir hier (laut Anleitung) alle 4 Logs mit der Pfadangabe .
http://virus-protect.org/datfindbat.html
3.
scanne mit ewido und poste mir den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.09.2005, 00:25
...neu hier

Beiträge: 2
#36 Hallo Sabina,

ich habe das gleiche Problem. ;)
Bin deinen Anweisungen gefolgt. Bei dem ewido-Scan gab es sehr viele Meldungen :o und an den Scanbericht bin ich dann irgendwie nicht mehr rangekommen. Jetzt gibt es dort gar keine Meldungen mehr. Ich hoffe, man kann mit den Daten trotzdem was anfangen.
Vielen Dank schon mal im voraus!

-----------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C37-EF25

Verzeichnis von C:\WINDOWS\system32

15.09.2005 21:11 31.770 vsconfig.xml
15.09.2005 19:42 2 cmd.com
15.09.2005 19:42 2 regedit.com
15.09.2005 19:42 2 taskkill.com
15.09.2005 19:42 2 tasklist.com
15.09.2005 19:42 2 tracert.com
15.09.2005 19:42 2 ping.com
15.09.2005 19:42 2 netstat.com
15.09.2005 19:39 4.212 zllictbl.dat
09.09.2005 05:08 2.006.368 MRT.exe
29.08.2005 19:09 71.424 zlcommdb.dll
29.08.2005 19:09 79.616 zlcomm.dll
29.08.2005 19:09 100.096 vsxml.dll
29.08.2005 19:09 382.720 vsutil.dll
29.08.2005 19:09 71.424 vsregexp.dll
29.08.2005 19:08 227.072 vspubapi.dll
29.08.2005 19:08 104.192 vsmonapi.dll
29.08.2005 19:08 141.056 vsinit.dll
29.08.2005 19:08 368.256 vsdatant.sys
29.08.2005 19:08 83.712 vsdata.dll
18.08.2005 16:02 1.158 wpa.dbl

-----------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C37-EF25

Verzeichnis von C:\DOKUME~1\Felix\LOKALE~1\Temp

15.09.2005 21:11 16.384 ~DF746.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 11.295.277.056 Bytes frei

------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C37-EF25

Verzeichnis von C:\WINDOWS

15.09.2005 21:11 1.665.298 WindowsUpdate.log
15.09.2005 21:11 2.048 bootstat.dat
15.09.2005 21:10 32.626 SchedLgU.Txt
15.09.2005 01:50 14.726 ModemLog_TOSHIBA Software Modem AMR.txt
11.09.2005 21:23 1.409 QTFont.for
11.09.2005 21:23 54.156 QTFont.qfn
07.09.2005 21:54 73.728 UD.SCR
27.08.2005 01:02 49 NeroDigital.ini
11.08.2005 12:57 4 pcup23467.dat

--------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C37-EF25

Verzeichnis von C:\

16.09.2005 00:25 0 sys.txt
16.09.2005 00:24 5.112 system.txt
16.09.2005 00:24 291 systemtemp.txt
16.09.2005 00:23 101.836 system32.txt
15.09.2005 21:11 780.140.544 pagefile.sys
10.04.2005 18:38 190 drwtsn32.log

-----------------------------------------

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\United Devices\UD.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\United Devices\ud_7657531.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\United Devices\ud_7657531_0.dir\WCGrid_Rosetta.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\SecuritySuite.exe
C:\DOKUME~1\Felix\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.meome.de/tarife/mega24/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: UD Agent.lnk = C:\Programme\United Devices\UD.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E133581F-24CA-4027-ABBC-8F2263B8F5D4}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
16.09.2005, 01:06
...neu hier

Beiträge: 2
#37 ok..

1. ..done

2. ..hier sind die vier Logfiles:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3825-E132

Verzeichnis von C:\WINDOWS\system32

12.09.2005 10:47 13.646 wpa.dbl
09.09.2005 05:08 2.006.368 MRT.exe
05.09.2005 07:55 263.824 FNTCACHE.DAT
04.08.2005 15:31 12.389.135 crashlog.tar.gz
20.07.2005 04:04 3.012.096 mshtml.dll
18.07.2005 17:20 176.167 rmoc3260.dll
18.07.2005 17:20 5.632 pndx5032.dll
18.07.2005 17:20 6.656 pndx5016.dll
18.07.2005 17:20 278.528 pncrt.dll
11.07.2005 14:29 600.576 BlackmagicCodec.qtx
08.07.2005 18:28 76.800 remotesp.tsp
08.07.2005 18:28 249.344 tapisrv.dll
03.07.2005 04:15 474.112 shlwapi.dll
03.07.2005 04:15 605.696 urlmon.dll
03.07.2005 04:15 664.064 wininet.dll
03.07.2005 04:15 1.484.288 shdocvw.dll
03.07.2005 04:15 146.432 msrating.dll
03.07.2005 04:15 39.424 pngfilt.dll
03.07.2005 04:15 448.512 mshtmled.dll
03.07.2005 04:15 152.064 cdfview.dll
03.07.2005 04:15 1.019.904 browseui.dll
03.07.2005 04:15 96.768 inseng.dll
03.07.2005 04:15 251.392 iepeers.dll
30.06.2005 04:05 119.296 umpnpmgr.dll
29.06.2005 03:49 254.976 icm32.dll
29.06.2005 03:49 74.240 mscms.dll
25.06.2005 16:54 311.740 perfh009.dat
25.06.2005 16:54 40.128 perfc009.dat
25.06.2005 16:54 48.354 perfc007.dat
25.06.2005 16:54 316.924 perfh007.dat






Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3825-E132

Verzeichnis von C:\DOKUME~1\Iris\LOKALE~1\Temp

15.09.2005 21:53 0 vz711.tmp
15.09.2005 20:28 16.384 ~DF7C01.tmp
15.09.2005 20:24 16.384 ~DF1715.tmp
3 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 93.847.588.864 Bytes frei





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3825-E132

Verzeichnis von C:\WINDOWS\system32

12.09.2005 10:47 13.646 wpa.dbl
09.09.2005 05:08 2.006.368 MRT.exe
05.09.2005 07:55 263.824 FNTCACHE.DAT
04.08.2005 15:31 12.389.135 crashlog.tar.gz
20.07.2005 04:04 3.012.096 mshtml.dll
18.07.2005 17:20 176.167 rmoc3260.dll
18.07.2005 17:20 5.632 pndx5032.dll
18.07.2005 17:20 6.656 pndx5016.dll
18.07.2005 17:20 278.528 pncrt.dll
11.07.2005 14:29 600.576 BlackmagicCodec.qtx
08.07.2005 18:28 76.800 remotesp.tsp
08.07.2005 18:28 249.344 tapisrv.dll
03.07.2005 04:15 474.112 shlwapi.dll
03.07.2005 04:15 605.696 urlmon.dll
03.07.2005 04:15 664.064 wininet.dll
03.07.2005 04:15 1.484.288 shdocvw.dll
03.07.2005 04:15 146.432 msrating.dll
03.07.2005 04:15 39.424 pngfilt.dll
03.07.2005 04:15 448.512 mshtmled.dll
03.07.2005 04:15 152.064 cdfview.dll
03.07.2005 04:15 1.019.904 browseui.dll
03.07.2005 04:15 96.768 inseng.dll
03.07.2005 04:15 251.392 iepeers.dll
30.06.2005 04:05 119.296 umpnpmgr.dll
29.06.2005 03:49 254.976 icm32.dll
29.06.2005 03:49 74.240 mscms.dll
25.06.2005 16:54 311.740 perfh009.dat
25.06.2005 16:54 40.128 perfc009.dat
25.06.2005 16:54 48.354 perfc007.dat
25.06.2005 16:54 316.924 perfh007.dat





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3825-E132

Verzeichnis von C:\

15.09.2005 23:55 0 sys.txt
15.09.2005 23:54 4.207 system.txt
15.09.2005 23:53 387 systemtemp.txt
15.09.2005 23:52 94.928 system32.txt
15.09.2005 17:21 804.835.328 hiberfil.sys
15.09.2005 17:21 1.610.612.736 pagefile.sys
26.08.2005 22:55 692.224 StubInstaller.exe
15.04.2005 18:24 211 boot.ini
15.04.2005 18:18 47.564 NTDETECT.COM
15.04.2005 18:18 251.184 ntldr
15.04.2005 12:30 0 IO.SYS
15.04.2005 12:30 0 CONFIG.SYS
15.04.2005 12:30 0 AUTOEXEC.BAT
15.04.2005 12:30 0 MSDOS.SYS
02.04.2003 14:00 4.952 bootfont.bin
15 Datei(en) 2.416.543.721 Bytes
0 Verzeichnis(se), 93.847.576.576 Bytes frei





---------------------------------

3. ..und hier der scanreport von ewido:


---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 01:03:44, 16.09.2005
+ Report-Checksumme: 8934ECCA

+ Scanergebnis:

Keine infizierten Objekte gefunden.


::Report Ende






den Scanner hab ich 2 mal drüberlaufen lassen (kompletter Systemscan). Beide Male hat er bei etwa 42% aufgehört.


Vielen Dank schon einmal! ;)

Mira
Seitenanfang Seitenende
16.09.2005, 12:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 Hallo@Fevor

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com

PC neustarten

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe

PC neustarten

C:\Programme\PartyPoker deinstallieren

Onlinescan Kaspersky (+ berichte)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.09.2005, 12:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 Sanjara

es sind 4 Logs, aber zwei sind doppelt, es fehlt C:\Windows
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.09.2005, 17:07
...neu hier

Beiträge: 2
#40 Hallo Sabina,

alles erledigt. Kaspersky hat nichts gefunden, ich hoffe, das ist eine gute Nachricht.

Danke nochmal für alles! ;)
Seitenanfang Seitenende
16.09.2005, 22:32
...neu hier

Beiträge: 2
#41 Hallo Sabi ich hab das prob auch !!


Hoffe ich hab alles rcihtig gemacht !!


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C02A-A43E

Verzeichnis von C:\WINDOWS\system32

16.09.2005 21:31 2 cmd.com
16.09.2005 21:31 2 regedit.com
16.09.2005 21:31 2 taskkill.com
16.09.2005 21:31 2 tasklist.com
16.09.2005 21:31 2 tracert.com
16.09.2005 21:31 2 ping.com
16.09.2005 21:31 2 netstat.com
16.09.2005 15:47 2.206 wpa.dbl
14.09.2005 16:20 176.167 rmoc3260.dll
14.09.2005 16:20 5.632 pndx5032.dll
14.09.2005 16:20 6.656 pndx5016.dll
14.09.2005 16:20 278.528 pncrt.dll
13.09.2005 13:14 62.464 bszip.dll
09.09.2005 05:08 2.006.368 MRT.exe
28.08.2005 01:43 3.799 jupdate-1.5.0_04-b05.log
24.08.2005 23:50 98.304 CmdLineExt.dll
08.08.2005 17:50 75.448 GDIPFONTCACHEV1.DAT
08.08.2005 06:00 281.336 FNTCACHE.DAT
26.07.2005 13:26 1.656 qtplugin.log
20.07.2005 04:04 3.012.096 mshtml.dll
08.07.2005 18:28 249.344 tapisrv.dll
08.07.2005 18:28 76.800 remotesp.tsp
03.07.2005 04:15 1.484.288 shdocvw.dll
03.07.2005 04:15 474.112 shlwapi.dll
03.07.2005 04:15 664.064 wininet.dll
03.07.2005 04:15 605.696 urlmon.dll
03.07.2005 04:15 146.432 msrating.dll
03.07.2005 04:15 39.424 pngfilt.dll
03.07.2005 04:15 448.512 mshtmled.dll
03.07.2005 04:15 96.768 inseng.dll
03.07.2005 04:15 1.019.904 browseui.dll
03.07.2005 04:15 152.064 cdfview.dll
03.07.2005 04:15 251.392 iepeers.dll
30.06.2005 04:05 119.296 umpnpmgr.dll
29.06.2005 03:49 254.976 icm32.dll
29.06.2005 03:49 74.240 mscms.dll
15.06.2005 19:49 295.936 kerberos.dll
11.06.2005 01:53 57.856 spoolsv.exe
09.06.2005 22:32 692.736 DivX.dll
06.06.2005 23:13 356.436 DivXMedia.ax
06.06.2005 12:58 77.312 P2P Networking v126.cpl
03.06.2005 03:52 127.078 javaws.exe
03.06.2005 03:52 49.265 jpicpl32.cpl
03.06.2005 02:24 49.250 javaw.exe
03.06.2005 02:24 49.248 java.exe
29.05.2005 01:35 692.224 divxdec.ax
27.05.2005 04:04 137.216 itss.dll
27.05.2005 04:04 546.304 hhctrl.ocx
27.05.2005 04:04 155.136 itircl.dll
27.05.2005 04:04 41.472 hhsetup.dll



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C02A-A43E

Verzeichnis von C:\DOKUME~1\muli\LOKALE~1\Temp

16.09.2005 22:12 264.224.768 fnd3de09f2.avi
16.09.2005 21:48 283 wahtmltmp00.htm
16.09.2005 21:31 5.865 jusched.log
16.09.2005 21:31 16.384 ~DF9AB0.tmp
16.09.2005 21:28 0 fna03452.ax
16.09.2005 21:27 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}1584.html
16.09.2005 21:14 0 fna03452.dll
16.09.2005 21:03 0 xhe6.tmp
16.09.2005 20:47 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}27298.html
16.09.2005 15:47 16.384 ~DF3DD4.tmp
16.09.2005 15:47 16.384 ~DF1B4E.tmp
16.09.2005 15:47 16.384 ~DF990D.tmp
15.09.2005 21:44 14.868 ZTR7F.tmp
15.09.2005 21:44 9.016 ZTR7A.tmp
15.09.2005 21:44 17.480 ZTR75.tmp
15.09.2005 21:44 21.300 ZTR70.tmp
15.09.2005 21:44 16.336 ZTR6B.tmp
15.09.2005 18:51 0 rmh5C.tmp
14.09.2005 16:26 0 w0t28.tmp
14.09.2005 16:20 0 mj924.tmp
14.09.2005 16:18 11.194.430 tmp-1.xpi
14.09.2005 16:17 0 v7p21.tmp
14.09.2005 16:17 0 0e520.tmp
14.09.2005 16:17 0 kr01F.tmp
14.09.2005 16:17 0 75g1E.tmp
14.09.2005 16:17 0 hy71D.tmp
14.09.2005 16:14 0 kun1C.tmp
14.09.2005 15:59 0 jb31A.tmp
13.09.2005 19:31 0 aax8.tmp
13.09.2005 19:28 0 aax7.tmp
13.09.2005 19:12 16.384 ~DFCB86.tmp
13.09.2005 19:12 16.384 ~DFBA77.tmp
13.09.2005 13:14 16.384 ~DF8610.tmp
13.09.2005 11:19 45.096 _VWUPSRV.EXE
13.09.2005 00:03 16.384 ~DF9518.tmp
12.09.2005 22:11 747.290 TWAIN.LOG
12.09.2005 22:11 40.960 rtdrvmon.exe
12.09.2005 22:10 156 Twunk001.MTX
12.09.2005 22:10 3 Twain001.Mtx
12.09.2005 22:07 0 Twunk002.MTX
12.09.2005 20:31 16.384 ~DF602B.tmp
12.09.2005 20:31 16.384 ~DF5207.tmp
12.09.2005 20:28 16.384 ~DF82B4.tmp
12.09.2005 19:36 0 rkvA.tmp
12.09.2005 19:34 0 hut9.tmp
12.09.2005 19:29 0 lc48.tmp
12.09.2005 19:28 0 k047.tmp
12.09.2005 19:20 16.384 ~DFBECB.tmp
12.09.2005 19:20 16.384 ~DFB520.tmp
12.09.2005 19:19 16.384 ~DF9CDB.tmp
11.09.2005 20:11 16.384 ~DF667F.tmp
11.09.2005 20:11 16.384 ~DFF8BE.tmp
11.09.2005 20:11 16.384 ~DF96CE.tmp
11.09.2005 19:49 436 STG17.tmp
11.09.2005 19:48 71.168 42596a.mst
11.09.2005 18:37 16.384 ~DF801B.tmp
11.09.2005 17:02 16.384 ~DF82AC.tmp
11.09.2005 17:02 16.384 ~DF74FC.tmp
11.09.2005 10:07 2.072 java_install_reg.log
11.09.2005 10:06 16.384 ~DF81B9.tmp
11.09.2005 05:33 186 1F1205F7.TMP
10.09.2005 15:13 0 j1b69.tmp
10.09.2005 14:12 16.384 ~DF887F.tmp
10.09.2005 14:12 16.384 ~DF8198.tmp
10.09.2005 13:51 16.384 ~DF7AFD.tmp
10.09.2005 09:57 16.384 ~DF9450.tmp
10.09.2005 02:42 16.384 ~DF3B4B.tmp
10.09.2005 02:42 16.384 ~DF3B32.tmp
10.09.2005 02:42 16.384 ~DF3B19.tmp
10.09.2005 02:42 16.384 ~DF3AFF.tmp
10.09.2005 02:37 0 ra51F.tmp
09.09.2005 19:40 717 control.xml
09.09.2005 19:36 0 ssdD.tmp
09.09.2005 19:00 16.384 ~DFFC.tmp
09.09.2005 19:00 16.384 ~DFF8AB.tmp
09.09.2005 19:00 16.384 ~DF7DA9.tmp
08.09.2005 19:13 16.384 ~DF9B5A.tmp
08.09.2005 19:13 16.384 ~DF8A06.tmp
08.09.2005 19:09 16.384 ~DF769C.tmp
07.09.2005 07:34 0 aax58.tmp
06.09.2005 23:48 0 1qu57.tmp
06.09.2005 22:04 0 79856.tmp
04.09.2005 19:30 3.920 OYCMY4WD.htm
04.09.2005 19:30 191.560 0H7F9S48.htm
04.09.2005 19:30 852 FFT0D4JX.htm
04.09.2005 13:51 0 kmc30.tmp
04.09.2005 13:50 0 ml22F.tmp
04.09.2005 13:48 0 m9o2E.tmp
04.09.2005 13:47 0 faq2D.tmp
04.09.2005 13:46 0 9f42C.tmp
04.09.2005 13:44 0 vg62A.tmp
04.09.2005 13:43 0 imp29.tmp
04.09.2005 13:41 0 eu128.tmp
04.09.2005 13:39 0 bam26.tmp
04.09.2005 13:37 0 ppz22.tmp
04.09.2005 13:34 0 x6d1F.tmp
04.09.2005 13:30 0 uuc1C.tmp
04.09.2005 13:28 0 60s17.tmp
04.09.2005 13:21 0 yzo14.tmp
04.09.2005 13:18 0 7vxF.tmp
04.09.2005 13:16 0 nr3B.tmp
04.09.2005 13:14 0 maz8.tmp
04.09.2005 10:58 16.384 ~DF5E60.tmp
04.09.2005 10:58 16.384 ~DF5827.tmp
03.09.2005 10:07 16.384 ~DFDDB8.tmp
03.09.2005 10:06 16.384 ~DFCDFE.tmp
03.09.2005 09:30 663 jupdate1.5.0.xml
03.09.2005 09:29 16.384 ~DFB7CF.tmp
02.09.2005 19:17 0 olx3A9A.tmp
02.09.2005 19:15 0 v5l3A99.tmp
02.09.2005 19:13 0 0vq3A98.tmp
01.09.2005 22:14 65.536 ~DF5105.tmp
01.09.2005 09:26 16.384 ~DF9B6E.tmp
31.08.2005 16:13 0 ogs38.tmp
31.08.2005 16:13 0 7kk37.tmp
31.08.2005 16:09 0 09o36.tmp
31.08.2005 16:06 0 gvq2F.tmp
31.08.2005 16:04 0 ojq12.tmp
31.08.2005 16:00 0 s3fB.tmp
31.08.2005 16:00 16.384 ~DFF346.tmp
31.08.2005 16:00 16.384 ~DFEB3B.tmp
31.08.2005 15:59 0 4wrA.tmp
31.08.2005 15:58 0 66g7.tmp
31.08.2005 15:56 0 xqh6.tmp
31.08.2005 15:50 0 id35.tmp
30.08.2005 11:02 16.384 ~DF8ECF.tmp
29.08.2005 23:17 0 4rr4.tmp
29.08.2005 23:12 0 td43.tmp
29.08.2005 19:10 16.384 ~DF674C.tmp
29.08.2005 19:10 16.384 ~DF5725.tmp
29.08.2005 19:09 16.384 ~DFBB06.tmp
28.08.2005 22:45 0 aaxF2.tmp
28.08.2005 22:33 0 g73B0.tmp
28.08.2005 22:29 0 4vi92.tmp
28.08.2005 22:21 0 ik572.tmp
28.08.2005 11:30 16.384 ~DFBCF1.tmp
28.08.2005 11:30 16.384 ~DFA31F.tmp
28.08.2005 08:55 16.384 ~DF8BF1.tmp
28.08.2005 01:43 23.536 java_install.log
28.08.2005 01:41 879 jinstall.cfg
28.08.2005 01:41 84.005 tmp.xpi
28.08.2005 01:40 0 pap9.tmp
28.08.2005 01:39 0 3sb8.tmp
28.08.2005 01:38 0 nhi7.tmp
28.08.2005 01:13 0 rde3.tmp
28.08.2005 01:10 16.384 ~DF3838.tmp
28.08.2005 01:10 16.384 ~DF223B.tmp
28.08.2005 01:09 16.384 ~DF9AB9.tmp
27.08.2005 19:09 16.384 ~DF82C2.tmp
27.08.2005 17:03 16.384 ~DFC3A6.tmp
27.08.2005 17:03 16.384 ~DFC374.tmp
27.08.2005 17:03 16.384 ~DFC38D.tmp
27.08.2005 17:03 16.384 ~DFC358.tmp
27.08.2005 14:42 0 74c5.tmp
27.08.2005 14:10 16.384 ~DF7415.tmp
27.08.2005 14:10 16.384 ~DF6303.tmp
27.08.2005 07:35 0 v901.tmp
27.08.2005 07:32 16.384 ~DFB732.tmp
26.08.2005 21:13 16.384 ~DFC10F.tmp
26.08.2005 21:13 16.384 ~DFBAE7.tmp
25.08.2005 23:24 0 qqy28.tmp
25.08.2005 23:23 0 j5v27.tmp
25.08.2005 23:20 0 kaz26.tmp
25.08.2005 23:18 0 pgi25.tmp
25.08.2005 23:16 0 fa524.tmp
25.08.2005 14:25 0 qdw1A.tmp
25.08.2005 14:24 0 4ze19.tmp
25.08.2005 14:23 0 4g318.tmp
25.08.2005 14:21 0 bjo17.tmp
25.08.2005 14:18 0 t6o16.tmp
25.08.2005 14:07 0 pvnB.tmp
25.08.2005 14:05 0 de9A.tmp
25.08.2005 14:04 0 ccj9.tmp
25.08.2005 14:03 0 1d18.tmp
25.08.2005 14:01 0 lkl7.tmp
25.08.2005 14:00 0 6606.tmp
25.08.2005 13:59 0 lwu5.tmp
25.08.2005 13:44 16.384 ~DF75F8.tmp
25.08.2005 13:44 16.384 ~DF5F6F.tmp
25.08.2005 13:38 16.384 ~DFAD77.tmp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C02A-A43E

Verzeichnis von C:\WINDOWS

16.09.2005 21:52 116 NeroDigital.ini
16.09.2005 21:35 98.595 setupapi.log
16.09.2005 21:35 0 0.log
16.09.2005 21:35 159 wiadebug.log
16.09.2005 21:35 1.359.903 WindowsUpdate.log
16.09.2005 21:35 50 wiaservc.log
16.09.2005 21:35 2.048 bootstat.dat
16.09.2005 21:34 32.546 SchedLgU.Txt
16.09.2005 21:34 686 win.ini
16.09.2005 21:34 227 SYSTEM.INI
16.09.2005 15:48 192 winamp.ini
14.09.2005 22:50 1.409 QTFont.for
14.09.2005 22:50 54.156 QTFont.qfn
14.09.2005 16:21 4.669 mozver.dat
13.09.2005 19:13 176.532 setupact.log
13.09.2005 19:13 0 setuperr.log
11.09.2005 14:35 1.147 LEXSTAT.INI
10.09.2005 14:27 316.640 WMSysPr9.prx
09.09.2005 19:40 42.980 wmsetup.log
25.08.2005 23:13 2.359.350 Firefox Wallpaper.bmp
17.08.2005 20:07 36.328 avmw2k.log
17.08.2005 20:03 2.717 avm.log
14.08.2005 20:30 100.525 comsetup.log
14.08.2005 20:30 347.735 iis6.log
14.08.2005 20:30 130.139 tsoc.log
14.08.2005 20:30 60.409 ntdtcsetup.log
14.08.2005 20:30 1.374 imsins.log
14.08.2005 20:30 18.687 KB899587.log
14.08.2005 20:30 12.879 tabletoc.log
14.08.2005 20:30 15.415 ocmsn.log
14.08.2005 20:30 143.831 ocgen.log
14.08.2005 20:30 20.147 medctroc.Log
14.08.2005 20:30 45.220 netfxocm.log
14.08.2005 20:30 13.919 msgsocm.log
14.08.2005 20:30 264.298 FaxSetup.log
14.08.2005 20:30 92.900 msmqinst.log
14.08.2005 20:30 13.798 updspapi.log
14.08.2005 20:30 1.374 imsins.BAK
14.08.2005 20:30 18.250 KB899591.log
14.08.2005 20:30 18.304 KB893756.log
14.08.2005 20:30 17.645 KB896423.log
14.08.2005 20:29 18.191 KB896727.log
14.08.2005 20:29 13.529 KB899588.log
14.08.2005 20:29 13.304 KB894391.log
12.08.2005 20:42 40 nero.INI
01.08.2005 16:31 99.970 UninstallFirefox.exe
31.07.2005 20:20 0 PROTOCOL.INI
26.07.2005 13:27 763 GEARInstall.log
13.07.2005 22:50 11.075 KB901214.log
13.07.2005 22:50 3.787 KB903235.log
29.06.2005 15:32 6.843 KB898461.log
22.06.2005 14:19 28.672 gscr.dll
22.06.2005 14:19 568.646 StauderSaver.exe
22.06.2005 14:19 122.344 StauderSaver.scr
22.06.2005 10:57 748 ODBC.INI
21.06.2005 16:35 10 smdat32m.sys
21.06.2005 16:33 14.732 KB896422.log
21.06.2005 16:33 15.754 KB883939.log
21.06.2005 16:32 11.237 KB896358.log
21.06.2005 16:32 11.131 KB890046.log
21.06.2005 16:32 27.607 KB893066.log
21.06.2005 16:32 10.255 KB896428.log
11.06.2005 17:48 0 smdat32a.sys
27.05.2005 01:22 10.752 hh.exe
20.05.2005 15:38 7.592 KB893803v2.log




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C02A-A43E

Verzeichnis von C:\

16.09.2005 22:18 0 sys.txt
16.09.2005 22:17 8.236 system.txt
16.09.2005 22:16 26.918 systemtemp.txt
16.09.2005 22:13 102.745 system32.txt
16.09.2005 21:35 805.306.368 pagefile.sys
16.09.2005 21:34 211 boot.ini
22.02.2005 15:26 1.719 temp.log
27.01.2005 01:41 11.113 pltemp.ini
27.01.2005 01:05 47.564 NTDETECT.COM
27.01.2005 01:05 251.184 ntldr
27.01.2005 00:48 0 IO.SYS
27.01.2005 00:48 0 CONFIG.SYS
27.01.2005 00:48 0 AUTOEXEC.BAT
27.01.2005 00:48 0 MSDOS.SYS
18.08.2001 14:00 4.952 bootfont.bin
15 Datei(en) 805.761.010 Bytes
0 Verzeichnis(se), 7.358.238.720 Bytes frei

Logfile of HijackThis v1.99.1
Scan saved at 22:26:28, on 16.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Winamp\Winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ewido\security suite\securitysuite.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\muli\LOKALE~1\Temp\Rar$EX00.406\KillBox.exe
C:\Dokumente und Einstellungen\muli\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe

und was nu ??


Danke schonaml im vorraus !!

mfg rik
Seitenanfang Seitenende
16.09.2005, 22:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42 Hallo@rik

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART

PC neustarten

deinstalliere
P2P Networking

scanne mit ewido
http://virus-protect.org/ewido.html

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\Dokumente und Einstellungen\muli\Lokale Einstellungen\Temp\fnd3de09f2.avi
C:\Dokumente und Einstellungen\muli\Lokale Einstellungen\Temp\wahtmltmp00.htm
C:\Dokumente und Einstellungen\muli\Lokale Einstellungen\Temp\fna03452.dll
C:\Dokumente und Einstellungen\muli\Lokale Einstellungen\Temp\fna03452.ax
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.09.2005, 17:41
...neu hier

Beiträge: 2
#43 Thx Sabrina hab alles gemaht und ewido findet nichts mehr !!



Vielen dank nochmal !


mfg rik
Seitenanfang Seitenende
20.09.2005, 08:53
...neu hier

Beiträge: 1
#44 Hallo!

Ich bin neu und unerfahren. Bitte helft mir beim entfernen des Wurms. Ich hab mir den Thread ein bisschen durchgelesen. Leider kann ich manchem nicht ganz folgen, aber ich hab das Logfile vom Hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 08:42:53, on 20.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\ewido\security suite\SecuritySuite.exe
C:\Programme\ewido\security suite\SecuritySuite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lischka Martin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0407&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=0407&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=0407&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=0407&s=search&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0407&ac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098724077875
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Bonjour Dienst - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service - Unknown - C:\WINDOWS\System32\ImapiRox.exe (file missing)
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe


Wenn ich mit ewido scanne, bleibt das Programm immer beim Scannen des Arbeitsspeichers bei folgender Datei hängen: [560] VM_7FFE0000.
Kann es sein, daß da der Hund begraben liegt. Das Registry, was immer das sein mag, scannt das Programm vollstädig durch und findet nichts.

Vielen Dank schon mal im vorraus ...
Dieser Beitrag wurde am 20.09.2005 um 09:05 Uhr von Lois editiert.
Seitenanfang Seitenende
20.09.2005, 12:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 Hallo@Lois

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

poste mir hier (laut Anleitung) alle 4 Logs mit der Pfadangabe .
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: