Home » Viren, Trojaner & Malware Forum » Wie kann ich Alcra.B beseitigen? » Themenansicht

Wie kann ich Alcra.B beseitigen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
20.09.2005, 18:09
Tanlladwyr
...neu hier

Beiträge: 4
#46 Ähm ja nun wie sag ich das nun.....
Der gemeine Wicht hat es auch durch meine Barrieren geschafft, aus fremder Hand -.-

Da ich ihm selbst nicht Herr werde setze ich mal meine Hoffnungen auf die anwesenden Leute vom Fach!
Bitte um Hilfe!

Hab Win XQ prof SP2 und dies ist der Highjacklog:

Logfile of HijackThis v1.99.0
Scan saved at 18:01:24, on 20.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
F:\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
F:\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
F:\D-Tools\daemon.exe
F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
D:\MP3\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
F:\creative\MediaSource\RemoteControl\RCMan.EXE
F:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
F:\Programme\WISE-FTP\WF_Scheduler.exe
F:\creative\MediaSource\Go\CTCMSGo.exe
F:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
F:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
F:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Xfire\Xfire.exe
F:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\DE-Browser4\DE-Browser.exe
F:\Opera\Opera.exe
F:\Programme\LimeWire\LimeWire.exe
E:\Tools 'n' images\InstallDateien\Highjackthis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://speed-exulo.kemkes.biz/spielen.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - F:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CTSysVol] F:\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] F:\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] D:\MP3\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [RemoteCenter] f:\creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [1&1 EasyLogin] "f:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [Wise-FTP Scheduler] F:\Programme\WISE-FTP\WF_Scheduler.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] F:\creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: AntiVir Guard.lnk = F:\Programme\AVPersonal\AVGNT.EXE
O4 - Startup: Verknüpfung mit clean.lnk = E:\Tools 'n' images\InstallDateien\Filez\clean.cmd
O4 - Startup: Verknüpfung mit ICQLite.lnk = C:\Programme\ICQLite\ICQLite.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
Seitenanfang Seitenende
20.09.2005, 22:54
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#47 Hallo@Tanlladwyr

Zitat

Der gemeine Wicht hat es auch durch meine Barrieren geschafft, aus fremder Hand -.-
so so ;)

poste mir alle 4 logs bitte, mit pfadangabe oben
http://virus-protect.org/datfindbat.html

scanne mit ewido und poste mir das Log vom Scan ;)
http://virus-protect.org/ewido.html

(eine Frage: welches Programm hast du installiert, als die Probleme begannen???
Creative MediaSource Go ??? )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2005, 10:34
Tanlladwyr
...neu hier

Beiträge: 4
#48 Verzeichnis von C:\DOKUME~1\Nimrod\LOKALE~1\Temp

21.09.2005 09:38 58.109 jar_cache45520.tmp
21.09.2005 09:24 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}10045.html
21.09.2005 09:24 278.528 ~DFCDF6.tmp
21.09.2005 09:24 16.384 ~DFACBB.tmp
21.09.2005 09:24 512 ~DF9DE3.tmp
21.09.2005 09:24 16.384 ~DF9CCA.tmp
21.09.2005 09:23 98.540 jusched.log
20.09.2005 17:58 16.384 ~DF925.tmp
20.09.2005 17:25 278.528 ~DFC929.tmp
20.09.2005 17:22 0 WER1C.tmp
20.09.2005 17:18 278.528 ~DFEEE9.tmp
20.09.2005 17:17 16.384 ~DFFBE5.tmp
20.09.2005 17:17 16.384 ~DFFBC9.tmp
20.09.2005 17:17 16.384 ~DFFAEC.tmp
20.09.2005 17:17 16.384 ~DFF853.tmp
20.09.2005 17:17 16.384 ~DFB33A.tmp
20.09.2005 17:17 16.384 ~DF3D85.tmp
20.09.2005 17:16 0 WER19D.tmp
20.09.2005 17:15 16.384 ~DFB25F.tmp
20.09.2005 16:55 16.384 ~DF1D66.tmp
20.09.2005 16:55 16.384 ~DF1D4D.tmp
20.09.2005 16:55 16.384 ~DF1D34.tmp
20.09.2005 16:55 16.384 ~DF1D1B.tmp
20.09.2005 16:32 278.528 ~DFC0FF.tmp
20.09.2005 16:31 16.384 ~DF2428.tmp
20.09.2005 16:31 16.384 ~DF85DC.tmp
20.09.2005 14:01 0 WER2E7.tmp
20.09.2005 11:37 278.528 ~DFEF40.tmp
20.09.2005 11:37 16.384 ~DFE8D4.tmp
20.09.2005 11:37 16.384 ~DFABE7.tmp
20.09.2005 09:16 0 WER10B.tmp
20.09.2005 08:04 278.528 ~DFF6E9.tmp
20.09.2005 08:03 16.384 ~DFDD2E.tmp
20.09.2005 08:03 16.384 ~DF848B.tmp
19.09.2005 22:43 278.528 ~DFF13A.tmp
19.09.2005 15:46 278.528 ~DF691B.tmp
19.09.2005 15:41 16.384 ~DFF160.tmp
19.09.2005 15:41 16.384 ~DFE85F.tmp
18.09.2005 21:15 0 WER174.tmp
18.09.2005 21:12 15.481 ICQ173.tmp
18.09.2005 21:12 5.407 ICQ172.tmp
18.09.2005 13:35 0 WERD7.tmp
18.09.2005 11:23 278.528 ~DF3FB2.tmp
17.09.2005 14:12 278.528 ~DFE220.tmp
17.09.2005 10:17 16.384 ~DF6788.tmp
17.09.2005 10:15 16.384 ~DF677D.tmp
17.09.2005 10:15 512 ~DF6756.tmp
17.09.2005 10:15 16.384 ~DF674B.tmp
17.09.2005 10:15 512 ~DF67A1.tmp
17.09.2005 10:15 16.384 ~DF6764.tmp
17.09.2005 10:15 512 ~DF676F.tmp
17.09.2005 10:15 16.384 ~DF6796.tmp
17.09.2005 09:56 16.384 ~DF88F6.tmp
17.09.2005 09:56 512 ~DF4822.tmp
17.09.2005 09:56 16.384 ~DF4703.tmp


Verzeichnis von C:\DOKUME~1\Nimrod\LOKALE~1\Temp

21.09.2005 09:38 58.109 jar_cache45520.tmp
21.09.2005 09:24 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}10045.html
21.09.2005 09:24 278.528 ~DFCDF6.tmp
21.09.2005 09:24 16.384 ~DFACBB.tmp
21.09.2005 09:24 512 ~DF9DE3.tmp
21.09.2005 09:24 16.384 ~DF9CCA.tmp
21.09.2005 09:23 98.540 jusched.log
20.09.2005 17:58 16.384 ~DF925.tmp
20.09.2005 17:25 278.528 ~DFC929.tmp
20.09.2005 17:22 0 WER1C.tmp
20.09.2005 17:18 278.528 ~DFEEE9.tmp
20.09.2005 17:17 16.384 ~DFFBE5.tmp
20.09.2005 17:17 16.384 ~DFFBC9.tmp
20.09.2005 17:17 16.384 ~DFFAEC.tmp
20.09.2005 17:17 16.384 ~DFF853.tmp
20.09.2005 17:17 16.384 ~DFB33A.tmp
20.09.2005 17:17 16.384 ~DF3D85.tmp
20.09.2005 17:16 0 WER19D.tmp
20.09.2005 17:15 16.384 ~DFB25F.tmp
20.09.2005 16:55 16.384 ~DF1D66.tmp
20.09.2005 16:55 16.384 ~DF1D4D.tmp
20.09.2005 16:55 16.384 ~DF1D34.tmp
20.09.2005 16:55 16.384 ~DF1D1B.tmp
20.09.2005 16:32 278.528 ~DFC0FF.tmp
20.09.2005 16:31 16.384 ~DF2428.tmp
20.09.2005 16:31 16.384 ~DF85DC.tmp
20.09.2005 14:01 0 WER2E7.tmp
20.09.2005 11:37 278.528 ~DFEF40.tmp
20.09.2005 11:37 16.384 ~DFE8D4.tmp
20.09.2005 11:37 16.384 ~DFABE7.tmp
20.09.2005 09:16 0 WER10B.tmp
20.09.2005 08:04 278.528 ~DFF6E9.tmp
20.09.2005 08:03 16.384 ~DFDD2E.tmp
20.09.2005 08:03 16.384 ~DF848B.tmp
19.09.2005 22:43 278.528 ~DFF13A.tmp
19.09.2005 15:46 278.528 ~DF691B.tmp
19.09.2005 15:41 16.384 ~DFF160.tmp
19.09.2005 15:41 16.384 ~DFE85F.tmp
18.09.2005 21:15 0 WER174.tmp
18.09.2005 21:12 15.481 ICQ173.tmp
18.09.2005 21:12 5.407 ICQ172.tmp
18.09.2005 13:35 0 WERD7.tmp
18.09.2005 11:23 278.528 ~DF3FB2.tmp
17.09.2005 14:12 278.528 ~DFE220.tmp
17.09.2005 10:17 16.384 ~DF6788.tmp
17.09.2005 10:15 16.384 ~DF677D.tmp
17.09.2005 10:15 512 ~DF6756.tmp
17.09.2005 10:15 16.384 ~DF674B.tmp
17.09.2005 10:15 512 ~DF67A1.tmp
17.09.2005 10:15 16.384 ~DF6764.tmp
17.09.2005 10:15 512 ~DF676F.tmp
17.09.2005 10:15 16.384 ~DF6796.tmp
17.09.2005 09:56 16.384 ~DF88F6.tmp
17.09.2005 09:56 512 ~DF4822.tmp


Verzeichnis von C:\WINDOWS

21.09.2005 09:26 525 win.ini
21.09.2005 09:24 4.932.286 {00000000-00000000-0000000C-00001102-00000004-20021102}.CDF
21.09.2005 09:24 0 0.log
21.09.2005 09:23 2.048 bootstat.dat
20.09.2005 17:20 1.125 winamp.ini
20.09.2005 17:16 216 wiadebug.log
20.09.2005 17:12 50 wiaservc.log
17.09.2005 14:35 175 cdplayer.ini
17.09.2005 09:56 16.384 ~DF4703.tmp

Verzeichnis von C:\

21.09.2005 10:01 0 sys.txt
21.09.2005 10:00 6.150 system.txt
21.09.2005 09:59 81.225 systemtemp.txt
21.09.2005 09:56 96.929 system32.txt
21.09.2005 09:23 45 TEST.XML
21.09.2005 09:23 805.306.368 pagefile.sys

k.A. welches Programm...
MediaSource ist schon länger drauf, kann höchstens sein dass ich den Wurm schon länger habe aber ich scanne eigentlich regelmäßig...
Ein Security 8.0 irgendwas .zip meldet mir zumindest AntiVir so häufig dass sie die Ursache sein könnte.
Überhaupt meldet er extrem viele .zip Verzeichnisse!Alles Malware die der Wurm geloadet hat???
Ich hab mal über ewido alles gelöscht, nichts davon befand sich vorher auf meinem Rechner...
Ob es dabei bleibt k.A. deswegen nochmal den Report:


ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 10:32:46, 21.09.2005
+ Report-Checksumme: 2E3AB7C4

+ Scanergebnis:

HKU\S-1-5-21-1390067357-1409082233-839522115-1003\Software\IST -> Spyware.ISTBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Acronis Privacy Expert Suite 8.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Admin Report Kit for IIS 3.2.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Admin Report Kit Server 4.4.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\AutoPatcher XP September 2005 FullLit.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\AutoPatcher XP September 2005.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\BlazeDVD 3.5 Pro.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Carlson Grade 1.60.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\CherryOS 1.0.1.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Downfall 2.51.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\DVDIdle Pro 5.81.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\EnDeCode 1.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\ESTsoft ALZip 6.1.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\FolderSizes 3.2.0.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Hide IP Platinum 1.73.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\House of the Dead III.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\K-Lite Mega Codec Pack 1.38.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\McAfee Anti-Spyware Enterprise 8.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\MS Digital Image Pro Suite 10 (1.08 GB.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Netobjects Fusion 8.00.5030.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Pagan Daybook III 5.0.6a.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Registry Rescue 3.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\SaberMace Form ADV Enterprise 5.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Sample CD's - Loop's For Acid.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Secure Copy 4.05.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Security Explorer 5.00.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Service Explorer 2.12.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Spy Emergency 2005 Build 2.0.305.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Steganos Internet Anonym Pro 7.1.4.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Swf to MP3 Converter 2.2.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\TimeCard Plus 3.3.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\TM 8382.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Turbo Sliders 1.0.5.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Unlocker 1.7.2.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\VirIT eXplorer Pro 5.2.33.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Webroot Spy Sweeper 4.5.1.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\WinCloak 1.06.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\WinSpeedUp 2.63.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\Writers Cafe 1.19.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\XP Disk Cleaner 2.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Complete\ZoneAlarm Wireless Security 5.5.080.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Cookies\nimrod@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Cookies\nimrod@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Cookies\nimrod@valueclick[1].txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Nimrod\Lokale Einstellungen\Temp\Cookies\nimrod@2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\Programme\winupdates\a.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
F:\Programme\AVPersonal\INFECTED\winupdates.VIR -> Worm.VB.an : Gesäubert mit Backup


::Report Ende

sieht soweit ganz gut aus aber? (...)

Danke schonmal bis hierhin ;)
Seitenanfang Seitenende
21.09.2005, 11:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#49 das erste Log / aus datfindbat) muss sein von C:\Windows\System32

du hast die temp-Dateien doppelt gepostet, aber ich brauche die System32....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2005, 18:00
Bryan
...neu hier

Beiträge: 7
#50 Ich habe auch ein Worm/Alcra.B, ich hoffe ihr hilfts mir!

Logfile of HijackThis v1.99.1
Scan saved at 18:00:05, on 21.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\AVGUARD.EXE
E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
E:\Programme\Alwil Software\Avast4\ashServ.exe
E:\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\dmadmin.exe
E:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\iRiceN\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Seitenanfang Seitenende
21.09.2005, 23:50
Tanlladwyr
...neu hier

Beiträge: 4
#51 Verzeichnis von C:\WINDOWS\system32

21.09.2005 22:53 28.930 nvapps.xml
21.09.2005 15:11 384 DVCState-{00000000-00000000-0000000C-00001102-00000004-20021102}.dat
21.09.2005 15:11 384 DVCStateBkp-{00000000-00000000-0000000C-00001102-00000004-20021102}.dat
21.09.2005 15:11 1.080 settingsbkup.sfm
21.09.2005 15:11 1.080 settings.sfm
21.09.2005 15:11 32.088 BMXBkpCtrlState-{00000000-00000000-0000000C-00001102-00000004-20021102}.rfx
21.09.2005 15:11 32.088 BMXCtrlState-{00000000-00000000-0000000C-00001102-00000004-20021102}.rfx
21.09.2005 15:11 32.592 BMXState-{00000000-00000000-0000000C-00001102-00000004-20021102}.rfx
21.09.2005 15:11 32.592 BMXStateBkp-{00000000-00000000-0000000C-00001102-00000004-20021102}.rfx
20.09.2005 17:15 62.464 bszip.dll
20.09.2005 17:15 2 netstat.com
20.09.2005 17:15 2 ping.com
20.09.2005 17:15 2 tasklist.com
20.09.2005 17:15 2 taskkill.com
20.09.2005 17:15 2 tracert.com
20.09.2005 17:15 2 cmd.com
20.09.2005 17:15 2 regedit.com
14.09.2005 10:22 2.184 wpa.dbl
14.09.2005 10:22 110.992 FNTCACHE.DAT
Seitenanfang Seitenende
22.09.2005, 00:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 Tanlladwyr

Zitat

20.09.2005 17:15 62.464 bszip.dll
20.09.2005 17:15 2 netstat.com
20.09.2005 17:15 2 ping.com
20.09.2005 17:15 2 tasklist.com
20.09.2005 17:15 2 taskkill.com
20.09.2005 17:15 2 tracert.com
20.09.2005 17:15 2 cmd.com
20.09.2005 17:15 2 regedit.com
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Program Files\winupdates\a.zip
C:\Programme\winupdates\a.zip/Setup.exe
C\Windows\System32\cmd.com
C\Windows\System32\bszip.dll
C\Windows\System32\netstat.com
C\Windows\System32\ping.com
C\Windows\System32\regedit.com
C\Windows\System32\taskkill.com
C\Windows\System32\tasklist.com
C\Windows\System32\tracert.com

PC neustarten

scanne mit ewido und poste den Scanreport ;)
http://virus-protect.org/ewido.html

dann mache unbedingt die WindowsUpdates (lade SP2)...dein PC hat noch nie ein WindowsUpdates gesehen und ich verstehe nicht, wie du dich so ins Internet traust.....)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 00:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#53 Bryan

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Program Files\winupdates\a.zip
C:\Programme\winupdates\a.zip/Setup.exe
C\Windows\System32\cmd.com
C\Windows\System32\bszip.dll
C\Windows\System32\netstat.com
C\Windows\System32\ping.com
C\Windows\System32\regedit.com
C\Windows\System32\taskkill.com
C\Windows\System32\tasklist.com
C\Windows\System32\tracert.com

PC neustarten

scanne mit ewido und poste den Scanreport
http://virus-protect.org/ewido.html

scanne auch mit Kaspersky, weil ich nicht sicher bin, ob nicht auch der Nachi-Wurm drauf ist..... (und berichte vom Scan)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 11:38
Tanlladwyr
...neu hier

Beiträge: 4
#54 Ich hab nochmal gescannt, nur C, Registry und Arbeitsplatz und er hat keine Ergebnisse gefunden...

SP2 hatte ich die ganze Zeit drauf aber nach dem letzten formatieren nicht mehr....
Seitenanfang Seitenende
27.09.2005, 15:27
mot988
...neu hier

Beiträge: 2
#55 Kann mir bitte jemand helfen hab auch W32.Alcra.B

Hier das HJT:

Logfile of HijackThis v1.99.1
Scan saved at 14:09:02, on 27.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\AVPersonal\AVGNT.EXE
I:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\Programme\OpenOffice.org 1.9.125\program\soffice.exe
C:\Programme\OpenOffice.org 1.9.125\program\soffice.BIN
C:\Programme\AVPersonal\AVWIN.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
I:\Programme\Cleanup.exe
C:\DOKUME~1\Tom\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 1.9.125.lnk = C:\Programme\OpenOffice.org 1.9.125\program\quickstart.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Seitenanfang Seitenende
27.09.2005, 16:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#56 Hallo@mot988

wo und wann hast du das Tool geladen, gib mir bitte den Link (ich brauche ihn unbedingt) ;)

C:\Programme\Creative\SBAudigy2ZS\DVDAudio
C:\Programme\CyberLink\PowerDVD


poste bitte alle 4 Logs hier
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2005, 21:33
Obvision
...neu hier

Beiträge: 5
#57 Guten Abend zusammen.

Auch mich hat es erwischt.

AntiVir meldet mir ebenfals Alcra.B
Wenn ich die obigen Hilfeleistungen richtig verstanden habe benötige ihr folgendes um mir helfen zu können?

Logfile of HijackThis v1.99.1
Scan saved at 21:27:01, on 27.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Scanner\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
c:\programme\strato iphone\voipclient.exe
C:\Programme\LimeWire\LimeWire.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis\HijackThis.exe
C:\Programme\AVPersonal\AVWIN.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\Scanner\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [ms-update] scvhost.exe
O4 - HKLM\..\RunServices: [ms-update] scvhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STRATO iPhone] c:\programme\strato iphone\iPhoneStarter.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {363BB47F-AABC-11D4-B337-0000B498A156} (NetLecture.Notes) - file://G:\installation\lerndesign\netlecture\version-1-0\de\NetLecture.CAB
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C757AE03-6CFC-4A62-800B-6820E153D54A}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Hoffe ich hab das richtig gemacht.

Auserdem meldet mir AntiVir noch einen anderen Wurm welcher sich Eyevec nennt. Kann dieses Problem auf änliche weise lösen oder habe ich da noch andere Schritte vor mir?

Ohne AntiVir hätte ich eigentlich garnichts von diesen Würmern gemerkt. Mein Rechner verhält sich nämlich eigentlich völlig normal- glaub ich jedenfalls.


Vielen besten Dank schon mal.
Wenn ich eure Hilfen bisher anschaue, seit ihr ja wares Gold wert.

Gruß Obvision
Seitenanfang Seitenende
27.09.2005, 22:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#58 Hallo@Obvision

du hast noch zusaetzlich einen Backdoor drauf:
O4 - HKLM\..\Run: [ms-update] scvhost.exe
O4 - HKLM\..\RunServices: [ms-update] scvhost.exe

ich schau es mir mal an:
poste bitte alle 4 Logs hier
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2005, 12:25
Obvision
...neu hier

Beiträge: 5
#59 Das ging aber mal schnell, danke.

Ich hoff mal ich hab alles erneut richtig gemacht.
Was ist ein Backdoor?

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 706A-702F

Verzeichnis von C:\WINDOWS

28.09.2005 12:23 0 0.log
28.09.2005 12:23 159 wiadebug.log
28.09.2005 12:23 1.675.752 WindowsUpdate.log
28.09.2005 12:23 50 wiaservc.log
28.09.2005 12:22 2.048 bootstat.dat
28.09.2005 10:40 32.634 SchedLgU.Txt
27.09.2005 21:01 818 win.ini
24.09.2005 12:57 228.954 wmsetup.log
17.09.2005 19:11 954.504 setupapi.log
27.08.2005 21:10 180 Torni_ElfsStories.iix
25.08.2005 18:39 38 popcinfo.dat
25.08.2005 13:27 2.896 COM+.log
25.08.2005 11:44 18 gfact.ini
21.08.2005 16:37 706 avmadd32.log
21.08.2005 16:37 2.437 avmsetup.log
21.08.2005 16:37 400 accessdll.log
21.08.2005 15:47 73.212 _detmp.1
18.08.2005 21:08 2.038 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
17.08.2005 19:01 283.438 tsoc.log
17.08.2005 19:01 112.209 iis6.log
17.08.2005 19:01 1.374 imsins.log
17.08.2005 19:01 237.267 comsetup.log
17.08.2005 19:01 30.165 ocmsn.log
17.08.2005 19:01 144.185 ntdtcsetup.log
17.08.2005 19:01 17.421 KB899587.log
17.08.2005 19:01 34.839 msgsocm.log
17.08.2005 19:01 341.986 ocgen.log
17.08.2005 19:01 682.816 FaxSetup.log
17.08.2005 19:01 11.926 updspapi.log
17.08.2005 19:00 1.374 imsins.BAK
17.08.2005 19:00 16.917 KB899591.log
17.08.2005 19:00 17.526 KB893756.log
17.08.2005 19:00 16.473 KB896423.log
17.08.2005 19:00 17.256 KB896727.log
17.08.2005 19:00 13.854 KB899588.log
17.08.2005 19:00 13.816 KB894391.log
04.08.2005 18:28 10.928 scunin.dat
04.08.2005 18:28 967 ScUnin.pif
04.08.2005 18:28 67.584 ScUnin.exe
23.07.2005 19:45 356.352 Eichenbaum3DUninstaller.exe
23.07.2005 19:45 10.919.936 Eichenbaum3D.scr
23.07.2005 16:06 271 system.ini
13.07.2005 09:26 11.181 KB901214.log
13.07.2005 09:26 3.857 KB903235.log




28.09.2005 12:29 0 sys.txt
28.09.2005 12:29 12.937 system.txt
28.09.2005 12:28 84.452 systemtemp.txt
28.09.2005 12:28 101.350 system32.txt
28.09.2005 12:22 267.964.416 hiberfil.sys
28.09.2005 12:22 402.653.184 pagefile.sys
26.09.2005 22:53 373.995 hpfr5550.log
12.09.2005 13:02 0 image.nrg
20.07.2005 09:57 211 boot.ini
31.05.2005 19:37 3 TCPCheckResult.txt
13.03.2005 13:04 1.339 GTXT_Dsp.log
13.03.2005 13:04 1.047 GTXT_Acq.log
13.03.2005 12:12 187 VPS_INFO.TXT
06.12.2004 14:02 0 _NIM4711.TMP
18.10.2004 20:04 47.564 NTDETECT.COM
18.10.2004 20:04 251.184 ntldr
05.09.2002 06:19 33 AGPUnist.ini
05.09.2002 06:19 1.337 AGPSetup.txt
05.09.2002 06:19 951 AGPSetup2.ini
05.09.2002 06:18 926 AGPSetup1.ini
05.09.2002 01:58 0 CONFIG.SYS
05.09.2002 01:58 0 IO.SYS
05.09.2002 01:58 0 MSDOS.SYS
05.09.2002 01:58 0 AUTOEXEC.BAT
18.08.2001 14:00 4.952 bootfont.bin
25 Datei(en) 671.500.068 Bytes
0 Verzeichnis(se), 44.450.590.720 Bytes frei


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 706A-702F

Verzeichnis von C:\DOKUME~1\JANGRL~1\LOKALE~1\Temp

28.09.2005 12:24 81.920 ~DFF5D6.tmp
28.09.2005 12:23 4.433 jusched.log
28.09.2005 10:07 59.964 ~e5.0001
28.09.2005 09:59 81.920 ~DF9530.tmp
27.09.2005 22:26 19.095 WcesView.log
27.09.2005 20:26 81.920 ~DFACFE.tmp
27.09.2005 20:16 81.920 ~DF43FC.tmp
27.09.2005 18:10 32.768 ~DFD5F6.tmp
27.09.2005 18:04 32.768 ~DFD75F.tmp
27.09.2005 12:16 81.920 ~DF32A0.tmp
27.09.2005 12:14 32.768 ~DFD51D.tmp
26.09.2005 20:25 32.768 ~DFA612.tmp
26.09.2005 19:11 81.920 ~DF7244.tmp
26.09.2005 09:18 81.920 ~DF98A3.tmp
25.09.2005 17:10 81.920 ~DFC023.tmp
25.09.2005 10:36 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}31526.html
25.09.2005 09:39 16.384 ~DF2CB7.tmp
25.09.2005 09:39 16.384 ~DF2639.tmp
25.09.2005 09:19 81.920 ~DFFB6.tmp
25.09.2005 01:49 81.920 ~DF8345.tmp
24.09.2005 12:57 717 control.xml
24.09.2005 11:47 81.920 ~DFDB1F.tmp
23.09.2005 21:53 81.920 ~DF36E8.tmp
23.09.2005 18:56 81.920 ~DFC2AD.tmp
23.09.2005 10:17 81.920 ~DF7DA7.tmp
22.09.2005 19:42 81.920 ~DFEDBD.tmp
22.09.2005 12:23 81.920 ~DF694B.tmp
21.09.2005 17:35 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}2401.html
21.09.2005 16:10 22.180 jrelog.txt
21.09.2005 16:10 315 java_install_reg.log
21.09.2005 16:09 25.904 java_install.log
21.09.2005 16:03 0 fla7.tmp
21.09.2005 16:03 0 fla6.tmp
21.09.2005 16:02 0 fla5.tmp
21.09.2005 15:19 32.768 ~DF5111.tmp
21.09.2005 14:48 81.920 ~DF3438.tmp
21.09.2005 14:46 16.384 ~DF4981.tmp
21.09.2005 12:15 81.920 ~DF2F2D.tmp
21.09.2005 12:15 16.384 ~DF4A6C.tmp
21.09.2005 12:15 16.384 ~DFE7E4.tmp
21.09.2005 11:14 45.096 _VWUPSRV.EXE
21.09.2005 09:29 81.920 ~DF985A.tmp
21.09.2005 09:29 16.384 ~DFBD49.tmp
21.09.2005 09:29 16.384 ~DFAF95.tmp
20.09.2005 17:36 16.384 ~DFC1E1.tmp
20.09.2005 17:36 16.384 ~DFC1C3.tmp
20.09.2005 17:36 16.384 ~DFC1A5.tmp
20.09.2005 17:36 16.384 ~DFC15B.tmp
20.09.2005 17:36 16.384 ~DF908A.tmp
20.09.2005 17:36 16.384 ~DF7191.tmp
20.09.2005 17:35 81.920 ~DFBC0B.tmp
19.09.2005 23:24 81.920 ~DF4C60.tmp
19.09.2005 23:23 16.384 ~DF45F7.tmp
19.09.2005 23:23 16.384 ~DFFC18.tmp
18.09.2005 11:03 81.920 ~DF165.tmp
18.09.2005 11:03 16.384 ~DFDFF.tmp
18.09.2005 11:03 16.384 ~DFE477.tmp
17.09.2005 19:17 81.920 ~DF2971.tmp
17.09.2005 19:16 16.384 ~DF15D5.tmp
17.09.2005 19:16 16.384 ~DFDCFE.tmp
17.09.2005 19:10 4.533 plfA.tmp
17.09.2005 18:25 16.384 ~DF1B4A.tmp
17.09.2005 18:25 16.384 ~DFF01A.tmp
17.09.2005 18:25 81.920 ~DF6F70.tmp
17.09.2005 16:50 81.920 ~DFD4AF.tmp
17.09.2005 16:50 16.384 ~DFD30E.tmp
17.09.2005 16:49 16.384 ~DF8724.tmp
16.09.2005 19:02 512 FIN4C7.tmp
16.09.2005 19:02 512 FIN4C8.tmp
16.09.2005 19:02 512 FIN4C5.tmp
16.09.2005 19:02 132 FIN4C1.tmp
16.09.2005 19:02 130 FIN4BB.tmp
16.09.2005 19:02 132 FIN4C4.tmp
16.09.2005 19:02 512 FIN4BF.tmp
16.09.2005 19:02 512 FIN4BC.tmp
16.09.2005 19:02 512 FIN4C2.tmp
16.09.2005 19:02 128 FIN4BE.tmp
16.09.2005 19:00 4.560 FIN4B2.tmp
16.09.2005 19:00 3.858 FIN4AD.tmp
16.09.2005 19:00 1.626 FIN4A4.tmp
16.09.2005 18:56 5.784 FIN49B.tmp
16.09.2005 18:56 4.758 FIN497.tmp
16.09.2005 18:56 12.696 FIN492.tmp
16.09.2005 18:55 5.262 FIN48E.tmp
16.09.2005 18:55 5.514 FIN489.tmp
16.09.2005 18:55 5.640 FIN485.tmp
16.09.2005 18:54 5.316 FIN480.tmp
16.09.2005 18:53 4.866 FIN47C.tmp
16.09.2005 18:53 5.172 FIN477.tmp
16.09.2005 18:53 4.884 FIN473.tmp
16.09.2005 18:50 6.180 FIN46E.tmp
16.09.2005 18:50 5.190 FIN46A.tmp
16.09.2005 18:50 5.028 FIN465.tmp
16.09.2005 18:49 5.406 FIN461.tmp
16.09.2005 18:49 5.694 FIN45C.tmp
16.09.2005 18:48 5.712 FIN458.tmp
16.09.2005 18:46 6.108 FIN453.tmp
16.09.2005 18:45 8.196 FIN44F.tmp
16.09.2005 18:43 7.980 FIN44A.tmp
16.09.2005 18:43 7.980 FIN446.tmp
16.09.2005 18:43 5.352 FIN441.tmp
16.09.2005 18:40 3.606 FIN43D.tmp
16.09.2005 18:40 3.930 FIN438.tmp
16.09.2005 18:39 3.444 FIN434.tmp
16.09.2005 18:39 4.146 FIN42F.tmp
16.09.2005 18:37 3.912 FIN42B.tmp
16.09.2005 18:37 3.066 FIN426.tmp
16.09.2005 18:37 4.110 FIN422.tmp
16.09.2005 18:37 3.588 FIN41D.tmp
16.09.2005 18:36 4.236 FIN419.tmp
16.09.2005 18:35 4.236 FIN414.tmp
16.09.2005 18:35 5.712 FIN410.tmp
16.09.2005 18:35 5.838 FIN40B.tmp
16.09.2005 18:34 3.426 FIN407.tmp
16.09.2005 18:34 3.588 FIN402.tmp
16.09.2005 18:34 3.426 FIN3FE.tmp
16.09.2005 18:33 2.940 FIN3FB.tmp
16.09.2005 18:32 5.838 FIN3F7.tmp
16.09.2005 18:32 3.426 FIN3EA.tmp
16.09.2005 18:31 2.976 FIN3E6.tmp
16.09.2005 18:30 3.228 FIN3E1.tmp
16.09.2005 18:29 5.370 FIN3DA.tmp
16.09.2005 18:28 4.092 FIN3D4.tmp
16.09.2005 18:27 3.048 FIN3CC.tmp
16.09.2005 18:27 3.876 FIN3C6.tmp
16.09.2005 18:26 2.904 FIN3BF.tmp
16.09.2005 18:26 3.156 FIN3B9.tmp
16.09.2005 18:26 3.552 FIN3B1.tmp
16.09.2005 18:24 3.894 FIN3AB.tmp
16.09.2005 18:23 3.426 FIN3A4.tmp
16.09.2005 18:23 3.048 FIN39E.tmp
16.09.2005 18:22 3.498 FIN395.tmp
16.09.2005 18:18 11.724 FIN375.tmp
16.09.2005 18:18 11.940 FIN36C.tmp
16.09.2005 18:17 12.534 FIN354.tmp
16.09.2005 18:16 512 FIN280.tmp
16.09.2005 18:16 128 FIN278.tmp
16.09.2005 18:16 512 FIN263.tmp
16.09.2005 18:16 136 FIN25F.tmp
16.09.2005 18:16 0 FIN284.tmp
16.09.2005 17:26 16.384 ~DFE959.tmp
16.09.2005 17:26 16.384 ~DFC154.tmp
16.09.2005 17:26 81.920 ~DF3BB4.tmp
15.09.2005 23:17 81.920 ~DF2E92.tmp
15.09.2005 23:17 16.384 ~DFA720.tmp
15.09.2005 23:17 16.384 ~DF94C5.tmp
15.09.2005 18:46 81.920 ~DFAE8B.tmp
15.09.2005 18:46 16.384 ~DFA1E6.tmp
15.09.2005 18:46 16.384 ~DF7DF1.tmp
15.09.2005 08:22 81.920 ~DF803.tmp
15.09.2005 08:22 16.384 ~DF176B.tmp
15.09.2005 08:21 16.384 ~DFED80.tmp
14.09.2005 23:47 81.920 ~DF220B.tmp
14.09.2005 23:46 16.384 ~DF1F1F.tmp
14.09.2005 23:46 16.384 ~DFCCA5.tmp
13.09.2005 16:39 81.920 ~DFD68C.tmp
13.09.2005 16:39 16.384 ~DFDCEB.tmp
13.09.2005 16:39 16.384 ~DFA760.tmp
12.09.2005 17:39 81.920 ~DF7DE6.tmp
12.09.2005 17:39 16.384 ~DF844B.tmp
12.09.2005 17:39 16.384 ~DF544D.tmp
12.09.2005 13:01 81.920 ~DFAA29.tmp
12.09.2005 13:01 16.384 ~DFAED0.tmp
12.09.2005 13:01 16.384 ~DF6474.tmp
10.09.2005 16:07 81.920 ~DFBA12.tmp
10.09.2005 16:07 16.384 ~DF6F23.tmp
10.09.2005 16:07 16.384 ~DF633B.tmp
09.09.2005 18:03 81.920 ~DF142B.tmp
09.09.2005 18:03 16.384 ~DF2080.tmp
09.09.2005 18:03 16.384 ~DF107B.tmp
09.09.2005 12:52 81.920 ~DF141B.tmp
09.09.2005 12:46 16.384 ~DF1EAF.tmp
09.09.2005 12:46 16.384 ~DFF8BE.tmp
08.09.2005 18:34 81.920 ~DF45C.tmp
08.09.2005 18:34 16.384 ~DFFF26.tmp
08.09.2005 18:34 16.384 ~DFC4B4.tmp
08.09.2005 15:22 81.920 ~DF8F32.tmp
08.09.2005 15:22 16.384 ~DF8D15.tmp
08.09.2005 15:21 16.384 ~DF3B38.tmp
07.09.2005 16:42 81.920 ~DF6327.tmp
07.09.2005 16:42 16.384 ~DF28DB.tmp
07.09.2005 16:42 16.384 ~DF2386.tmp
06.09.2005 19:04 850 PrePict.htm
06.09.2005 17:18 46.080 ~e5d141.tmp
06.09.2005 16:59 16.384 ~DF4C8E.tmp
06.09.2005 13:09 81.920 ~DF1C55.tmp
06.09.2005 13:09 16.384 ~DF78F2.tmp
06.09.2005 13:09 16.384 ~DF6BC7.tmp
06.09.2005 09:07 81.920 ~DF7C87.tmp
06.09.2005 09:07 16.384 ~DF91FA.tmp
06.09.2005 09:07 16.384 ~DF596A.tmp
05.09.2005 16:43 81.920 ~DFE5D9.tmp
05.09.2005 16:43 16.384 ~DFEAB0.tmp
05.09.2005 16:43 16.384 ~DFEA92.tmp
05.09.2005 16:43 16.384 ~DFEA73.tmp
05.09.2005 16:43 16.384 ~DFEA30.tmp
05.09.2005 16:42 16.384 ~DF8A22.tmp
05.09.2005 16:42 16.384 ~DF397B.tmp
04.09.2005 20:17 16.384 ~DF890.tmp
04.09.2005 19:43 797.676 IMT9.xml
04.09.2005 19:43 426 IMT8.xml
04.09.2005 19:43 2.036 IMT7.xml
04.09.2005 19:42 797.676 IMT6.xml
04.09.2005 19:42 426 IMT5.xml
04.09.2005 19:42 2.036 IMT4.xml
04.09.2005 18:27 23.281 GRD$LOGFILE.LOG
04.09.2005 18:17 81.920 ~DFB55D.tmp
04.09.2005 18:17 16.384 ~DFD3F7.tmp
04.09.2005 18:17 16.384 ~DFA5D1.tmp
03.09.2005 16:08 81.920 ~DFE01E.tmp
03.09.2005 16:07 16.384 ~DFD990.tmp
03.09.2005 16:07 16.384 ~DF8D16.tmp
02.09.2005 10:55 81.920 ~DF4248.tmp
02.09.2005 10:54 16.384 ~DFB45F.tmp
02.09.2005 10:54 16.384 ~DFAB5B.tmp
01.09.2005 12:43 81.920 ~DFFE17.tmp
01.09.2005 12:39 16.384 ~DF1850.tmp
01.09.2005 12:39 16.384 ~DFF536.tmp
01.09.2005 09:22 81.920 ~DFE75B.tmp
01.09.2005 09:22 16.384 ~DFDEF3.tmp
01.09.2005 09:22 16.384 ~DFA9F5.tmp
30.08.2005 14:41 81.920 ~DFCC36.tmp
30.08.2005 14:40 16.384 ~DF8F0C.tmp
30.08.2005 14:40 16.384 ~DF5C36.tmp
30.08.2005 10:45 81.920 ~DFE64F.tmp
30.08.2005 10:43 16.384 ~DFB8FD.tmp
30.08.2005 10:42 16.384 ~DF835C.tmp
29.08.2005 22:22 81.920 ~DFCE31.tmp
29.08.2005 22:22 16.384 ~DFA78A.tmp
29.08.2005 22:22 16.384 ~DF660D.tmp
28.08.2005 17:35 81.920 ~DFFB70.tmp
28.08.2005 17:34 7.856 TWAIN.LOG
28.08.2005 17:34 163.648 N670UA.shd
28.08.2005 17:34 4 Twain001.Mtx
28.08.2005 17:34 156 Twunk001.MTX
28.08.2005 17:28 16.384 ~DFB10D.tmp
28.08.2005 17:28 16.384 ~DF9D1E.tmp
28.08.2005 12:23 81.920 ~DFDDD5.tmp
28.08.2005 12:23 16.384 ~DFECC4.tmp
28.08.2005 12:23 16.384 ~DF8A95.tmp
27.08.2005 14:28 16.944 ICQ2.tmp
27.08.2005 14:28 5.721 ICQ1.tmp
27.08.2005 13:49 81.920 ~DFCF20.tmp
27.08.2005 13:48 16.384 ~DF8EA0.tmp
27.08.2005 13:48 16.384 ~DF66AD.tmp
27.08.2005 09:41 81.920 ~DF9824.tmp
27.08.2005 09:41 16.384 ~DFB67D.tmp
27.08.2005 09:41 16.384 ~DF8DE0.tmp
26.08.2005 18:30 81.920 ~DFC6A1.tmp
26.08.2005 16:05 81.920 ~DFF2CD.tmp
26.08.2005 16:05 16.384 ~DFC613.tmp
26.08.2005 16:04 16.384 ~DF95FB.tmp
25.08.2005 13:40 81.920 ~DFD554.tmp
25.08.2005 13:39 16.384 ~DFBD4A.tmp
25.08.2005 13:39 16.384 ~DFC8EF.tmp
25.08.2005 12:03 16.384 ~DF9512.tmp
25.08.2005 12:00 11.224 CFG3F.tmp
25.08.2005 11:59 11.224 CFG3C.tmp
25.08.2005 11:59 122 CFG3A.tmp
25.08.2005 11:59 2.480 dotNetFx.log
25.08.2005 11:58 7.228 ASPNETSetup.log
25.08.2005 11:56 11.224 CFG8.tmp
25.08.2005 11:53 122 CFG6.tmp
25.08.2005 11:44 122 CFG5.tmp
25.08.2005 11:43 122 CFG4.tmp
25.08.2005 11:01 81.920 ~DF60A9.tmp
25.08.2005 11:01 16.384 ~DF6182.tmp
25.08.2005 11:01 16.384 ~DF2E3C.tmp
23.08.2005 20:52 81.920 ~DF6761.tmp
23.08.2005 20:51 16.384 ~DF647C.tmp
23.08.2005 20:51 16.384 ~DFB0F.tmp
23.08.2005 16:27 81.920 ~DFB5C3.tmp
23.08.2005 16:27 16.384 ~DF58BE.tmp
23.08.2005 16:27 16.384 ~DF4D7A.tmp
23.08.2005 14:19 16.384 ~DF21DA.tmp
23.08.2005 14:19 49.152 ~DFE34.tmp
23.08.2005 14:19 16.384 ~DF820.tmp
23.08.2005 11:40 81.920 ~DFC19F.tmp
23.08.2005 11:28 16.384 ~DFE2B.tmp
23.08.2005 11:28 16.384 ~DFCD60.tmp
21.08.2005 19:24 16.384 ~DF8A53.tmp
21.08.2005 19:24 16.384 ~DF7D77.tmp
21.08.2005 16:50 81.920 ~DF578A.tmp
21.08.2005 16:17 16.384 ~DF5CD4.tmp
20.08.2005 14:39 16.384 ~DFC55C.tmp
20.08.2005 14:38 81.920 ~DF48A0.tmp
20.08.2005 14:38 16.384 ~DF7B82.tmp
20.08.2005 14:38 4 PMShared
18.08.2005 20:22 16.384 ~DFFDE0.tmp
18.08.2005 20:22 81.920 ~DF8B01.tmp
18.08.2005 20:22 16.384 ~DFB379.tmp
17.08.2005 18:21 81.920 ~DF571D.tmp
17.08.2005 18:21 16.384 ~DF6E91.tmp
17.08.2005 18:21 16.384 ~DF6435.tmp
15.08.2005 14:09 81.920 ~DF302F.tmp
15.08.2005 14:09 16.384 ~DF747D.tmp
15.08.2005 14:09 16.384 ~DF413B.tmp
13.08.2005 19:30 81.920 ~DF6DD6.tmp
13.08.2005 19:30 16.384 ~DFBE38.tmp
13.08.2005 19:29 16.384 ~DF3A8E.tmp
11.08.2005 22:08 16.384 ~DFCBCF.tmp
11.08.2005 22:08 81.920 ~DF4B36.tmp
11.08.2005 22:08 16.384 ~DF6E2B.tmp
10.08.2005 11:40 16.384 ~DF77BE.tmp
10.08.2005 11:40 81.920 ~DF3FCF.tmp
10.08.2005 11:40 16.384 ~DFD8AC.tmp
09.08.2005 14:19 81.920 ~DFD15F.tmp
09.08.2005 10:36 16.384 ~DF14E4.tmp
09.08.2005 10:36 16.384 ~DFFAC4.tmp
08.08.2005 18:25 16.384 ~DF4F7F.tmp
08.08.2005 18:25 16.384 ~DF25AC.tmp
07.08.2005 11:41 16.384 ~DF3D61.tmp
07.08.2005 11:40 16.384 ~DF1034.tmp
06.08.2005 17:59 16.384 ~DF6AED.tmp
06.08.2005 17:59 16.384 ~DF3FD3.tmp
05.08.2005 14:53 16.384 ~DFA96E.tmp
05.08.2005 14:53 16.384 ~DF82B7.tmp
04.08.2005 16:04 196.096 Verinselung2.doc
04.08.2005 16:04 71.168 KINDERARMUT REFERAT!!!!!!!!!!!.doc
04.08.2005 14:34 864.376 mso324A8.emf
04.08.2005 14:33 864.376 msoEAC9B.emf
04.08.2005 14:10 953.384 mso49E92.emf
04.08.2005 14:09 16.384 ~DF88B1.tmp
04.08.2005 11:20 16.384 ~WRF1405.tmp
04.08.2005 10:57 16.384 ~DFB1D2.tmp
04.08.2005 10:56 16.384 ~DF9406.tmp
02.08.2005 22:14 16.384 ~DF7DEE.tmp
02.08.2005 22:13 16.384 ~DF44E6.tmp
02.08.2005 20:33 16.384 ~DF3998.tmp
02.08.2005 20:33 16.384 ~DF207A.tmp
02.08.2005 11:44 16.384 ~DFB722.tmp
02.08.2005 11:44 16.384 ~DF8496.tmp
01.08.2005 17:04 16.384 ~DFB39.tmp
01.08.2005 17:03 16.384 ~DF3FE.tmp
31.07.2005 20:10 797.676 IMT1F9.xml
31.07.2005 20:10 426 IMT1F8.xml
31.07.2005 20:10 2.036 IMT1F7.xml
31.07.2005 20:08 797.676 IMT1F5.xml
31.07.2005 20:08 426 IMT1F4.xml
31.07.2005 20:08 2.036 IMT1F3.xml
31.07.2005 20:06 797.676 IMT1EE.xml
31.07.2005 20:06 426 IMT1ED.xml
31.07.2005 20:06 2.036 IMT1EC.xml
26.07.2005 13:18 0 att1DA.tmp
26.07.2005 13:18 0 att1D9.tmp
20.07.2005 10:03 558 WCESCOMM.LOG
11.07.2005 13:11 3.088 h2r1D0.tmp
10.07.2005 20:29 271.360 ~WRS2175.tmp
10.07.2005 17:32 69 ~WRD2022.doc
10.07.2005 16:33 16.384 ~WRF0883.tmp
08.07.2005 17:25 2.559 VGX1DB.tmp
08.07.2005 17:25 2.394 VGX1DA.tmp
07.07.2005 15:17 14.717 btwinlog.txt
07.07.2005 15:05 0 gsi2.tmp
07.07.2005 13:54 32.847 ICQRT.dll
04.07.2005 21:04 155.968 4d57_appcompat.txt
04.07.2005 20:53 16.384 ~WRF2148.tmp
04.07.2005 20:49 0 Acr1D7.tmp
04.07.2005 20:49 0 Acr1D5.tmp
04.07.2005 20:49 0 Acr1CC.tmp
04.07.2005 20:48 0 Acr1CB.tmp
04.07.2005 20:47 0 Acr1C9.tmp
04.07.2005 20:46 0 Acr1C5.tmp
04.07.2005 18:00 797.676 IMT1C4.xml
04.07.2005 18:00 426 IMT1C3.xml
04.07.2005 18:00 2.036 IMT1C2.xml
04.07.2005 17:36 797.676 IMT1BE.xml
04.07.2005 17:36 426 IMT1BD.xml
04.07.2005 17:36 2.036 IMT1BC.xml
04.07.2005 17:35 797.676 IMT1AD.xml
04.07.2005 17:35 426 IMT1AC.xml
04.07.2005 17:35 2.036 IMT1AB.xml
01.07.2005 18:04 512 FIN38D.tmp
01.07.2005 18:04 132 FIN387.tmp
01.07.2005 18:04 132 FIN383.tmp
01.07.2005 18:04 512 FIN37E.tmp
01.07.2005 18:04 512 FIN389.tmp
01.07.2005 18:04 128 FIN37B.tmp
01.07.2005 18:04 512 FIN38C.tmp
01.07.2005 18:04 512 FIN384.tmp
01.07.2005 18:04 130 FIN377.tmp
01.07.2005 18:04 512 FIN37A.tmp
01.07.2005 16:23 1.878 FIN332.tmp
01.07.2005 15:52 13.552 temp.mnd
01.07.2005 15:36 128 FIN323.tmp
01.07.2005 15:36 512 FIN326.tmp
01.07.2005 15:36 136 FIN310.tmp
01.07.2005 15:36 512 FIN321.tmp
01.07.2005 15:27 16.384 ~DF409F.tmp

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 706A-702F

Verzeichnis von C:\WINDOWS\system32

28.09.2005 12:23 29.204 nvapps.xml
27.09.2005 18:10 2 cmd.com
27.09.2005 18:10 2 regedit.com
27.09.2005 18:10 2 taskkill.com
27.09.2005 18:10 2 tasklist.com
27.09.2005 18:10 2 tracert.com
27.09.2005 18:10 2 ping.com
27.09.2005 18:10 2 netstat.com
26.09.2005 20:25 62.464 bszip.dll
21.09.2005 16:10 3.534 jupdate-1.5.0_03-b07.log
19.09.2005 23:22 1.158 wpa.dbl
09.09.2005 05:08 2.006.368 MRT.exe
28.08.2005 17:47 9.680 vgl.log
25.08.2005 12:00 233.472 wrap_oal.dll
25.08.2005 12:00 81.920 OpenAL32.dll
25.08.2005 11:58 380.350 perfh009.dat
25.08.2005 11:58 52.764 perfc009.dat
25.08.2005 11:58 391.000 perfh007.dat
25.08.2005 11:58 63.580 perfc007.dat
25.08.2005 11:58 871.848 PerfStringBackup.INI
25.08.2005 11:51 197.120 PlayStation_de_CH.scr
25.08.2005 11:44 172.032 cncs32.dll
21.08.2005 15:49 48.160 Status.MPF
02.08.2005 16:35 3.908.864 nv4_disp.dll
02.08.2005 16:35 442.368 nvappbar.exe
02.08.2005 16:35 393.216 keystone.exe
02.08.2005 16:35 32.768 nvcod.dll
02.08.2005 16:35 32.768 nvcodins.dll
02.08.2005 16:35 7.110.656 nvcpl.dll
02.08.2005 16:35 14.757 nvdisp.nvu
02.08.2005 16:35 1.339.392 nvdspsch.exe
02.08.2005 16:35 540.672 nvhwvid.dll
02.08.2005 16:35 147.456 nvcolor.exe
02.08.2005 16:35 1.466.368 nview.dll
02.08.2005 16:35 86.016 nvmctray.dll
02.08.2005 16:35 286.720 nvnt4cpl.dll
02.08.2005 16:35 5.140.480 nvoglnt.dll
02.08.2005 16:35 466.944 nvshell.dll
02.08.2005 16:35 127.043 nvsvc32.exe
02.08.2005 16:35 1.519.616 nwiz.exe
02.08.2005 16:35 1.019.904 nvwimg.dll
02.08.2005 16:35 1.662.976 nvwdmcpl.dll
02.08.2005 16:35 81.920 nvwddi.dll
02.08.2005 16:35 176.128 nvudisp.exe
02.08.2005 16:35 73.728 nvtuicpl.cpl
23.07.2005 19:50 512.000 screenSaver_002_Lo.scr
20.07.2005 04:04 3.012.096 mshtml.dll
13.07.2005 16:55 4.008 3D Waterfall Screensaver.html
13.07.2005 16:55 9.322.496 3D Waterfall Screensaver.scr
08.07.2005 18:28 249.344 tapisrv.dll
08.07.2005 18:28 76.800 remotesp.tsp
07.07.2005 14:02 306.808 FNTCACHE.DAT
03.07.2005 04:15 1.484.288 shdocvw.dll
03.07.2005 04:15 605.696 urlmon.dll
03.07.2005 04:15 664.064 wininet.dll
03.07.2005 04:15 474.112 shlwapi.dll
03.07.2005 04:15 146.432 msrating.dll
03.07.2005 04:15 448.512 mshtmled.dll
03.07.2005 04:15 39.424 pngfilt.dll
03.07.2005 04:15 96.768 inseng.dll
03.07.2005 04:15 152.064 cdfview.dll
03.07.2005 04:15 1.019.904 browseui.dll
03.07.2005 04:15 251.392 iepeers.dll
Seitenanfang Seitenende
28.09.2005, 13:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#60 Hallo@Obvision

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O4 - HKLM\..\Run: [ms-update] scvhost.exe
O4 - HKLM\..\RunServices: [ms-update] scvhost.exe

PC neustarten

CCleaner (loesche alle temp-Dateien)
http://virus-protect.org/temp.html

KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:

C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\wmplayer.exe
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\bszip.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

Desinfektion von W32/Agobot
Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen)
http://bilder.informationsarchiv.net/Nikitas_Tools/agobtgui.com

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

Onlinescan Kaspersky (berichte)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1234567