Ich hab ein Wurm (worm/alcra.b)!

Thema ist geschlossen!
Thema ist geschlossen!
#0
21.09.2005, 16:08
...neu hier

Beiträge: 7
#1 Hallo Leute!

Ein Freund hat mir die Seite geschickt und gemeint, hier werde ich geholfen. Ich hab ein Wurm (Worm/Alcra.B) und ich würde ihn gerne löschen. Kann ich es überhaupt löschen? Ich bitte um Hilfe!

Mit freundlichen Grüßen,

bRn
Seitenanfang Seitenende
21.09.2005, 18:25
Member
Avatar Gool

Beiträge: 4730
#2 Bitte fertige zunächst ein HJT-Log an:
http://virus-protect.org/hjtkurz.html
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
21.09.2005, 21:53
...neu hier

Themenstarter

Beiträge: 7
#3 Hier bitte!:]













Logfile of HijackThis v1.99.1
Scan saved at 21:55:43, on 21.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\AVGUARD.EXE
E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
E:\Programme\Alwil Software\Avast4\ashServ.exe
E:\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Programme\Valve\Steam\Steam.exe
E:\Programme\Ventrilo\Ventrilo.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\iRiceN\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe
C:\WINDOWS\SYSTEM32\NET.exe
C:\WINDOWS\SYSTEM32\NET.exe
C:\WINDOWS\SYSTEM32\net1.exe
C:\WINDOWS\SYSTEM32\net1.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Seitenanfang Seitenende
22.09.2005, 02:24
Member
Avatar Gool

Beiträge: 4730
#4 Oh, das sieht aber nicht vollständig aus. Mir fehlen da wichtige Informationen (Autostart, BHOs etc.).

Ich würde aber schon mal einen der Virenscanner deinstallieren. Man soll nur einen nutzen!
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
22.09.2005, 16:14
...neu hier

Beiträge: 2
#5 hallo zämä i ha äbä o dr virus Alcra.B chönnt mä mir häufä
hiä isch z HJT-Log

Logfile of HijackThis v1.99.1
Scan saved at 16:02:52, on 22.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\hgqnnss.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Kazaa Lite\clean.kmd
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Scaleo\Desktop\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\10.bin\MWSSRCAS.DLL
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\10.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\11.bin\MWSBAR.DLL (file missing)
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll
O2 - BHO: ts - {4006DCA3-433D-4FC8-AC36-42DA7797DCB7} - C:\WINDOWS\system32\bho.dll
O2 - BHO: PicShow Class - {4487598C-2EC7-43A2-870E-6D8D720FDD9F} - C:\WINDOWS\system32\pkshpwgw.dll (file missing)
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\system32\winb2s32.dll (file missing)
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\system32\winb2s32.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [gowuur] C:\WINDOWS\system32\hgqnnss.exe r
O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe
O4 - HKLM\..\RunOnce: [NSIS.Library.RegTool.v2] "C:\WINDOWS\system32\NSIS.Library.RegTool.v2.exe" /S
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\11.bin\MWSOEMON.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\11.bin\MWSOEMON.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/MyMailNotifierFWBInitialSetup1.0.0.15.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124039896718
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
22.09.2005, 17:06
Member
Avatar Gool

Beiträge: 4730
#6

Zitat

hallo zämä i ha äbä o dr virus Alcra.B chönnt mä mir häufä
hiä isch z HJT-Log
Aber nur, wenn Du auch Hochdeutsch sprichst. Schweizerisch (oder was auch immer das ist) kann ich nicht.

Deinstalliere Bearshare!

Zitat

ABIremover.zip (57,2 KB)--> laden, noch nicht anwenden
Downloade den Remover (angehängt) und speichere ihn auf deinem Desktop

Hier der Link zu ABIRemove
http://andymanchesta.com/Downloads/ABIremover.zip
http://forum.hijackthis.de/showthread.php?t=3172

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html
Fixe im HJT (Häkchen setzen und "fix checked" klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\10.bin\MWSSRCAS.DLL
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\11.bin\MWSBAR.DLL (file missing)
O2 - BHO: ts - {4006DCA3-433D-4FC8-AC36-42DA7797DCB7} - C:\WINDOWS\system32\bho.dll
O2 - BHO: PicShow Class - {4487598C-2EC7-43A2-870E-6D8D720FDD9F} - C:\WINDOWS\system32\pkshpwgw.dll (file missing)
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\system32\winb2s32.dll (file missing)
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\system32\winb2s32.dll (file missing)
O4 - HKLM\..\Run: [gowuur] C:\WINDOWS\system32\hgqnnss.exe r
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\11.bin\MWSOEMON.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\11.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/MyMailNotifierFWBInitialSetup1.0.0.15.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Lade Killbox und halte Dich genau an die Anweisungen auf folgender Seite:
http://managor.de/security_5.htm

Die zu löschenden Dateien sind
C:\WINDOWS\system32\hgqnnss.exe
C:\WINDOWS\system32\winb2s32.dll
C:\WINDOWS\system32\pkshpwgw.dll
C:\WINDOWS\Nail.exe
C:\WINDOWS\system32\bho.dll
C:\WINDOWS\svcproc.exe

Füge ebenfalls folgende Verzeichnisse hinzu und aktiviere dann zusätzlich die Option "Deltree (including subdirectories)":

C:\Programme\Gemeinsame Dateien\BOONTY Shared
C:\Programme\MyWebSearch
C:\Programme\Gemeinsame Dateien\GMT

Der PC wird dann neugestartet.

Zitat

FindIts.zip
(Nail.exe/Software-aurora /Sahagent)
http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip
Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages] DOS öffnet sich -- warte den Scan ab -- es öffnet sich der Texteditor -- und poste den Text von output.txt.

__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
22.09.2005, 17:22
...neu hier

Beiträge: 2
#7 danke vielmals

gruss lukas
Seitenanfang Seitenende
22.09.2005, 18:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@Managor ;)

bei Worm/Alcra.B sollte man auch die datfindbat anfordern :;)

Worm/Alcra.B
http://virus-protect.org/artikel/spyware/alcrab.html

Zitat

C:\Program Files\winupdates\a.zip
C:\Programme\winupdates\a.zip/Setup.exe
C\Windows\System32\cmd.com
C\Windows\System32\bszip.dll
C\Windows\System32\netstat.com
C\Windows\System32\ping.com
C\Windows\System32\regedit.com
C\Windows\System32\taskkill.com
C\Windows\System32\tasklist.com
C\Windows\System32\tracert.com
und mit ewido scannen ;)

und
023 - Service: System Startup Service (SvcProc)
muss in der Registry geloescht werden....


•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

SvcProc

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2005, 15:48
...neu hier

Themenstarter

Beiträge: 7
#9 Oh, ich hab das schon wieder vergessen=/


Logfile of HijackThis v1.99.1
Scan saved at 15:51:20, on 23.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Programme\Valve\Steam\Steam.exe
C:\WINDOWS\explorer.exe
E:\Programme\Ventrilo\Ventrilo.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\iRiceN\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis_199.zip\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\iRiceN\LOKALE~1\Temp\delus.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe




stimmt es jetzt?
Seitenanfang Seitenende
23.09.2005, 16:06
Member
Avatar Gool

Beiträge: 4730
#10 Hallo Bryan,

was mich etwas verwundert: Das HJT-Log ist extrem kurz und ist mE so nicht vollständig. Möglich, dass ich mich irre, Sabina sollte etwas dazu sagen.

O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\iRiceN\LOKALE~1\Temp\delus.exe

Das ist der einzige Eintrag, der auf der Basis dessen, was DU jetzt gepostet hast, gefixt werden sollte.

Führe bitte folgende Schritte aus:
http://virus-protect.org/datfindbat.html
Poste uns aus den daraus resultierenden Log-Dateien die Einträge der letzten 3 Wochen (vor jedem Eintrag steht ein Datum) jeweils mit der Pfadangabe (ist ganz oben im Log).

Scanne mit Ewido: http://virus-protect.org/ewido.html und poste den Report.

Zitat

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs
reinkopieren:
SvcProc
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren
Alles weitere muss dann ein anderer resp. Sabina übernehmen, da ich für ein paar Tage weg bin ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
23.09.2005, 17:48
...neu hier

Themenstarter

Beiträge: 7
#11 Hallo Managor!

Ich weiß nicht warum das so ist, aber ich hab es halt nochmal gemacht!



Logfile of HijackThis v1.99.1
Scan saved at 17:40:59, on 23.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Programme\Valve\Steam\Steam.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\DOKUME~1\iRiceN\LOKALE~1\Temp\Temporäres Verzeichnis 7 für hijackthis_199.zip\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe




Jetzt sollte es stimmen, ich hab sowohl auch das "O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\iRiceN\LOKALE~1\Temp\delus.exe" gefixt!

Und da sind jetzt die "DatFind.bat" Dateien.


Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 703E-0951

Verzeichnis von C:\WINDOWS\system32

23.09.2005 14:02 26.682 nvapps.xml
21.09.2005 17:11 3.002 CONFIG.NT
21.09.2005 16:54 0 asfiles.txt
21.09.2005 16:50 2.550 Uninstall.ico
21.09.2005 16:50 1.406 Help.ico
21.09.2005 16:50 1.718 Open.ico
21.09.2005 16:50 5.350 IE.ico
21.09.2005 16:50 9.470 Desktop.ico
21.09.2005 16:50 1.718 Quick.ico
20.09.2005 10:19 2.206 wpa.dbl
09.09.2005 05:08 2.006.368 MRT.exe
31.08.2005 23:54 102.232 FNTCACHE.DAT
29.07.2005 21:07 73.728 asuninst.exe
29.07.2005 21:01 50.912 Status.MPF
26.07.2005 16:19 1.140 qtplugin.log
20.07.2005 04:04 3.012.096 mshtml.dll
09.07.2005 11:03 433.152 aswBoot.exe
09.07.2005 10:56 90.112 AVASTSS.scr
08.07.2005 18:28 249.344 tapisrv.dll
08.07.2005 18:28 76.800 remotesp.tsp
03.07.2005 04:49 264 winsusrm.dll




Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 703E-0951

Verzeichnis von C:\DOKUME~1\iRiceN\LOKALE~1\Temp

23.09.2005 15:50 399 delus.ini
23.09.2005 14:56 35.574 TFRC5.tmp
23.09.2005 12:29 16.384 ~DF2CF2.tmp
23.09.2005 12:29 21.176 nordstrom.bmp
22.09.2005 15:14 8.514 WcesView.log
21.09.2005 21:24 59.964 Adobelm_Cleanup.0001
21.09.2005 21:24 896 TWAIN.LOG
21.09.2005 21:24 3 Twain001.Mtx
21.09.2005 21:24 156 Twunk001.MTX
21.09.2005 16:45 16.384 ~DF4DDA.tmp
21.09.2005 16:14 798.234 IMT29.xml
21.09.2005 16:14 426 IMT28.xml
21.09.2005 16:14 2.036 IMT27.xml
21.09.2005 16:01 798.234 IMT23.xml
21.09.2005 16:01 426 IMT22.xml
21.09.2005 16:01 2.036 IMT21.xml
21.09.2005 15:45 0 MahB.tmp
21.09.2005 11:17 16.384 ~DF2312.tmp
20.09.2005 17:04 21.176 chickenlittle.bmp
20.09.2005 17:04 21.176 surface.bmp
20.09.2005 17:04 21.176 soccer.bmp




Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 703E-0951

Verzeichnis von C:\WINDOWS

23.09.2005 14:03 2.094.181 WindowsUpdate.log
23.09.2005 14:03 159 wiadebug.log
23.09.2005 14:03 0 0.log
23.09.2005 14:03 50 wiaservc.log
23.09.2005 14:02 2.048 bootstat.dat
23.09.2005 12:43 32.484 SchedLgU.Txt
21.09.2005 17:49 502 ODBC.INI
21.09.2005 17:01 135.973 setupapi.log
21.09.2005 16:52 674 win.ini
21.09.2005 14:23 27.510 yacs.log
20.09.2005 21:05 178.511 setupact.log
20.09.2005 16:20 16.230 wmsetup.log
08.09.2005 18:41 21.328 EventSystem.log
30.08.2005 19:59 4.082 DirectX.log
28.08.2005 12:56 1.905 GatorPdpLoudInstaller.log
13.08.2005 06:26 192 winamp.ini
12.08.2005 19:39 449.055 iis6.log
12.08.2005 19:39 124.115 comsetup.log
12.08.2005 19:39 75.060 ntdtcsetup.log
12.08.2005 19:39 1.374 imsins.log
12.08.2005 19:39 17.569 ocmsn.log




Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 703E-0951

Verzeichnis von C:\

23.09.2005 17:48 0 sys.txt
23.09.2005 17:47 8.505 system.txt
23.09.2005 17:46 30.396 systemtemp.txt
23.09.2005 17:45 98.472 system32.txt
23.09.2005 14:02 267.964.416 hiberfil.sys
23.09.2005 14:02 402.653.184 pagefile.sys
22.09.2005 19:12 289 hpfr5550.log
22.09.2005 15:56 1.238 sti.log
26.04.2005 00:03 211 boot.ini
25.04.2005 23:49 47.564 NTDETECT.COM
25.04.2005 23:49 251.184 ntldr
25.04.2005 20:44 0 IO.SYS
25.04.2005 20:44 0 MSDOS.SYS
25.04.2005 20:44 0 AUTOEXEC.BAT
25.04.2005 20:44 0 CONFIG.SYS
18.08.2001 14:00 4.952 bootfont.bin
16 Datei(en) 671.060.411 Bytes
0 Verzeichnis(se), 21.029.314.560 Bytes frei




Das war alles oder? Jetzt ist das DOS-Fenster nicht mehr geöffnet! Ich hoffe ich hab alles richtig gemacht!

mfg

Bryan
Seitenanfang Seitenende
23.09.2005, 18:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo@Bryan

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\winsusrm.dll

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

loesche:
C:\WINDOWS\GatorPdpLoudInstaller.log

scanne mit ewido und poste den scanreport ;)
http://virus-protect.org/virusprotect/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2005, 18:51
...neu hier

Themenstarter

Beiträge: 7
#13 Hallo!

Da ist das scan report, von ewido!


---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 18:31:14, 23.09.2005
+ Report-Checksumme: 1CF1B8F4

+ Scanergebnis:

C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@ad.adition[2].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@com[2].txt -> Spyware.Cookie.Com : Gesäubert mit Backup
C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@image.masterstats[1].txt -> Spyware.Cookie.Masterstats : Gesäubert mit Backup
C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@microsofteup.112.2o7[2].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@oewabox[1].txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@srv1.ad.adition[1].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
C:\Programme\winupdates\a.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup


::Report Ende


Wurde alles gelöscht?








Da ist das Ergebniss von deiner seite Sabina,




Antivirus Version Update Result
AntiVir 6.32.0.6 09.23.2005 no virus found
Avast 4.6.695.0 09.23.2005 no virus found
AVG 718 09.23.2005 no virus found
Avira 6.32.0.6 09.23.2005 no virus found
BitDefender 7.2 09.23.2005 no virus found
CAT-QuickHeal 8.00 09.22.2005 no virus found
ClamAV devel-20050917 09.22.2005 no virus found
DrWeb 4.32b 09.23.2005 no virus found
eTrust-Iris 7.1.194.0 09.23.2005 no virus found
eTrust-Vet 11.9.1.0 09.23.2005 no virus found
F-Prot 3.16c 09.23.2005 no virus found
Ikarus 0.2.59.0 09.23.2005 no virus found
Kaspersky 4.0.2.24 09.23.2005 no virus found
McAfee 4589 09.23.2005 no virus found
NOD32v2 1.1230 09.22.2005 no virus found
Norman 5.70.10 09.23.2005 no virus found
Panda 8.02.00 09.23.2005 no virus found
Sophos 3.98.0 09.23.2005 no virus found
Symantec 8.0 09.22.2005 no virus found
TheHacker 5.8.2.114 09.22.2005 no virus found
VBA32 3.10.4 09.21.2005 no virus found



VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español
--------------------------------------------------------------------------------
www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com


Ich hoffe es stimmt alles, was ich gemacht habe! Wenn nicht sagen bitte!:]

mfg,

Bryan
Seitenanfang Seitenende
23.09.2005, 19:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo@Bryan

nun muesste alles sauber sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2005, 20:06
...neu hier

Themenstarter

Beiträge: 7
#15 Hallo Sabina!

Echt? Kein Wurm mehr, gar nichts mehr? Alles paletti hier? *yeahhh* Juhuuu! I freu mich soo! Ich wollte schon formatieren! Zum Glück wurde alles gelöscht! Danke an alle! Sabina und Managor! Danke für alles!:] Jetzt weiß ich, wenn ich mal wieder Hilfe brauche, komme ich hier her!;)

mfg

Bryan
Seitenanfang Seitenende