Ich hab ein Wurm (worm/alcra.b)!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
21.09.2005, 16:08
...neu hier
Beiträge: 7 |
||
|
||
21.09.2005, 18:25
Member
Beiträge: 4730 |
#2
Bitte fertige zunächst ein HJT-Log an:
http://virus-protect.org/hjtkurz.html __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
21.09.2005, 21:53
...neu hier
Themenstarter Beiträge: 7 |
#3
Hier bitte!:]
Logfile of HijackThis v1.99.1 Scan saved at 21:55:43, on 21.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE E:\AVGUARD.EXE E:\Programme\Alwil Software\Avast4\aswUpdSv.exe E:\Programme\Alwil Software\Avast4\ashServ.exe E:\AVWUPSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\tlntsvr.exe C:\WINDOWS\System32\vssvc.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\dmadmin.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\cidaemon.exe D:\Programme\Valve\Steam\Steam.exe E:\Programme\Ventrilo\Ventrilo.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\iRiceN\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe C:\WINDOWS\SYSTEM32\NET.exe C:\WINDOWS\SYSTEM32\NET.exe C:\WINDOWS\SYSTEM32\net1.exe C:\WINDOWS\SYSTEM32\net1.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVGUARD.EXE O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
|
|
||
22.09.2005, 02:24
Member
Beiträge: 4730 |
#4
Oh, das sieht aber nicht vollständig aus. Mir fehlen da wichtige Informationen (Autostart, BHOs etc.).
Ich würde aber schon mal einen der Virenscanner deinstallieren. Man soll nur einen nutzen! __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
22.09.2005, 16:14
...neu hier
Beiträge: 2 |
#5
hallo zämä i ha äbä o dr virus Alcra.B chönnt mä mir häufä
hiä isch z HJT-Log Logfile of HijackThis v1.99.1 Scan saved at 16:02:52, on 22.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\hgqnnss.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Winamp\winampa.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Kazaa Lite\clean.kmd C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVWIN.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Scaleo\Desktop\Hijack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/ R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\10.bin\MWSSRCAS.DLL F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\10.bin\MWSSRCAS.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\11.bin\MWSBAR.DLL (file missing) O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll O2 - BHO: ts - {4006DCA3-433D-4FC8-AC36-42DA7797DCB7} - C:\WINDOWS\system32\bho.dll O2 - BHO: PicShow Class - {4487598C-2EC7-43A2-870E-6D8D720FDD9F} - C:\WINDOWS\system32\pkshpwgw.dll (file missing) O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\system32\winb2s32.dll (file missing) O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\system32\winb2s32.dll (file missing) O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [gowuur] C:\WINDOWS\system32\hgqnnss.exe r O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe O4 - HKLM\..\RunOnce: [NSIS.Library.RegTool.v2] "C:\WINDOWS\system32\NSIS.Library.RegTool.v2.exe" /S O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\11.bin\MWSOEMON.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\11.bin\MWSOEMON.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000 O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/MyMailNotifierFWBInitialSetup1.0.0.15.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124039896718 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
|
|
||
22.09.2005, 17:06
Member
Beiträge: 4730 |
#6
Zitat hallo zämä i ha äbä o dr virus Alcra.B chönnt mä mir häufäAber nur, wenn Du auch Hochdeutsch sprichst. Schweizerisch (oder was auch immer das ist) kann ich nicht. Deinstalliere Bearshare! Zitat ABIremover.zip (57,2 KB)--> laden, noch nicht anwendenFixe im HJT (Häkchen setzen und "fix checked" klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/ R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\10.bin\MWSSRCAS.DLL F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\11.bin\MWSBAR.DLL (file missing) O2 - BHO: ts - {4006DCA3-433D-4FC8-AC36-42DA7797DCB7} - C:\WINDOWS\system32\bho.dll O2 - BHO: PicShow Class - {4487598C-2EC7-43A2-870E-6D8D720FDD9F} - C:\WINDOWS\system32\pkshpwgw.dll (file missing) O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\system32\winb2s32.dll (file missing) O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\system32\winb2s32.dll (file missing) O4 - HKLM\..\Run: [gowuur] C:\WINDOWS\system32\hgqnnss.exe r O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\11.bin\MWSOEMON.EXE O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\11.bin\MWSOEMON.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000 O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/MyMailNotifierFWBInitialSetup1.0.0.15.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe Lade Killbox und halte Dich genau an die Anweisungen auf folgender Seite: http://managor.de/security_5.htm Die zu löschenden Dateien sind C:\WINDOWS\system32\hgqnnss.exe C:\WINDOWS\system32\winb2s32.dll C:\WINDOWS\system32\pkshpwgw.dll C:\WINDOWS\Nail.exe C:\WINDOWS\system32\bho.dll C:\WINDOWS\svcproc.exe Füge ebenfalls folgende Verzeichnisse hinzu und aktiviere dann zusätzlich die Option "Deltree (including subdirectories)": C:\Programme\Gemeinsame Dateien\BOONTY Shared C:\Programme\MyWebSearch C:\Programme\Gemeinsame Dateien\GMT Der PC wird dann neugestartet. Zitat FindIts.zip __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
22.09.2005, 17:22
...neu hier
Beiträge: 2 |
||
|
||
22.09.2005, 18:02
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@Managor
bei Worm/Alcra.B sollte man auch die datfindbat anfordern : Worm/Alcra.B http://virus-protect.org/artikel/spyware/alcrab.html Zitat C:\Program Files\winupdates\a.zipund mit ewido scannen und 023 - Service: System Startup Service (SvcProc) muss in der Registry geloescht werden.... •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: SvcProc Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Meldung (Symantec)-- warnmeldung:bösartiges skript entdeckt --> ignorieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.09.2005, 15:48
...neu hier
Themenstarter Beiträge: 7 |
#9
Oh, ich hab das schon wieder vergessen=/
Logfile of HijackThis v1.99.1 Scan saved at 15:51:20, on 23.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe E:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\tlntsvr.exe C:\WINDOWS\System32\vssvc.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\dmadmin.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\cidaemon.exe D:\Programme\Valve\Steam\Steam.exe C:\WINDOWS\explorer.exe E:\Programme\Ventrilo\Ventrilo.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\iRiceN\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis_199.zip\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\iRiceN\LOKALE~1\Temp\delus.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe stimmt es jetzt? |
|
|
||
23.09.2005, 16:06
Member
Beiträge: 4730 |
#10
Hallo Bryan,
was mich etwas verwundert: Das HJT-Log ist extrem kurz und ist mE so nicht vollständig. Möglich, dass ich mich irre, Sabina sollte etwas dazu sagen. O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\iRiceN\LOKALE~1\Temp\delus.exe Das ist der einzige Eintrag, der auf der Basis dessen, was DU jetzt gepostet hast, gefixt werden sollte. Führe bitte folgende Schritte aus: http://virus-protect.org/datfindbat.html Poste uns aus den daraus resultierenden Log-Dateien die Einträge der letzten 3 Wochen (vor jedem Eintrag steht ein Datum) jeweils mit der Pfadangabe (ist ganz oben im Log). Scanne mit Ewido: http://virus-protect.org/ewido.html und poste den Report. Zitat •Download Registry Search Tool :Alles weitere muss dann ein anderer resp. Sabina übernehmen, da ich für ein paar Tage weg bin __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
23.09.2005, 17:48
...neu hier
Themenstarter Beiträge: 7 |
#11
Hallo Managor!
Ich weiß nicht warum das so ist, aber ich hab es halt nochmal gemacht! Logfile of HijackThis v1.99.1 Scan saved at 17:40:59, on 23.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe E:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\tlntsvr.exe C:\WINDOWS\System32\vssvc.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\dmadmin.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\cidaemon.exe D:\Programme\Valve\Steam\Steam.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Windows Media Player\wmplayer.exe C:\DOKUME~1\iRiceN\LOKALE~1\Temp\Temporäres Verzeichnis 7 für hijackthis_199.zip\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Jetzt sollte es stimmen, ich hab sowohl auch das "O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\iRiceN\LOKALE~1\Temp\delus.exe" gefixt! Und da sind jetzt die "DatFind.bat" Dateien. Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 703E-0951 Verzeichnis von C:\WINDOWS\system32 23.09.2005 14:02 26.682 nvapps.xml 21.09.2005 17:11 3.002 CONFIG.NT 21.09.2005 16:54 0 asfiles.txt 21.09.2005 16:50 2.550 Uninstall.ico 21.09.2005 16:50 1.406 Help.ico 21.09.2005 16:50 1.718 Open.ico 21.09.2005 16:50 5.350 IE.ico 21.09.2005 16:50 9.470 Desktop.ico 21.09.2005 16:50 1.718 Quick.ico 20.09.2005 10:19 2.206 wpa.dbl 09.09.2005 05:08 2.006.368 MRT.exe 31.08.2005 23:54 102.232 FNTCACHE.DAT 29.07.2005 21:07 73.728 asuninst.exe 29.07.2005 21:01 50.912 Status.MPF 26.07.2005 16:19 1.140 qtplugin.log 20.07.2005 04:04 3.012.096 mshtml.dll 09.07.2005 11:03 433.152 aswBoot.exe 09.07.2005 10:56 90.112 AVASTSS.scr 08.07.2005 18:28 249.344 tapisrv.dll 08.07.2005 18:28 76.800 remotesp.tsp 03.07.2005 04:49 264 winsusrm.dll Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 703E-0951 Verzeichnis von C:\DOKUME~1\iRiceN\LOKALE~1\Temp 23.09.2005 15:50 399 delus.ini 23.09.2005 14:56 35.574 TFRC5.tmp 23.09.2005 12:29 16.384 ~DF2CF2.tmp 23.09.2005 12:29 21.176 nordstrom.bmp 22.09.2005 15:14 8.514 WcesView.log 21.09.2005 21:24 59.964 Adobelm_Cleanup.0001 21.09.2005 21:24 896 TWAIN.LOG 21.09.2005 21:24 3 Twain001.Mtx 21.09.2005 21:24 156 Twunk001.MTX 21.09.2005 16:45 16.384 ~DF4DDA.tmp 21.09.2005 16:14 798.234 IMT29.xml 21.09.2005 16:14 426 IMT28.xml 21.09.2005 16:14 2.036 IMT27.xml 21.09.2005 16:01 798.234 IMT23.xml 21.09.2005 16:01 426 IMT22.xml 21.09.2005 16:01 2.036 IMT21.xml 21.09.2005 15:45 0 MahB.tmp 21.09.2005 11:17 16.384 ~DF2312.tmp 20.09.2005 17:04 21.176 chickenlittle.bmp 20.09.2005 17:04 21.176 surface.bmp 20.09.2005 17:04 21.176 soccer.bmp Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 703E-0951 Verzeichnis von C:\WINDOWS 23.09.2005 14:03 2.094.181 WindowsUpdate.log 23.09.2005 14:03 159 wiadebug.log 23.09.2005 14:03 0 0.log 23.09.2005 14:03 50 wiaservc.log 23.09.2005 14:02 2.048 bootstat.dat 23.09.2005 12:43 32.484 SchedLgU.Txt 21.09.2005 17:49 502 ODBC.INI 21.09.2005 17:01 135.973 setupapi.log 21.09.2005 16:52 674 win.ini 21.09.2005 14:23 27.510 yacs.log 20.09.2005 21:05 178.511 setupact.log 20.09.2005 16:20 16.230 wmsetup.log 08.09.2005 18:41 21.328 EventSystem.log 30.08.2005 19:59 4.082 DirectX.log 28.08.2005 12:56 1.905 GatorPdpLoudInstaller.log 13.08.2005 06:26 192 winamp.ini 12.08.2005 19:39 449.055 iis6.log 12.08.2005 19:39 124.115 comsetup.log 12.08.2005 19:39 75.060 ntdtcsetup.log 12.08.2005 19:39 1.374 imsins.log 12.08.2005 19:39 17.569 ocmsn.log Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 703E-0951 Verzeichnis von C:\ 23.09.2005 17:48 0 sys.txt 23.09.2005 17:47 8.505 system.txt 23.09.2005 17:46 30.396 systemtemp.txt 23.09.2005 17:45 98.472 system32.txt 23.09.2005 14:02 267.964.416 hiberfil.sys 23.09.2005 14:02 402.653.184 pagefile.sys 22.09.2005 19:12 289 hpfr5550.log 22.09.2005 15:56 1.238 sti.log 26.04.2005 00:03 211 boot.ini 25.04.2005 23:49 47.564 NTDETECT.COM 25.04.2005 23:49 251.184 ntldr 25.04.2005 20:44 0 IO.SYS 25.04.2005 20:44 0 MSDOS.SYS 25.04.2005 20:44 0 AUTOEXEC.BAT 25.04.2005 20:44 0 CONFIG.SYS 18.08.2001 14:00 4.952 bootfont.bin 16 Datei(en) 671.060.411 Bytes 0 Verzeichnis(se), 21.029.314.560 Bytes frei Das war alles oder? Jetzt ist das DOS-Fenster nicht mehr geöffnet! Ich hoffe ich hab alles richtig gemacht! mfg Bryan |
|
|
||
23.09.2005, 18:01
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@Bryan
einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\winsusrm.dll Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten loesche: C:\WINDOWS\GatorPdpLoudInstaller.log scanne mit ewido und poste den scanreport http://virus-protect.org/virusprotect/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.09.2005, 18:51
...neu hier
Themenstarter Beiträge: 7 |
#13
Hallo!
Da ist das scan report, von ewido! --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 18:31:14, 23.09.2005 + Report-Checksumme: 1CF1B8F4 + Scanergebnis: C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@ad.adition[2].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@com[2].txt -> Spyware.Cookie.Com : Gesäubert mit Backup C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@image.masterstats[1].txt -> Spyware.Cookie.Masterstats : Gesäubert mit Backup C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@microsofteup.112.2o7[2].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@oewabox[1].txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup C:\Dokumente und Einstellungen\iRiceN\Cookies\iricen@srv1.ad.adition[1].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup C:\Programme\winupdates\a.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup ::Report Ende Wurde alles gelöscht? Da ist das Ergebniss von deiner seite Sabina, Antivirus Version Update Result AntiVir 6.32.0.6 09.23.2005 no virus found Avast 4.6.695.0 09.23.2005 no virus found AVG 718 09.23.2005 no virus found Avira 6.32.0.6 09.23.2005 no virus found BitDefender 7.2 09.23.2005 no virus found CAT-QuickHeal 8.00 09.22.2005 no virus found ClamAV devel-20050917 09.22.2005 no virus found DrWeb 4.32b 09.23.2005 no virus found eTrust-Iris 7.1.194.0 09.23.2005 no virus found eTrust-Vet 11.9.1.0 09.23.2005 no virus found F-Prot 3.16c 09.23.2005 no virus found Ikarus 0.2.59.0 09.23.2005 no virus found Kaspersky 4.0.2.24 09.23.2005 no virus found McAfee 4589 09.23.2005 no virus found NOD32v2 1.1230 09.22.2005 no virus found Norman 5.70.10 09.23.2005 no virus found Panda 8.02.00 09.23.2005 no virus found Sophos 3.98.0 09.23.2005 no virus found Symantec 8.0 09.22.2005 no virus found TheHacker 5.8.2.114 09.22.2005 no virus found VBA32 3.10.4 09.21.2005 no virus found VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español -------------------------------------------------------------------------------- www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com Ich hoffe es stimmt alles, was ich gemacht habe! Wenn nicht sagen bitte!:] mfg, Bryan |
|
|
||
23.09.2005, 19:56
Ehrenmitglied
Beiträge: 29434 |
||
|
||
23.09.2005, 20:06
...neu hier
Themenstarter Beiträge: 7 |
#15
Hallo Sabina!
Echt? Kein Wurm mehr, gar nichts mehr? Alles paletti hier? *yeahhh* Juhuuu! I freu mich soo! Ich wollte schon formatieren! Zum Glück wurde alles gelöscht! Danke an alle! Sabina und Managor! Danke für alles!:] Jetzt weiß ich, wenn ich mal wieder Hilfe brauche, komme ich hier her! mfg Bryan |
|
|
||
Ein Freund hat mir die Seite geschickt und gemeint, hier werde ich geholfen. Ich hab ein Wurm (Worm/Alcra.B) und ich würde ihn gerne löschen. Kann ich es überhaupt löschen? Ich bitte um Hilfe!
Mit freundlichen Grüßen,
bRn