Home » Viren, Trojaner & Malware Forum » Wir Lösche ich Worm Alcra.B? » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3 4 5 6 Letzte Seite

Antworten

Wir Lösche ich Worm Alcra.B?

Thema ist geschlossen!

04.12.2005, 20:14

Sabina

Ehrenmitglied

Beiträge: 29434

#31 Rosile

start-->Ausfuehren--> cmd reinschreiben

schreibe oder kopiere in das Fenster:

shutdown -i

W32.Sasser Removal Tool
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html

scanne und poste die Scanreporte
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

04.12.2005, 21:02

Rosile

...neu hier

Beiträge: 2

#32 Hallo,

Danke für den Tip mit dem Removal Tool. Hat funktioniert! Hurra. Jetzt ist ein Tag mit lsass vorbei, aber der PC läuft wieder!

Ciao Rosi

04.12.2005, 21:38

xpq101

Member

Beiträge: 15

#33 so hier ist nun endlich der kaspersky report:

es ist immer noch nicht alles weg. die backdoor datei macht so wie ich dat sehe ärger.

Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target Critical Areas
C:\WINDOWS
C:\DOKUME~1\Ingo\LOKALE~1\Temp\
Scan Statistics
Total number of scanned objects 9633
Number of viruses found 1
Number of infected objects 2
Number of suspicious objects 0
Duration of the scan process 499 sec

Infected Object Name Virus Name
C:\WINDOWS\system32\bnmsrv.exe Infected: Backdoor.Win32.Agent.qs
C:\WINDOWS\system32\RpcxSs.dll Infected: Backdoor.Win32.Agent.qs
Scan process completed.

WIE NUN WEITER? ALLES NOCH MAL VON VORNE ODER ANDRES???

Dieser Beitrag wurde am 04.12.2005 um 23:22 Uhr von xpq101 editiert.

05.12.2005, 01:15

Sabina

Ehrenmitglied

Beiträge: 29434

#34 xpq101

es waere besser gewesen, du hattest das hier abgearbeitet:
dann haette ich gesehen, welcher Virenscanner das erkennt und loescht....
nun, auf den kaspersky kann man sich immer noch verlassen

Zitat

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\bxproxy.exe
C:\WINDOWS\system32\RpcxSs.dll
C:\WINDOWS\system32\bnmsrv.exe

loesche mit der killbox
C:\WINDOWS\system32\bnmsrv.exe
C:\WINDOWS\system32\RpcxSs.dll

scanne und poste den scanbericht
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

05.12.2005, 10:19

xpq101

Member

Beiträge: 15

#35 So ich habe mit Dr Web gescannt, nur kann ich den scannbericht nicht kopieren und somit auch nicht posten. da gibt es bei dr web keine option für.haste eine idee wie ich das doch posten kann.

C: Infizierte objekte: 42
Gelöscht: 42

D: Infizierte Objekte: 1
Geläscht: 1

Verdächtige Objekte: 2
Umbenannt: 2

-----------------------------
ich denke das du die komplette auswertung benötigst, nur wie kopiere ich diese?

ansonsten ist mein system schon WESENTLICH besser :-)
Nur ist es das jetzt gewesen oder ist da vielleicht noch mehr?

MFG xpq101

Dieser Beitrag wurde am 05.12.2005 um 10:34 Uhr von xpq101 editiert.

05.12.2005, 12:02

Sabina

Ehrenmitglied

Beiträge: 29434

#36 auf der Seite findest du unten einen Scanbericht
http://virus-protect.org/cureit.html
klicke dich mal durch, bis er erscheint.

wenn du es nicht findest, muss ich das Tool noch mal laden und genau erklaeren, was man anklicken muss, um an den Bericht zu kommen, denn es gibt ihn

__________
MfG Sabina

rund um die PC-Sicherheit

05.12.2005, 13:04

xpq101

Member

Beiträge: 15

#37 so leider musste ich meinen rechner neu hochfahren und da waren die daten weg. habe dr web neu durchlaufen gelassen und die 42 infitierten objekte wurden nicht mehr gefunden!
Nur die beiden backdoor datein auf D: hat er noch gefunden.
wie ich sie kopieren kann ist mir allerdings immer noch ein rätzel.
schreibe sie dir:
Objekt:
A0138317.#bf

Pfad:
D:\SystemVolumeInformation\_restore(48445DD6-3C5A-4FA6-A01E-AC43452D5DFE)\RP111

Status:
möglicherweise BACHDOOR.Trojan

Aktion:
Unbekannt

das ganze hat er 2 mal gefunden (dateien identisch). unter C. hat er nichts mehr gefunden "freu"!

war es das oder muss die Backdoor datei auch noch weg???

MFG xpq101

05.12.2005, 13:56

Sabina

Ehrenmitglied

Beiträge: 29434

#38 Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

boote den PC und dann aktiviere sie wieder
__________
MfG Sabina

rund um die PC-Sicherheit

05.12.2005, 15:19

Sabina

Ehrenmitglied

Beiträge: 29434

#39 dann kopiere hier das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

05.12.2005, 17:29

Jaft

...neu hier

Beiträge: 1

#40 Ich habe ebenfalls diesern WORM/Alcra.B
Habe ein Log mit HijackThis gemacht.
Wäre nett,wenn mir jemand helfen könnte!

Logfile of HijackThis v1.99.1
Scan saved at 17:24:39, on 05.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
E:\Pr0gz\TuneUp Utilities 2006\WinStylerThemeSvc.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\system32\ctfmon.exe
E:\Pr0gz\Sicherheit\AVWUPSRV.EXE
E:\Pr0gz\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Pr0gz\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\WINDOWS\System32\alg.exe
E:\Pr0gz\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
E:\Pr0gz\Opera\Opera.exe
E:\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Pr0gz\AdobeReader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Pr0gz\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - E:\Pr0gz\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "D:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVSCHED32] E:\Pr0gz\Sicherheit\AVSched32.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AVWIN.EXE] E:\Pr0gz\Sicherheit\AVWIN.EXE
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Pr0gz\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Pr0gz\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Pr0gz\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Pr0gz\Hello\PicasaCapture.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Pr0gz\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Pr0gz\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E543F240-4674-4780-9C54-74B8B96C5612}: NameServer = 217.237.149.161 217.237.150.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\PR0GZ\SICHERHEIT\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Pr0gz\Sicherheit\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - E:\Pr0gz\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Pr0gz\TuneUp Utilities 2006\WinStylerThemeSvc.exe

05.12.2005, 19:51

xpq101

Member

Beiträge: 15

#41 ok hier die log auswertung von silentrunners:
& was sagt dir der log? alles gut?
ansonsten läuft die kiste wieder super!
mich würde mal interessieren welche art von scanner, etc.. du empfehlen kannst? habe w-lan (was du ja eh schon weißt ;-)), benutze derzeit antvi-classic (läuft im hintergrund) und wende hin und wieder spy-bot und ad-adware an.

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NBJ" = ""D:\Programme\Nero6.6\Nero BackItUp\nbj.exe"" ["Ahead Software AG"]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"" [file not found]
"LDM" = "\Program\BackWeb-8876480.exe" [file not found]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"UpdReg" = "C:\WINDOWS\Updreg.exe" ["Creative Technology Ltd."]
"Jet Detection" = "C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [empty string]
"PRISMSVR.EXE" = ""C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY" ["Conexant Systems, Inc."]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe" ["HP"]
"CloneCDElbyCDFL" = ""C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" [file not found]
"CloneCDTray" = ""C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"" ["Elaborate Bytes AG"]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc."]
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"mmtask" = "c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe" [file not found]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = "Yahoo! Companion BHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" [file not found]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Real Player\rpshell.dll" ["RealNetworks, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Ingo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Startup items in "Ingo" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Gigaset WLAN Adapter Monitor" -> shortcut to: "C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe" [empty string]
"Logitech Desktop Messenger" -> shortcut to: "C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe /start" ["Logitech"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" [file not found]

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Companion" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Companion" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" ["Yahoo! Inc."]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" [file not found]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}\
"ButtonText" = "eBay - Homepage"
"CLSIDExtension" = "{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\shdocvw.dll" [MS]
"Exec" = "C:\Programme\IrfanView\Ebay\Ebay.htm" [null data]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["H+BEDV Datentechnik GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["H+BEDV Datentechnik GmbH"]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 132 seconds, including 9 seconds for message boxes)

Dieser Beitrag wurde am 05.12.2005 um 22:47 Uhr von xpq101 editiert.

06.12.2005, 12:12

Sabina

Ehrenmitglied

Beiträge: 29434

#42 xpq101

das Log vom Silentrunner ist sauber...es scheint , dass alles in Ordnung ist.
scanne noch mal mit kaspersky und berichte

http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

06.12.2005, 12:14

Sabina

Ehrenmitglied

Beiträge: 29434

#43 Jaft

Loesche: mit der Killbox http://virus-protect.org/killbox.html

C:\Windows\System32\cmd.com
C:\Windows\System32\bszip.dll
C:\Windows\System32\netstat.com
C:\Windows\System32\ping.com
C:\Windows\System32\regedit.com
C:\Windows\System32\taskkill.com
C:\Windows\System32\tasklist.com
C:\Windows\System32\tracert.com

scanne mit Ewido - Virenscanner http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

06.12.2005, 12:38

xpq101

Member

Beiträge: 15

#44 Sabina, meine kiste ist dank deiner anleitung wieder sauber!!!! 1000 Dank und wenn ich mal wieder ein problem habe, so werde ich mich melden - ihr seid sau gut!!!
Kannst du mir vielleicht noch einen zukünftlichen rat zum schutz geben?
habe w-lan und antivir läuft im hintergrund, ad-adware und spybot wende ich hin und wieder mal an. ist es vielleicht besser kaspersky im hintergruud laufen zu lassen
oder benötige ich wegen der w-lan sache überhaupt so ein programm im hintergrund wegen des w-lan?

KASPERSKY ON-LINE SCANNER REPORT:

KASPERSKY ON-LINE SCANNER REPORT
Tuesday, December 06, 2005 12:39:33
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 6/12/2005
Kaspersky Anti-Virus database records: 153684
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOKUME~1\Ingo\LOKALE~1\Temp\

Scan Statistics:
Total number of scanned objects: 9623
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 536 sec
No malware has been detected. The sections that have been scanned are CLEAN.

Scan process completed.

MFG xpq101

06.12.2005, 12:45

Sabina

Ehrenmitglied

Beiträge: 29434

#45 xpq101

der beste Schutz

Eingeschränktes Benutzerkonto/Administratorrechte unter Windows
http://virus-protect.org/administrator.html

Alles Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

»
»
»
» Probleme mit WORM/Eyeveg.m.5.A und WORM/Alcra.B
»

Seite(n): 1 2 3 4 5 6 Letzte Seite