wie entferne ich alcra b wurm?

#0
18.10.2005, 22:56
...neu hier

Beiträge: 3
#1 hallo!!
habe gerade mit antivir den wurm entdeckt und hab keine ahnuung wie ich ihn wieder entfernen kann!!!!Bitte dringend um hilfe!!!
danke im voraus....

meine log datei (ich hoffe die stimmt so...)

Logfile of HijackThis v1.99.1
Scan saved at 22:59:21, on 18.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\wuauclt.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\magda\Eigene Dateien\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fm4.orf.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=10.146.1.21
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O4 - Global Startup: Picture Package Menu.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CC5A154-DA6D-4C12-9781-E3888ACC088F}: NameServer = 10.146.1.21
O17 - HKLM\System\CS2\Services\Tcpip\..\{1CC5A154-DA6D-4C12-9781-E3888ACC088F}: NameServer = 10.146.1.21
O17 - HKLM\System\CS3\Services\Tcpip\..\{1CC5A154-DA6D-4C12-9781-E3888ACC088F}: NameServer = 10.146.1.21
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
Seitenanfang Seitenende
19.10.2005, 17:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@shivaa

http://virus-protect.org/datfindbat.html
kopiere bitte hier die 4 logs
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.10.2005, 13:49
...neu hier

Themenstarter

Beiträge: 3
#3 Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 1035-75FA

Verzeichnis von C:\WINNT\system32

11.10.2005 20:03 65.536 QuickTimeVR.qtx
11.10.2005 20:03 49.152 QuickTime.qts
29.09.2005 23:20 16.384 Perflib_Perfdata_100.dat
16.09.2005 21:42 1.524 d3d8caps.dat
12.08.2005 17:37 21.840 SIntfNT.dll
12.08.2005 17:37 17.212 SIntf32.dll
12.08.2005 17:37 12.067 SIntf16.dll
05.08.2005 12:17 565.170 large.bnk
05.08.2005 12:17 278.528 livesnth.dll
05.08.2005 12:17 11.333 cf_lic.txt
31.07.2005 13:50 176.167 rmoc3260.dll
31.07.2005 13:49 5.632 pndx5032.dll
31.07.2005 13:49 6.656 pndx5016.dll
31.07.2005 13:49 278.528 pncrt.dll
30.07.2005 12:54 2 regedit.com
30.07.2005 12:54 2 taskkill.com
30.07.2005 12:54 2 tasklist.com
30.07.2005 12:54 2 cmd.com
30.07.2005 12:54 2 ping.com
30.07.2005 12:54 2 tracert.com
30.07.2005 12:54 2 netstat.com
22.06.2005 16:09 62.464 bszip.dll

13.06.2005 21:46 430.296 rtcrtp.dll
31.05.2005 10:20 79.432 GEARAspi.dll
27.03.2005 09:24 104.624 FNTCACHE.DAT
15.03.2005 20:46 2.870 jupdate-1.5.0_01-b08.log

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 1035-75FA

Verzeichnis von C:\DOKUME~1\magda\LOKALE~1\Temp

23.10.2005 13:53 100.887 jusched.log
17.10.2005 17:05 3.734 qtplugin.log
17.10.2005 17:05 1.053 QTInstallCode.log
17.10.2005 17:05 450.048 92fab.mst
17.10.2005 17:04 396.288 1733c.mst
17.10.2005 17:04 396.288 72eb4.mst
13.10.2005 18:07 764.928 1830a.mst
13.10.2005 18:07 764.928 15313b.mst
13.10.2005 17:42 16.384 ~DF4A20.tmp
13.10.2005 17:42 16.384 ~DF40EA.tmp
13.10.2005 17:25 10.134 dat9.tmp
13.10.2005 17:06 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}29717.html
12.10.2005 21:56 16.384 ~DFC48C.tmp
12.10.2005 21:56 16.384 ~DF98D5.tmp
08.10.2005 14:03 1.234 PortalApp.xml
07.10.2005 18:55 2.707 hpGeneral.ini
07.10.2005 18:55 685 hpStates.ini
07.10.2005 18:55 225.280 hpbswpnp.dll
07.10.2005 18:54 38 typicaltext.rtf
07.10.2005 18:54 59 installnotes.txt


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 1035-75FA

Verzeichnis von C:\WINNT

22.10.2005 18:43 32.594 SchedLgU.Txt
17.10.2005 17:24 431.217 setupapi.log
17.10.2005 17:04 121 GEARInstall.log
09.10.2005 22:29 2.548.376 ShellIconCache
08.10.2005 13:05 12.696 Windows Update.log
08.10.2005 12:50 242.760 Directx.log
07.10.2005 18:57 7.913 hpdj5700.ini
07.10.2005 18:57 74.304 hpdj5700.his
07.10.2005 18:54 414 hpbvspst.ini
07.10.2005 18:54 989 hpbvspst.his
26.09.2005 09:04 624 CDPlayer.INI
10.09.2005 17:07 4.096 d3dx.dat
23.08.2005 21:07 25 SIERRA.INI
23.08.2005 21:07 0 ˜
17.08.2005 12:38 3.254 mozver.dat
16.08.2005 14:50 0 nsreg.dat
16.08.2005 14:49 99.970 UninstallFirefox.exe
27.06.2005 17:59 501 win.ini

Verzeichnis von C:\

23.10.2005 14:03 0 sys.txt
23.10.2005 14:02 5.117 system.txt
23.10.2005 14:02 14.099 systemtemp.txt
23.10.2005 14:02 87.527 system32.txt
23.10.2005 13:52 402.653.184 pagefile.sys
22.10.2005 13:53 6.506 hpfr5700.log
08.10.2005 12:41 50 AUTOEXEC.BAT
10.01.2005 19:37 34.724 NTDETECT.COM
30.12.2004 16:49 263 boot.ini
11.12.2004 20:13 264 log.txt
03.12.2003 21:24 0 IO.SYS
03.12.2003 21:24 0 MSDOS.SYS
03.12.2003 21:24 0 CONFIG.SYS
03.12.2003 21:18 192 BOOT.BAK
19.06.2003 20:05 150.528 arcldr.exe
19.06.2003 20:05 163.840 arcsetup.exe
17.09.2001 21:20 451.339 txtsetup.sif
17.09.2001 21:20 238.880 $LDR$
17.09.2001 21:20 224.032 ntldr
17.09.2001 21:18 4.952 bootfont.bin
20 Datei(en) 404.035.497 Bytes
0 Verzeichnis(se), 20.502.380.544 Bytes frei
Dieser Beitrag wurde am 23.10.2005 um 13:55 Uhr von shivaa editiert.
Seitenanfang Seitenende
23.10.2005, 17:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@shivaa

CCleaner (loesche alle temporaeren Dateien, hake alles an, wie auf meiner Seite beschrieben)
http://virus-protect.org/temp.html
Verzeichnis von C:\DOKUME~1\magda\LOKALE~1\Temp -->muss leer sein ;)

KILLBOX
http://virus-protect.org/killbox.html
Delete File on Reboot -- anhaken
reinkopieren:

C:\WINNT\system32\regedit.com
C:\WINNT\system32\taskkill.com
C:\WINNT\system32\tasklist.com
C:\WINNT\system32\cmd.com
C:\WINNT\system32\ping.com
C:\WINNT\system32\tracert.com
C:\WINNT\system32\netstat.com
C:\WINNT\system32\bszip.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

scanne mit ewido und loesche alles, was angezeigt wird ;)
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.10.2005, 19:41
...neu hier

Themenstarter

Beiträge: 3
#5 hallo!!!
vielen dank für die rasche hilfe!!!!!
hat alles perfekt geklappt!!!!
lg shivaa
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: