Worm Alcra.B, bekomme den nicht enfernt!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
01.11.2005, 21:32
Ehrenmitglied
Beiträge: 29434 |
||
|
||
01.11.2005, 21:41
Member
Beiträge: 14 |
#17
@Sabina
Hier der Scanreport von Kaspersky: KASPERSKY ON-LINE SCANNER REPORT Tuesday, November 01, 2005 21:40:00 Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 1/11/2005 Kaspersky Anti-Virus database records: 148135 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: C:\ D:\ E:\ F:\ G:\ I:\ J:\ K:\ Scan Statistics: Total number of scanned objects: 66402 Number of viruses found: 4 Number of infected objects: 14 Number of suspicious objects: 0 Duration of the scan process: 2640 sec Infected Object Name - Virus Name C:\113_dollarrevenue_4_0_3_9.exe/WISE0007.BIN Infected: Trojan-Downloader.Win32.TSUpdate.j C:\113_dollarrevenue_4_0_3_9.exe Infected: Trojan-Downloader.Win32.TSUpdate.j C:\Programme\XoftSpy\Quarantine\Quarantine28-10-2005-11-28-47.xpy/Setup.exe Infected: Worm.Win32.VB.an C:\Programme\XoftSpy\Quarantine\Quarantine28-10-2005-11-28-47.xpy Infected: Worm.Win32.VB.an C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP205\A0053271.exe/WISE0019.BIN Infected: Trojan-Downloader.Win32.Small.bke C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP205\A0053271.exe Infected: Trojan-Downloader.Win32.Small.bke C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP206\A0053272.exe/WISE0019.BIN Infected: Trojan-Downloader.Win32.Small.bke C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP206\A0053272.exe Infected: Trojan-Downloader.Win32.Small.bke C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP214\A0061445.exe/WISE0017.BIN Infected: Trojan-Downloader.Win32.Small.bke C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP214\A0061445.exe Infected: Trojan-Downloader.Win32.Small.bke C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP214\A0061446.exe/WISE0017.BIN Infected: Trojan-Downloader.Win32.Small.bke C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP214\A0061446.exe Infected: Trojan-Downloader.Win32.Small.bke C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP237\A0086459.exe/run.exe Infected: Trojan-Downloader.Win32.Adload.j C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP237\A0086459.exe Infected: Trojan-Downloader.Win32.Adload.j Scan process completed. Das stand am Ende da: 113_dollarre..._9.exe/WISE0007.BIN Trojan-Down...n32.TSUpdate.j send C:\113_dollarrevenue_4_0_3_9.exe Trojan-Down...n32.TSUpdate.j send C:\Programme\Xo...28-47.xpy/Setup.exe Worm.Win32.VB.an send C:\Programme\Xo...0-2005-11-28-47.xpy Worm.Win32.VB.an send C:\System Volum...71.exe/WISE0019.BIN Trojan-Down...in32.Small.bke send C:\System Volum...\RP205\A0053271.exe Trojan-Down...in32.Small.bke send C:\System Volum...72.exe/WISE0019.BIN Trojan-Down...in32.Small.bke send C:\System Volum...\RP206\A0053272.exe Trojan-Down...in32.Small.bke send C:\System Volum...45.exe/WISE0017.BIN Trojan-Down...in32.Small.bke send C:\System Volum...\RP214\A0061445.exe Trojan-Down...in32.Small.bke send C:\System Volum...46.exe/WISE0017.BIN Trojan-Down...in32.Small.bke send C:\System Volum...\RP214\A0061446.exe Trojan-Down...in32.Small.bke send C:\System Volum...0086459.exe/run.exe Trojan-Down...Win32.Adload.j send C:\System Volum...\RP237\A0086459.exe Trojan-Down...Win32.Adload.j send Ich glaube das sieht nicht gut aus. mfg Dominik |
|
|
||
01.11.2005, 21:48
Ehrenmitglied
Beiträge: 29434 |
#18
Hallo@dadomi
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 KILLBOX http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: C:\113_dollarrevenue_4_0_3_9.exe/WISE0007.BIN C:\Programme\XoftSpy\Quarantine\Quarantine28-10-2005-11-28-47.xpy/Setup.exe C:\113_dollarrevenue_4_0_3_9.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html dan aktiviere die Systemwiederherstellung wieder __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.11.2005, 21:54
...neu hier
Beiträge: 10 |
#19
hallo sabina, bist wohö sehr beschäftigt, da diese würmer sich sehr schnell verbreiten. also ich habe was von datfindbat kopiert:
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 48EC-D170 Verzeichnis von C:\DOKUME~1\Matrix4\LOKALE~1\Temp 01.11.2005 21:50 9.202 jusched.log 01.11.2005 21:42 47.615 removefiles.txttemp 01.11.2005 21:42 16 persistent_state 01.11.2005 21:40 478 QTInstallCode.log 01.11.2005 19:33 16.384 ~DF517.tmp 01.11.2005 18:04 46.080 ~e5d141.tmp 31.10.2005 18:43 0 TWAIN.LOG 31.10.2005 18:43 2 Twain001.Mtx 30.10.2005 23:04 2.097.152 NDLC4 30.10.2005 22:50 3.123 qtplugin.log 30.10.2005 18:06 2.097.152 NDLC3 30.10.2005 16:38 832 java_install_reg.log 30.10.2005 14:52 16.384 ~DF33F1.tmp 30.10.2005 14:15 16.384 ~DF2051.tmp 23.10.2005 18:53 450.048 6d9df3.mst 27.03.2005 21:15 1.867.776 Vorlagen_Explorer.exe 27.03.2005 20:53 54 Vorlagen_Explorer.ini 14.02.2005 16:06 791.168 Vorlagen_Explorer.hlp 19.02.2003 03:04 54.216 SetFDA.tmp 05.09.2001 03:23 56.320 SetFD1.tmp 05.09.2001 03:23 56.320 setFD2.tmp 05.09.2001 00:23 56.320 SetFD3.tmp 22 Datei(en) 7.683.026 Bytes 0 Verzeichnis(se), 1.352.392.704 Bytes frei korrekt oder immernoch ein fehler??? |
|
|
||
01.11.2005, 21:56
Ehrenmitglied
Beiträge: 29434 |
#20
sona
ich wollte gern alle Logs sehen, also alle 4, nicht nur das zweite __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.11.2005, 21:58
...neu hier
Beiträge: 10 |
#21
01.11.2005 21:50 186.608 FNTCACHE.DAT
30.10.2005 14:52 2 cmd.com 30.10.2005 14:52 2 regedit.com 30.10.2005 14:52 2 taskkill.com 30.10.2005 14:52 2 tasklist.com 30.10.2005 14:52 2 tracert.com 30.10.2005 14:52 2 ping.com 30.10.2005 14:52 2 netstat.com 30.10.2005 14:17 363.870 perfh009.dat 30.10.2005 14:17 371.358 perfh007.dat 30.10.2005 14:17 45.544 perfc009.dat 30.10.2005 14:17 54.986 perfc007.dat 30.10.2005 14:17 843.752 PerfStringBackup.INI 30.10.2005 14:15 2.206 wpa.dbl 24.10.2005 22:49 5.618 jupdate-1.5.0_05-b05.log 23.10.2005 18:28 62.464 bszip.dll 23.10.2005 16:51 16.832 amcompat.tlb 23.10.2005 16:51 23.392 nscompat.tlb 21.09.2005 18:45 3.120 HSeNJ.ocx 21.09.2005 18:26 3.534 jupdate-1.5.0_03-b07.log 18.09.2005 20:43 22 ati64hlp.stb 31.08.2005 05:33 258.048 ATIDEMGR.dll 31.08.2005 04:57 6.684.672 atioglx1.dll 31.08.2005 03:37 39.936 ati2edxx.dll 31.08.2005 03:23 600.672 ativvaxx.dll 31.08.2005 03:10 147.456 atikvmag.dll 31.08.2005 02:42 233.472 ati2cqag.dll 26.08.2005 17:14 127.078 javaws.exe 26.08.2005 17:14 49.265 jpicpl32.cpl 26.08.2005 15:54 104.373 atiicdxx.dat 26.08.2005 14:55 49.250 javaw.exe 26.08.2005 14:55 49.248 java.exe 09.08.2005 14:08 53.040 nmwcdcls.dll 09.08.2005 14:08 4.960 nmwcdlog.dll dann: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 48EC-D170 Verzeichnis von C:\DOKUME~1\Matrix4\LOKALE~1\Temp 01.11.2005 21:50 9.202 jusched.log 01.11.2005 21:42 47.615 removefiles.txttemp 01.11.2005 21:42 16 persistent_state 01.11.2005 21:40 478 QTInstallCode.log 01.11.2005 19:33 16.384 ~DF517.tmp 01.11.2005 18:04 46.080 ~e5d141.tmp 31.10.2005 18:43 0 TWAIN.LOG 31.10.2005 18:43 2 Twain001.Mtx 30.10.2005 23:04 2.097.152 NDLC4 30.10.2005 22:50 3.123 qtplugin.log 30.10.2005 18:06 2.097.152 NDLC3 30.10.2005 16:38 832 java_install_reg.log 30.10.2005 14:52 16.384 ~DF33F1.tmp 30.10.2005 14:15 16.384 ~DF2051.tmp 23.10.2005 18:53 450.048 6d9df3.mst 27.03.2005 21:15 1.867.776 Vorlagen_Explorer.exe 27.03.2005 20:53 54 Vorlagen_Explorer.ini 14.02.2005 16:06 791.168 Vorlagen_Explorer.hlp 19.02.2003 03:04 54.216 SetFDA.tmp 05.09.2001 03:23 56.320 SetFD1.tmp 05.09.2001 03:23 56.320 setFD2.tmp 05.09.2001 00:23 56.320 SetFD3.tmp 22 Datei(en) 7.683.026 Bytes 0 Verzeichnis(se), 1.351.655.424 Bytes frei dann: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 48EC-D170 Verzeichnis von C:\WINDOWS 01.11.2005 21:50 0 0.log 01.11.2005 21:50 2.048 bootstat.dat 01.11.2005 21:49 13.738 SchedLgU.Txt 01.11.2005 21:49 821.070 HomeSite55Plus.log 01.11.2005 21:40 1.409 QTFont.for 01.11.2005 21:40 54.156 QTFont.qfn 01.11.2005 21:38 471 win.ini 01.11.2005 21:35 198.720 setupact.log 01.11.2005 18:56 50 wiaservc.log 01.11.2005 18:56 216 wiadebug.log 31.10.2005 20:23 116 NeroDigital.ini 30.10.2005 15:26 164 avrack.ini 27.10.2005 19:14 400 ODBC.INI 25.10.2005 20:53 628.427 setupapi.log 24.10.2005 22:56 67.499 wmsetup.log 23.10.2005 16:51 454 wmsetup10.log 23.10.2005 16:50 316.640 WMSysPr9.prx 23.09.2005 15:26 0 ATIMMC.INI 21.09.2005 00:23 1.442 COM+.log 16.09.2005 22:22 4.446 Windows Update.log 16.09.2005 22:09 17.666 dasetup.log 16.09.2005 22:08 256.844 DirectX.log 16.09.2005 20:38 1.538 ATIWDM.LOG 16.09.2005 19:51 0 setuperr.log 24.06.2005 17:25 0 Sti_Trace.log und dann: 1.11.2005 21:58 0 sys.txt 01.11.2005 21:57 4.629 system.txt 01.11.2005 21:57 1.363 systemtemp.txt 01.11.2005 21:56 95.643 system32.txt 01.11.2005 21:50 805.306.368 pagefile.sys 24.06.2005 16:31 0 AUTOEXEC.BAT 24.06.2005 16:31 0 CONFIG.SYS 24.06.2005 16:31 0 IO.SYS 24.06.2005 16:31 0 MSDOS.SYS 24.06.2005 16:26 194 boot.ini 29.08.2002 01:05 235.296 ntldr 28.08.2002 21:08 47.580 NTDETECT.COM 18.08.2001 13:00 4.952 bootfont.bin 13 Datei(en) 805.696.025 Bytes 0 Verzeichnis(se), 1.351.655.424 Bytes frei jetzt vielleicht sabina???? :-) |
|
|
||
01.11.2005, 22:15
Ehrenmitglied
Beiträge: 29434 |
#22
sona
Zitat das ist der Virus:.also: KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\Windows\System32\cmd.com C:\Windows\System32\regedit.com C:\Windows\System32\taskkill.com C:\Windows\System32\tasklist.com C:\Windows\System32\tracert.com C:\Windows\System32\ping.com C:\Windows\System32\netstat.com C:\Windows\System32\bszip.dll PC neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.11.2005, 22:40
...neu hier
Beiträge: 10 |
#23
ich versuche ja, aber ich werde nicht nach dem "do you wan to reboot?" gefragt...
ich hake delete on reboot ein, füge die erste zeile ein, dann erscheint da unter z.B cmb.com nun drücke ich auf das kreuz, aber werde nicht gefragt!! das ist mein problem momentan sabina!!! ich strapaziere dich sehr, i am sorry |
|
|
||
01.11.2005, 23:01
Member
Beiträge: 14 |
#24
Hallo @Sabina
Hier der Scanreport von Ewido: --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 23:02:21, 01.11.2005 + Report-Checksumme: F964C402 + Scanergebnis: :mozilla.7:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup :mozilla.8:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.9:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.10:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.18:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.19:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.20:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.21:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.22:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.27:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup :mozilla.28:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup :mozilla.30:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup :mozilla.32:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup :mozilla.33:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.34:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup :mozilla.37:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Xxxtoolbar : Gesäubert mit Backup :mozilla.42:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup :mozilla.48:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.F***-access : Gesäubert mit Backup C:\Dokumente und Einstellungen\Dominik Mayer\Cookies\dominik mayer@2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup ::Report Ende mfg Dominik |
|
|
||
01.11.2005, 23:30
Ehrenmitglied
Beiträge: 29434 |
||
|
||
01.11.2005, 23:45
Member
Beiträge: 14 |
#26
Danksehr für all die raschen Antworten!
Jetzt weiß ich ja, wo ich mich melden muss wenn ich gute Hilfe in Sachen PC-Sicherheit bekomme. Ich hätte da nur noch eine Frage: Du bist eine Frau oder? Musst du nicht beantworten wenn du nicht willst Schönen Abend noch mfg Dominik |
|
|
||
01.11.2005, 23:54
Ehrenmitglied
Beiträge: 29434 |
#27
der Name Sabina ist eigentlich eindeutig, was die Frage betrifft, ob ich eine Frau bin
Aber was interessiert das ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.11.2005, 00:15
Member
Beiträge: 14 |
#28
Ja aber für gewöhnlich heißt es Sabrina!
Kann ja irgend eine Figur oder ein Wort sein, aber naja. Ist ja nicht so wichtig. mfg Dominik |
|
|
||
02.11.2005, 19:17
...neu hier
Beiträge: 10 |
#29
hallo sabina, sona hier. ich möchte zwar deine zeit nicht nutzen, aber kannst du mir weiter helfen?
also: ich hake delete on reboot ein, füge die erste zeile ein, dann erscheint da unter z.B cmb.com nun drücke ich auf das kreuz, aber werde nicht gefragt!! das ist mein problem momentan sabina!!! ich strapaziere dich sehr, i am sorry |
|
|
||
02.11.2005, 19:38
Ehrenmitglied
Beiträge: 29434 |
#30
sona
auch wenn du nichts gefragt wirst...kopiere einfach der Reihe nach alles ein, klicke immer auf das rote Kreuz....dann starte du den PC neu, am Ende, falls nicht nachgefragt wird. C:\Windows\System32\cmd.com C:\Windows\System32\regedit.com C:\Windows\System32\taskkill.com C:\Windows\System32\tasklist.com C:\Windows\System32\tracert.com C:\Windows\System32\ping.com C:\Windows\System32\netstat.com C:\Windows\System32\bszip.dll __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
__________
MfG Sabina
rund um die PC-Sicherheit