Worm Alcra.B, bekomme den nicht enfernt!

#16 nun ja, ich wuerde gern das Log von Datfindbat sehen (das erste von C:\Windows|System32...um genaueres sagen zu koennen.....
__________
MfG Sabina

rund um die PC-Sicherheit

#17 @Sabina


Hier der Scanreport von Kaspersky:

KASPERSKY ON-LINE SCANNER REPORT
Tuesday, November 01, 2005 21:40:00
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 1/11/2005
Kaspersky Anti-Virus database records: 148135
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\
I:\
J:\
K:\

Scan Statistics:
Total number of scanned objects: 66402
Number of viruses found: 4
Number of infected objects: 14
Number of suspicious objects: 0
Duration of the scan process: 2640 sec

Infected Object Name - Virus Name
C:\113_dollarrevenue_4_0_3_9.exe/WISE0007.BIN Infected: Trojan-Downloader.Win32.TSUpdate.j
C:\113_dollarrevenue_4_0_3_9.exe Infected: Trojan-Downloader.Win32.TSUpdate.j
C:\Programme\XoftSpy\Quarantine\Quarantine28-10-2005-11-28-47.xpy/Setup.exe Infected: Worm.Win32.VB.an
C:\Programme\XoftSpy\Quarantine\Quarantine28-10-2005-11-28-47.xpy Infected: Worm.Win32.VB.an
C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP205\A0053271.exe/WISE0019.BIN Infected: Trojan-Downloader.Win32.Small.bke
C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP205\A0053271.exe Infected: Trojan-Downloader.Win32.Small.bke
C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP206\A0053272.exe/WISE0019.BIN Infected: Trojan-Downloader.Win32.Small.bke
C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP206\A0053272.exe Infected: Trojan-Downloader.Win32.Small.bke
C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP214\A0061445.exe/WISE0017.BIN Infected: Trojan-Downloader.Win32.Small.bke
C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP214\A0061445.exe Infected: Trojan-Downloader.Win32.Small.bke
C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP214\A0061446.exe/WISE0017.BIN Infected: Trojan-Downloader.Win32.Small.bke
C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP214\A0061446.exe Infected: Trojan-Downloader.Win32.Small.bke
C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP237\A0086459.exe/run.exe Infected: Trojan-Downloader.Win32.Adload.j
C:\System Volume Information\_restore{424E059A-AF08-40A0-AA00-02D6FDD89AF5}\RP237\A0086459.exe Infected: Trojan-Downloader.Win32.Adload.j

Scan process completed.



Das stand am Ende da:


113_dollarre..._9.exe/WISE0007.BIN Trojan-Down...n32.TSUpdate.j send

C:\113_dollarrevenue_4_0_3_9.exe Trojan-Down...n32.TSUpdate.j send

C:\Programme\Xo...28-47.xpy/Setup.exe Worm.Win32.VB.an send

C:\Programme\Xo...0-2005-11-28-47.xpy Worm.Win32.VB.an send

C:\System Volum...71.exe/WISE0019.BIN Trojan-Down...in32.Small.bke send

C:\System Volum...\RP205\A0053271.exe Trojan-Down...in32.Small.bke send

C:\System Volum...72.exe/WISE0019.BIN Trojan-Down...in32.Small.bke send

C:\System Volum...\RP206\A0053272.exe Trojan-Down...in32.Small.bke send

C:\System Volum...45.exe/WISE0017.BIN Trojan-Down...in32.Small.bke send

C:\System Volum...\RP214\A0061445.exe Trojan-Down...in32.Small.bke send

C:\System Volum...46.exe/WISE0017.BIN Trojan-Down...in32.Small.bke send

C:\System Volum...\RP214\A0061446.exe Trojan-Down...in32.Small.bke send

C:\System Volum...0086459.exe/run.exe Trojan-Down...Win32.Adload.j send

C:\System Volum...\RP237\A0086459.exe Trojan-Down...Win32.Adload.j send


Ich glaube das sieht nicht gut aus.


mfg

Dominik

#18 Hallo@dadomi

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\113_dollarrevenue_4_0_3_9.exe/WISE0007.BIN
C:\Programme\XoftSpy\Quarantine\Quarantine28-10-2005-11-28-47.xpy/Setup.exe
C:\113_dollarrevenue_4_0_3_9.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

dan aktiviere die Systemwiederherstellung wieder
__________
MfG Sabina

rund um die PC-Sicherheit

#19 hallo sabina, bist wohö sehr beschäftigt, da diese würmer sich sehr schnell verbreiten. also ich habe was von datfindbat kopiert:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48EC-D170

Verzeichnis von C:\DOKUME~1\Matrix4\LOKALE~1\Temp

01.11.2005 21:50 9.202 jusched.log
01.11.2005 21:42 47.615 removefiles.txttemp
01.11.2005 21:42 16 persistent_state
01.11.2005 21:40 478 QTInstallCode.log
01.11.2005 19:33 16.384 ~DF517.tmp
01.11.2005 18:04 46.080 ~e5d141.tmp
31.10.2005 18:43 0 TWAIN.LOG
31.10.2005 18:43 2 Twain001.Mtx
30.10.2005 23:04 2.097.152 NDLC4
30.10.2005 22:50 3.123 qtplugin.log
30.10.2005 18:06 2.097.152 NDLC3
30.10.2005 16:38 832 java_install_reg.log
30.10.2005 14:52 16.384 ~DF33F1.tmp
30.10.2005 14:15 16.384 ~DF2051.tmp
23.10.2005 18:53 450.048 6d9df3.mst
27.03.2005 21:15 1.867.776 Vorlagen_Explorer.exe
27.03.2005 20:53 54 Vorlagen_Explorer.ini
14.02.2005 16:06 791.168 Vorlagen_Explorer.hlp
19.02.2003 03:04 54.216 SetFDA.tmp
05.09.2001 03:23 56.320 SetFD1.tmp
05.09.2001 03:23 56.320 setFD2.tmp
05.09.2001 00:23 56.320 SetFD3.tmp
22 Datei(en) 7.683.026 Bytes
0 Verzeichnis(se), 1.352.392.704 Bytes frei


korrekt oder immernoch ein fehler???

#20 sona

ich wollte gern alle Logs sehen, also alle 4, nicht nur das zweite
__________
MfG Sabina

rund um die PC-Sicherheit

#21 01.11.2005 21:50 186.608 FNTCACHE.DAT
30.10.2005 14:52 2 cmd.com
30.10.2005 14:52 2 regedit.com
30.10.2005 14:52 2 taskkill.com
30.10.2005 14:52 2 tasklist.com
30.10.2005 14:52 2 tracert.com
30.10.2005 14:52 2 ping.com
30.10.2005 14:52 2 netstat.com
30.10.2005 14:17 363.870 perfh009.dat
30.10.2005 14:17 371.358 perfh007.dat
30.10.2005 14:17 45.544 perfc009.dat
30.10.2005 14:17 54.986 perfc007.dat
30.10.2005 14:17 843.752 PerfStringBackup.INI
30.10.2005 14:15 2.206 wpa.dbl
24.10.2005 22:49 5.618 jupdate-1.5.0_05-b05.log
23.10.2005 18:28 62.464 bszip.dll
23.10.2005 16:51 16.832 amcompat.tlb
23.10.2005 16:51 23.392 nscompat.tlb
21.09.2005 18:45 3.120 HSeNJ.ocx
21.09.2005 18:26 3.534 jupdate-1.5.0_03-b07.log
18.09.2005 20:43 22 ati64hlp.stb
31.08.2005 05:33 258.048 ATIDEMGR.dll
31.08.2005 04:57 6.684.672 atioglx1.dll
31.08.2005 03:37 39.936 ati2edxx.dll
31.08.2005 03:23 600.672 ativvaxx.dll
31.08.2005 03:10 147.456 atikvmag.dll
31.08.2005 02:42 233.472 ati2cqag.dll
26.08.2005 17:14 127.078 javaws.exe
26.08.2005 17:14 49.265 jpicpl32.cpl
26.08.2005 15:54 104.373 atiicdxx.dat
26.08.2005 14:55 49.250 javaw.exe
26.08.2005 14:55 49.248 java.exe
09.08.2005 14:08 53.040 nmwcdcls.dll
09.08.2005 14:08 4.960 nmwcdlog.dll

dann:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48EC-D170

Verzeichnis von C:\DOKUME~1\Matrix4\LOKALE~1\Temp

01.11.2005 21:50 9.202 jusched.log
01.11.2005 21:42 47.615 removefiles.txttemp
01.11.2005 21:42 16 persistent_state
01.11.2005 21:40 478 QTInstallCode.log
01.11.2005 19:33 16.384 ~DF517.tmp
01.11.2005 18:04 46.080 ~e5d141.tmp
31.10.2005 18:43 0 TWAIN.LOG
31.10.2005 18:43 2 Twain001.Mtx
30.10.2005 23:04 2.097.152 NDLC4
30.10.2005 22:50 3.123 qtplugin.log
30.10.2005 18:06 2.097.152 NDLC3
30.10.2005 16:38 832 java_install_reg.log
30.10.2005 14:52 16.384 ~DF33F1.tmp
30.10.2005 14:15 16.384 ~DF2051.tmp
23.10.2005 18:53 450.048 6d9df3.mst
27.03.2005 21:15 1.867.776 Vorlagen_Explorer.exe
27.03.2005 20:53 54 Vorlagen_Explorer.ini
14.02.2005 16:06 791.168 Vorlagen_Explorer.hlp
19.02.2003 03:04 54.216 SetFDA.tmp
05.09.2001 03:23 56.320 SetFD1.tmp
05.09.2001 03:23 56.320 setFD2.tmp
05.09.2001 00:23 56.320 SetFD3.tmp
22 Datei(en) 7.683.026 Bytes
0 Verzeichnis(se), 1.351.655.424 Bytes frei
dann:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48EC-D170

Verzeichnis von C:\WINDOWS

01.11.2005 21:50 0 0.log
01.11.2005 21:50 2.048 bootstat.dat
01.11.2005 21:49 13.738 SchedLgU.Txt
01.11.2005 21:49 821.070 HomeSite55Plus.log
01.11.2005 21:40 1.409 QTFont.for
01.11.2005 21:40 54.156 QTFont.qfn
01.11.2005 21:38 471 win.ini
01.11.2005 21:35 198.720 setupact.log
01.11.2005 18:56 50 wiaservc.log
01.11.2005 18:56 216 wiadebug.log
31.10.2005 20:23 116 NeroDigital.ini
30.10.2005 15:26 164 avrack.ini
27.10.2005 19:14 400 ODBC.INI
25.10.2005 20:53 628.427 setupapi.log
24.10.2005 22:56 67.499 wmsetup.log
23.10.2005 16:51 454 wmsetup10.log
23.10.2005 16:50 316.640 WMSysPr9.prx
23.09.2005 15:26 0 ATIMMC.INI
21.09.2005 00:23 1.442 COM+.log
16.09.2005 22:22 4.446 Windows Update.log
16.09.2005 22:09 17.666 dasetup.log
16.09.2005 22:08 256.844 DirectX.log
16.09.2005 20:38 1.538 ATIWDM.LOG
16.09.2005 19:51 0 setuperr.log
24.06.2005 17:25 0 Sti_Trace.log

und dann:
1.11.2005 21:58 0 sys.txt
01.11.2005 21:57 4.629 system.txt
01.11.2005 21:57 1.363 systemtemp.txt
01.11.2005 21:56 95.643 system32.txt
01.11.2005 21:50 805.306.368 pagefile.sys
24.06.2005 16:31 0 AUTOEXEC.BAT
24.06.2005 16:31 0 CONFIG.SYS
24.06.2005 16:31 0 IO.SYS
24.06.2005 16:31 0 MSDOS.SYS
24.06.2005 16:26 194 boot.ini
29.08.2002 01:05 235.296 ntldr
28.08.2002 21:08 47.580 NTDETECT.COM
18.08.2001 13:00 4.952 bootfont.bin
13 Datei(en) 805.696.025 Bytes
0 Verzeichnis(se), 1.351.655.424 Bytes frei


jetzt vielleicht sabina???? :-)

#22 sona

Zitat

das ist der Virus:.
30.10.2005 14:52 2 cmd.com
30.10.2005 14:52 2 regedit.com
30.10.2005 14:52 2 taskkill.com
30.10.2005 14:52 2 tasklist.com
30.10.2005 14:52 2 tracert.com
30.10.2005 14:52 2 ping.com
30.10.2005 14:52 2 netstat.com
23.10.2005 18:28 62.464 bszip.dll

also:
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\Windows\System32\cmd.com
C:\Windows\System32\regedit.com
C:\Windows\System32\taskkill.com
C:\Windows\System32\tasklist.com
C:\Windows\System32\tracert.com
C:\Windows\System32\ping.com
C:\Windows\System32\netstat.com
C:\Windows\System32\bszip.dll

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#23 ich versuche ja, aber ich werde nicht nach dem "do you wan to reboot?" gefragt...

ich hake delete on reboot ein, füge die erste zeile ein, dann erscheint da unter z.B cmb.com
nun drücke ich auf das kreuz, aber werde nicht gefragt!!

das ist mein problem momentan sabina!!!


ich strapaziere dich sehr, i am sorry

#24 Hallo @Sabina


Hier der Scanreport von Ewido:


---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 23:02:21, 01.11.2005
+ Report-Checksumme: F964C402

+ Scanergebnis:

:mozilla.7:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup
:mozilla.8:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.9:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.10:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.18:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.19:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.20:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.21:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.22:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.27:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.28:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.30:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup
:mozilla.32:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
:mozilla.33:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.34:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
:mozilla.37:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Xxxtoolbar : Gesäubert mit Backup
:mozilla.42:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.48:C:\Dokumente und Einstellungen\Dominik Mayer\Anwendungsdaten\Mozilla\Firefox\Profiles\kci0awua.default\cookies.txt -> Spyware.Cookie.F***-access : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Dominik Mayer\Cookies\dominik mayer@2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup


::Report Ende


mfg

Dominik

#25 Hallo@dadomi
ich denke, dass nun alles sauber ist
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Danksehr für all die raschen Antworten!
Jetzt weiß ich ja, wo ich mich melden muss wenn ich gute Hilfe in Sachen PC-Sicherheit bekomme.
Ich hätte da nur noch eine Frage: Du bist eine Frau oder?
Musst du nicht beantworten wenn du nicht willst

Schönen Abend noch

mfg

Dominik

#27 der Name Sabina ist eigentlich eindeutig, was die Frage betrifft, ob ich eine Frau bin
Aber was interessiert das ?
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Ja aber für gewöhnlich heißt es Sabrina!
Kann ja irgend eine Figur oder ein Wort sein, aber naja.
Ist ja nicht so wichtig.


mfg

Dominik

#29 hallo sabina, sona hier. ich möchte zwar deine zeit nicht nutzen, aber kannst du mir weiter helfen?
also:
ich hake delete on reboot ein, füge die erste zeile ein, dann erscheint da unter z.B cmb.com
nun drücke ich auf das kreuz, aber werde nicht gefragt!!

das ist mein problem momentan sabina!!!


ich strapaziere dich sehr, i am sorry

#30 sona

auch wenn du nichts gefragt wirst...kopiere einfach der Reihe nach alles ein, klicke immer auf das rote Kreuz....dann starte du den PC neu, am Ende, falls nicht nachgefragt wird.

C:\Windows\System32\cmd.com
C:\Windows\System32\regedit.com
C:\Windows\System32\taskkill.com
C:\Windows\System32\tasklist.com
C:\Windows\System32\tracert.com
C:\Windows\System32\ping.com
C:\Windows\System32\netstat.com
C:\Windows\System32\bszip.dll
__________
MfG Sabina

rund um die PC-Sicherheit