Wurm rbot 174080 entfernen?

#16 Ketti23

öffne das HijackThis -- Button "scan" -- vor die Malware-Eintrag Häkchen setzen -- Button "Fix checked"

O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto

PC neustarten

arbeite alles ab ...auch den Ewido-Scanner nicht vergessen
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

wenn alles abgearbeitet ist:
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hi ich habe genau das gleiche problem ich habe (hatte )diese Programm oder diesen Virus auch auf meinem pc habe sie aber gelöscht . aber trotzdem vermehren sich diese dateien (im ordner von norton antivir untergebracht)wie sonst was gestern hatte ich noch 50 heute sind es schon 800 ! davon und ich weiß nicht was ich machen soll den mit kaspersky(norton benutze ich nicht mehr ) kann ich sie zwar löschen aber trotzdem vermehren die sich noch und ich habe nun keine ahnung mehr was ich machen soll


HOffe auf Hilfe

#18 troy21

arbeite das ab:
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

wenn es fertig ist:

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Worm/VB.DW - Worm/RBot.174080 - onoes.exe - opad.exe - winlog.exe
http://virus-protect.org/artikel/spyware/outlook.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 danke sabina habe ich gemacht so soll ich dir nun die ergebnisse zeigen also das ergebniss von

1.Log --> Verzeichnis von C:\WINDOWS\system32

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: CCAD-0AC3

Verzeichnis von C:\WINDOWS\system32

07.03.2006 14:16 1.158 wpa.dbl
03.03.2006 23:48 391.184 FNTCACHE.DAT
01.03.2006 20:25 62.464 bszip.dll
01.03.2006 20:25 0 taskkill.com
01.03.2006 20:25 0 regedit.com
01.03.2006 20:25 0 cmd.com
01.03.2006 20:25 0 tasklist.com
01.03.2006 20:25 0 tracert.com
01.03.2006 20:25 0 ping.com
01.03.2006 20:25 0 netstat.com
01.03.2006 15:56 100 LuResult.txt
20.02.2006 21:58 355 lsprst7.tgz
20.02.2006 21:58 341 lsprst7.dll
20.02.2006 21:58 87 ssprs.tgz
20.02.2006 21:58 73 ssprs.dll
20.02.2006 20:56 1.409 tmp769D1.FOT
20.02.2006 20:56 1.409 tmp849D1.FOT
20.02.2006 20:56 1.409 tmp919D1.FOT
20.02.2006 20:56 1.409 tmpAF8D1.FOT
20.02.2006 20:56 1.409 tmpAE8D1.FOT
20.02.2006 20:56 1.409 tmpBC8D1.FOT
18.02.2006 12:22 176.167 rmoc3260.dll
18.02.2006 12:22 5.632 pndx5032.dll
18.02.2006 12:22 6.656 pndx5016.dll
18.02.2006 12:22 278.528 pncrt.dll
17.02.2006 19:51 16.832 amcompat.tlb
17.02.2006 19:51 23.392 nscompat.tlb
16.02.2006 12:55 383.390 perfh009.dat
16.02.2006 12:55 53.744 perfc009.dat
16.02.2006 12:55 394.830 perfh007.dat
16.02.2006 12:55 64.796 perfc007.dat
16.02.2006 12:55 904.854 PerfStringBackup.INI
11.02.2006 22:13 98.304 CmdLineExt.dll
07.02.2006 21:28 4.513.120 MRT.exe
07.02.2006 19:07 43.520 CmdLineExt03.dll
03.02.2006 18:44 34.064 lhacm.acm
11.01.2006 22:46 63.488 AntiSecuROM.dll
09.01.2006 21:02 463 ws344069.ocx
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
24.12.2005 15:35 46.128 DLLPRF32.DAT
18.12.2005 16:05 35.128 SpoonUninstall-dBpowerAMP Music Converter.dat
18.12.2005 16:05 130.048 SpoonUninstall.exe
18.12.2005 16:04 33.846 SpoonUninstall-dBpowerAMP Music Converter.bmp
16.12.2005 19:15 664 d3d9caps.dat
10.12.2005 17:49 3.176 gafilter.sti
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
30.11.2005 18:35 56 EDCFD8B887.sys
29.11.2005 16:39 4.808 gaeffect.sti
27.11.2005 16:11 50.458 interceptor.sys
27.11.2005 16:11 45.056 WNASPI32.DLL
27.11.2005 12:43 2.323.072 TUKernel.exe
27.11.2005 12:39 1.025 sysprs7.dll
27.11.2005 12:39 1.025 sysprs7.tgz
27.11.2005 12:39 1.025 clauth1.dll

#20 troy21

man kann es auch uebertreiben..die Dateien aus dem 19 Jahrhundert interessieren mich nicht
Und die anderen drei Logs fehlen............

und der Wurm ist noch drauf... du dolltest also wirklich alle 4 Textdateien von datfindbat posten (3 Monate vom Datum her genuegen)
__________
MfG Sabina

rund um die PC-Sicherheit

#21 hä ich dachte ich hätte die rein kopiert naja dann mache ich das jetzt ja aber ich will ja wissen wie ich ihn weg kriege oder wleche dieser dateien der schädling ist

und hier die anderen logs

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: CCAD-0AC3

Verzeichnis von C:\

09.03.2006 17:31 0 sys.txt
09.03.2006 17:31 12.842 system.txt
09.03.2006 17:30 16.105 systemtemp.txt
09.03.2006 17:29 107.475 system32.txt
09.03.2006 17:20 1.073.139.712 hiberfil.sys
09.03.2006 17:20 1.609.605.120 pagefile.sys
17.02.2006 18:40 4.608 Thumbs.db
12.02.2006 14:10 299 BOOT.INI
10.01.2006 18:29 21.466 temp.bmp
09.01.2006 21:02 506 os466477.bin
07.12.2005 18:49 46 autorun.inf
03.11.2005 03:06 4.604 data
18.10.2005 18:48 745 IPH.PH
18.10.2005 18:46 0 IO.SYS
18.10.2005 18:46 0 MSDOS.SYS
18.10.2005 18:43 210 BOOT.BAK
18.10.2005 16:13 1.187 SAUDIT.TXT
28.05.2005 17:11 2.625.369 IsoBuster 1.8 (All languages) Setup.exe
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 262.448 cmldr
04.08.2004 13:00 251.184 NTLDR
05.03.2002 21:41 679.936 NPSWF32.dll
03.05.2001 15:45 55 NOALPHA.ABC
03.05.2001 15:45 55 NOALPHA.TAG
25 Datei(en) 2.686.786.488 Bytes
0 Verzeichnis(se), 6.803.914.752 Bytes frei


Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: CCAD-0AC3

Verzeichnis von C:\WINDOWS

09.03.2006 17:21 0 0.log
09.03.2006 17:21 1.789.407 WindowsUpdate.log
09.03.2006 17:21 159 wiadebug.log
09.03.2006 17:21 50 wiaservc.log
09.03.2006 17:20 2.048 bootstat.dat
08.03.2006 17:51 229 NeroDigital.ini
08.03.2006 17:42 7.680 Thumbs.db
08.03.2006 16:00 32.292 SchedLgU.Txt
08.03.2006 13:22 1.409 QTFont.for
08.03.2006 13:21 54.156 QTFont.qfn
07.03.2006 18:03 752.137 setupapi.log
06.03.2006 14:19 807 win.ini
05.03.2006 18:45 51 fixhear.bat
05.03.2006 18:42 729.088 GPInstall.exe
05.03.2006 09:47 923 spupdsvc.log
04.03.2006 21:29 69.469 iis6.log
04.03.2006 21:29 158.538 comsetup.log
04.03.2006 21:29 96.139 ntdtcsetup.log
04.03.2006 21:29 174.675 tsoc.log
04.03.2006 21:29 1.355 imsins.log
04.03.2006 21:29 24.886 ocmsn.log
04.03.2006 21:29 16.327 KB911927.log
04.03.2006 21:28 236.592 ocgen.log
04.03.2006 21:26 22.847 msgsocm.log
04.03.2006 21:26 435.393 FaxSetup.log
04.03.2006 21:13 19.578 updspapi.log
04.03.2006 21:08 1.355 imsins.BAK
04.03.2006 21:08 11.473 KB910437.log
04.03.2006 20:47 16.690 KB911564.log
04.03.2006 20:46 48.396 wmsetup.log
04.03.2006 20:25 25.120 KB905915.log
04.03.2006 19:57 14.328 KB911565.log
04.03.2006 19:36 12.154 KB912919.log
04.03.2006 19:15 11.210 KB901190.log
04.03.2006 18:47 11.821 KB908519.log
04.03.2006 18:25 6.868 KB913446.log
04.03.2006 11:08 967 3.PIF
03.03.2006 23:02 15.968 KB899587.log
03.03.2006 22:41 14.509 KB901017.log
03.03.2006 22:21 14.841 KB899591.log
03.03.2006 22:01 15.199 KB896424.log
03.03.2006 21:40 14.378 KB893756.log
03.03.2006 21:21 13.253 KB896423.log
03.03.2006 21:01 12.344 KB887472.log
03.03.2006 20:06 13.927 KB898458.log
03.03.2006 19:45 29.887 KB902400.log
03.03.2006 19:17 18.287 KB896688.log
03.03.2006 18:50 14.499 KB905414.log
03.03.2006 18:30 14.387 KB901214.log
03.03.2006 14:51 13.873 KB904706.log
02.03.2006 13:38 16.239 KB900725.log
02.03.2006 13:37 13.578 KB905749.log
01.03.2006 16:02 1.452 LUINSTALL.LOG
25.02.2006 16:43 30 Iedit.INI
20.02.2006 21:55 144 Eudcedit.ini
20.02.2006 14:42 18.796 hhdrvi.log
20.02.2006 14:22 76 wininit.ini
18.02.2006 22:22 211 Clony2.ini
18.02.2006 22:22 497 ClonyDrives.ini
18.02.2006 12:23 561 cdplayer.ini
17.02.2006 19:25 794 ULead32.ini
16.02.2006 18:26 50 ClonyCDs.ini
16.02.2006 14:19 381 nsw.log
15.02.2006 13:46 4.096 d3dx.dat
13.02.2006 17:34 274 system.ini
12.02.2006 11:54 281 game.ini
11.02.2006 21:34 457 KB873333Uninst.log
11.02.2006 20:12 87.573 DirectX.log
02.02.2006 12:57 1.519 OEWABLog.txt
31.01.2006 13:13 341 BeatBox.INI
31.01.2006 13:13 76 musicmaker.INI
30.01.2006 16:30 2.610 unins000.dat
30.01.2006 16:30 641.021 unins000.exe
26.01.2006 20:24 1.296 ST5UNST.000
24.01.2006 20:15 4.304 KB893803.log
20.01.2006 23:41 871 Tuareg2.ini
18.01.2006 19:27 2.620 TVTEmulator.ini
11.01.2006 22:46 63.488 AntiSecuROM.dll
10.01.2006 18:30 1.024 ppengine.ini
10.01.2006 18:16 41 iltwain.ini
09.01.2006 19:16 316.640 WMSysPr9.prx
06.01.2006 11:47 895 eReg.dat
30.12.2005 16:39 116 homeDVD-Fotos3_5.INI

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: CCAD-0AC3

Verzeichnis von C:\DOKUME~1\Silvan\LOKALE~1\Temp

09.03.2006 17:27 284 MSI2b166.LOG
09.03.2006 17:27 284 MSI2b165.LOG
09.03.2006 17:27 284 MSI2b164.LOG
09.03.2006 17:22 11.684 jusched.log
08.03.2006 20:15 0 sqlite_i4IjQGOh442Jwrd-journal
08.03.2006 17:35 0 1F5462.dmp
08.03.2006 17:09 73.276 ~e5.0001


hoffe das kann dir nun was sagen habe diesmal auch darauf geachtet das ich nicht zu viel müll reinschreibe please help me

#22 troy21

avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com
C:\data

das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten

arbeite das ab, also die bfu, ewido und Sophos
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hallo, auch für den fall, dass mich alle für verrückt erklären... ich hab exakt das gleiche problem wie alle menschen hier zuvor, ich habe auch versucht, es anch diesem schemna zu beseitigen, aber komme einfach nicht weiter.... die dateien sind immernoch da und lassen sich nicht löschen...
ich wär superfroh, wenn ihr mir hierbei helfen könntet
hier das hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 22:53:52, on 28.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\ewido anti-malware\ewidoctrl.exe
D:\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
D:\ICQLite\ICQLite.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wmplayer.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\WINDOWS\system32\p2pnetworking.exe
D:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
C:\WINDOWS\System32\svchost.exe
d:\programme\freenet\freenet sms\SMSClient.exe
C:\Programme\Softwin\BitDefender8\bdlite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://suche.klicktel.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Acronis True Image Monitor] "D:\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\bdoesrv.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [wmplayer] p2pnetworking.exe
O4 - HKLM\..\RunServices: [wmplayer] p2pnetworking.exe
O4 - HKCU\..\Run: [SMS-Client] d:\programme\freenet\freenet sms\SMSStarter.exe -minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot
O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = D:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: wmplayer.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - D:\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\ewido anti-malware\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

danke schonma im vorraus, ich bin da guter dinge, nachdem ich gesehen hab, wie schnell den anderen geholfen wurde^^
thx

#24 Aloha

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C481-94EF

Verzeichnis von C:\WINDOWS\system32

29.03.2006 16:39 39.369 nvapps.xml
29.03.2006 15:54 311.604 perfh009.dat
29.03.2006 15:54 39.992 perfc009.dat
29.03.2006 15:54 316.594 perfh007.dat
29.03.2006 15:54 48.156 perfc007.dat
29.03.2006 15:54 723.744 PerfStringBackup.INI
20.03.2006 18:45 0 taskkill.exe
16.03.2006 10:00 13.646 wpa.dbl
10.03.2006 02:10 4.799.320 MRT.exe
06.02.2006 22:24 239.944 FNTCACHE.DAT
06.01.2006 15:51 314 B56D67830BFE41f5B92E17B8D8BB29C3.ini
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
19.12.2005 20:30 4.730.880 wmp.dll
01.12.2005 05:31 1.492.480 shdocvw.dll


Verzeichnis von C:\DOKUME~1\Michael\LOKALE~1\Temp

29.03.2006 16:41 240 datFind.zip
29.03.2006 16:40 81.920 ~DFA07E.tmp
29.03.2006 16:39 203 jusched.log
29.03.2006 15:51 81.920 ~DF7C7D.tmp


Verzeichnis von C:\WINDOWS

29.03.2006 15:52 1.037.500 setupapi.log
29.03.2006 15:50 1.519.196 WindowsUpdate.log
29.03.2006 15:50 0 0.log
29.03.2006 15:50 2.048 bootstat.dat
29.03.2006 15:49 32.618 SchedLgU.Txt
29.03.2006 14:56 765 win.ini
29.03.2006 09:32 11 wanpatan.ini
28.03.2006 22:30 261.622 ntbtlog.txt
28.03.2006 17:54 39.045 wmsetup.log
24.03.2006 22:25 107.134 UninstallFirefox.exe
24.03.2006 22:25 4.513 mozver.dat
24.03.2006 21:16 50 wiaservc.log
24.03.2006 21:16 216 wiadebug.log
24.03.2006 19:42 149 ktel.ini
23.03.2006 21:47 1.930 cdplayer.ini
25.02.2006 18:06 60.416 ALCFDRTM.VER
16.02.2006 10:03 30.167 spupdsvc.log
16.02.2006 10:02 45.622 iis6.log
16.02.2006 10:02 109.685 comsetup.log
16.02.2006 10:02 65.726 ntdtcsetup.log
16.02.2006 10:02 1.374 imsins.log
16.02.2006 10:02 10.620 KB911927.log
16.02.2006 10:02 16.998 ocmsn.log
16.02.2006 10:02 118.425 tsoc.log
16.02.2006 10:02 15.085 msgsocm.log
16.02.2006 10:02 158.053 ocgen.log
16.02.2006 10:02 294.611 FaxSetup.log
16.02.2006 10:02 18.475 updspapi.log
16.02.2006 10:02 6.191 KB911564.log
16.02.2006 10:02 1.374 imsins.BAK
16.02.2006 10:01 6.400 KB911565.log
16.02.2006 10:01 6.593 KB913446.log
13.02.2006 10:49 178.575 setupact.log
12.02.2006 18:30 732.894 Firefox Wallpaper.bmp
11.02.2006 09:09 248 accessdll.log
17.01.2006 10:11 358 HPSETLOG.TXT
11.01.2006 19:48 10.150 KB908519.log
06.01.2006 18:26 10.961 KB912919.log
30.12.2005 14:17 24.734 KB901017.log
30.12.2005 14:17 25.083 KB896424.log
30.12.2005 14:16 19.350 KB910437.log
30.12.2005 14:16 26.085 KB905915.log
30.12.2005 14:16 22.548 KB902400.log
30.12.2005 14:16 14.775 KB905414.log
30.12.2005 14:15 14.531 KB900725.log
30.12.2005 14:15 11.887 KB904706.log
30.12.2005 14:15 12.046 KB905749.log
29.12.2005 00:28 535.040 flashax.exe
29.12.2005 00:28 12.288 impborl.dll
17.12.2005 18:52 12 dirsaver.ini


Verzeichnis von C:\

29.03.2006 16:46 0 sys.txt
29.03.2006 16:44 7.396 system.txt
29.03.2006 16:44 441 systemtemp.txt
29.03.2006 16:42 94.535 system32.txt
29.03.2006 15:50 804.102.144 pagefile.sys
29.03.2006 11:46 173 DelUS.bat


Ich hoffe das ist so richtig ^^

#26 Aloha

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [wmplayer] p2pnetworking.exe
O4 - HKLM\..\RunServices: [wmplayer] p2pnetworking.exe
O4 - Global Startup: wmplayer.exe

PC neustarten

1.
loesche:
C:\WINDOWS\system32\taskkill.exe
C:\WINDOWS\system32\p2pnetworking.exe
C:\WINDOWS\system32\B56D67830BFE41f5B92E17B8D8BB29C3.ini

2.
arbeite die winlog.bfu ab
http://virus-protect.org/artikel/bfu/winlog_bfu.html

3.
deinstalliere C:\Programme\BearShare (ist der Grund aller Probleme)

4.
scanne mit Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove --> Status: Deleted
*Quarantaine
wähle immer Remove und starte den PC neu

5.
mache noch einen Olinescan mit Kaspersky, denn es ist noch ein anderer Trojaner auf dem PC
http://virus-protect.org/onlinescan.html
den Scanreport von diesem Scan poste bitte hier
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Hallo Sabrina,
hab alles versucht es so zu machen, wie beschrieben, aber leider sind einige Fehler dabei aufgetreten:
du hast gesagt, ich soll häkchen setzen bei 04 - Global Startup:wmplayer.exe
--> die datei war gar nicht mehr zu sehen, konnte also kein häkchen setzen
dann sollte ich die drei dateien löschen, zwei hab ich auch gefunden, aber
C:\WINDOWS\system32\p2pnetworking.exe
war wieder unauffindbar.... habs tausend ma gesucht, aber nix gefunden.... hab trotzdem weitergemacht, dann das
C:\Programme\BearShare (ist der Grund aller Probleme)
gesucht und das war auch nich da, zumindest nach ner halben stunde suchen nich... vllt schon vorher gelöscht, kA, jedenfalls war ich schon halb am verzweifeln... naja, weitergemacht, ich hab das durch counterspy laufen lassen und dann noch den onlinescan mit kaspersky gemacht, hier der report:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, March 29, 2006 8:13:17 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 29/03/2006
Kaspersky Anti-Virus database records: 173667
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 34481
Number of viruses found: 11
Number of infected objects: 41
Number of suspicious objects: 0
Duration of the scan process: 00:28:09

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\Sören\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OPQRSTUV\i[1].exe Infected: Trojan-Downloader.Win32.VB.zd skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP146\A0029950.exe/data0001 Infected: Trojan-Downloader.NSIS.Agent.p skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP146\A0029950.exe NSIS: infected - 1 skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP147\A0029992.exe Infected: Trojan-Dropper.Win32.VB.me skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP147\A0029994.exe Infected: Trojan-Dropper.Win32.VB.me skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP147\A0030023.exe/data0001 Infected: Trojan-Downloader.NSIS.Agent.p skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP147\A0030023.exe NSIS: infected - 1 skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP148\A0030040.exe Infected: Trojan-Downloader.Win32.VB.zd skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP148\A0030041.exe/data0001 Infected: Trojan-Downloader.NSIS.Agent.p skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP148\A0030041.exe NSIS: infected - 1 skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP148\A0030049.exe Infected: Trojan-Downloader.Win32.VB.zd skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP148\A0030050.exe/data0001 Infected: Trojan-Downloader.NSIS.Agent.p skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP148\A0030050.exe NSIS: infected - 1 skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP150\A0030169.exe Infected: Trojan-Dropper.Win32.Agent.mf skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP150\A0030171.exe Infected: Trojan-Downloader.Win32.VB.na skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP150\A0030176.exe Infected: Trojan-Downloader.Win32.VB.na skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP150\A0030177.exe/data0001 Infected: Trojan-Downloader.NSIS.Agent.p skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP150\A0030177.exe NSIS: infected - 1 skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP150\A0030178.exe Infected: Trojan-Dropper.Win32.VB.me skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP150\A0030378.exe Infected: Trojan-Dropper.Win32.VB.me skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP151\A0030564.exe Infected: Trojan-Downloader.Win32.Adload.ac skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP152\A0030609.exe/data0001 Infected: Trojan-Downloader.NSIS.Agent.p skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP152\A0030609.exe NSIS: infected - 1 skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030640.exe/data0001 Infected: Trojan-Downloader.NSIS.Agent.p skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030640.exe NSIS: infected - 1 skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030643.exe/data0001 Infected: Trojan-Downloader.NSIS.Agent.p skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030643.exe NSIS: infected - 1 skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030674.exe Infected: Trojan-Downloader.Win32.VB.zg skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030675.exe/data0001 Infected: Trojan-Downloader.NSIS.Agent.p skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030675.exe NSIS: infected - 1 skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030717.exe Infected: Backdoor.Win32.Rbot.gen skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030718.exe Infected: P2P-Worm.Win32.VB.dw skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030750.exe Infected: Trojan-Dropper.Win32.VB.me skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030760.exe Infected: Trojan-Downloader.Win32.Adload.af skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030761.exe Infected: Trojan-Downloader.Win32.VB.zg skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030774.exe Infected: Trojan-Dropper.Win32.VB.me skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030775.exe Infected: Trojan-Dropper.Win32.VB.me skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030776.exe Infected: Trojan-Dropper.Win32.VB.me skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP153\A0030778.exe Infected: Trojan-Dropper.Win32.VB.me skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP154\A0030997.exe Infected: Trojan-Downloader.Win32.Adload.af skipped
C:\System Volume Information\_restore{59022C91-C49D-4D9B-8575-36033BB3BCD7}\RP154\A0031020.exe Infected: Backdoor.Win32.IRCBot.qc skipped

Scan process completed.



das hat dann wieder so viel gefunden.... ich weiß gar nich, ich glaub die dinger vermehren sich und ich komm gar nichmehr hinterher mim entfernen^^
hoffe, du kannst mr trotzdem weiterhelfen..
dankeschön, lg, Sina

#28 Aloha

1.
C:\Dokumente und Einstellungen\Sören\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OPQRSTUV--> loeschen

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

3.
Laufwerk C: eine Datenträgerbereinigung vornehmen.
Start > Programme > Zubehör > Systemprogramme >
Datenträgerbereinigung
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

4.
dann scanne noch mal ...es muesste nun alles sauber sein
dann aktiviere die Systemwiederherstellung wieder.
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Wow, dankeschön...
aber ich glaub, ich setz mich morgen erst dran, langsam kann ichs nich mehr sehen^^
ich meld mich dann, wies aussieht *g*


so, jetzt hat alles hingehaun, kaspersky zeigt an, dass keine malware mehr vorhanden ist und ich bin wirklich froh, dass das jetzt alles vorbei ist ^^
hatte ja mächtige probleme, aber durch die schnelle und toll hilfe ( danke sabina ) hat das ja prima geklappt ^^
bin mehr als zufrieden, liebe Grüße, Sina

#30 hallo!!
habe ein problem und hoffe ihr könnt mir da weiter helfen!!
ich habe gestern den wurm WORM/VB.DW auf meinem computr gefunden, nachdem ich mir etwas heruntergeladen habe. diesen habe ich weitgehend mit AVIRA entfernt, aber es scheint, dass er doch noch ein paar kleine reste überlassen hat. nun kann ich meine firewall nicht mehr aktivieren, da ständig eine fehlermeldung kommt:
Der Dienst "Windows Firewall/Gemeinsame Nutzung der Internetverbindung" auf "Lokaler Computer" konnet nicht gestartet werden. Fehler 123: Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
Kann mir vielleicht da jemand behilflich sein?? brauche dringend eine lösung!! vielen dank im voraus pete,