Wie lösche ich einen Worm/RBOT.174080??

#0
23.02.2006, 19:46
...neu hier

Beiträge: 2
#1 Hi ich hab auf meinem rechner einen Worm/RBOT.174080 festgestellt und hab keine ahung wie ich den wegbekomme.das Antivir programm findet den halt aber löscht ihn nich.Wär super wenn mir jemand helfen könnte.

mfg ketti

Logfile of HijackThis v1.99.1
Scan saved at 19:45:35, on 23.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\outlook\outlook.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Stefan Hoffmann\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [GTV GlobalIM] C:\Programme\Blowsearch Secured Messenger\global.im.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF16D4F-4931-4FC5-9137-1371DC5C44E7}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
24.02.2006, 16:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Ketti23

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Worm/VB.DW - Worm/RBot.174080

http://virus-protect.org/artikel/spyware/outlook.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.02.2006, 13:23
...neu hier

Beiträge: 5
#3 hallo,


habe mir auch diesen worm eingefangen. ist ja ein ganz schöner act das ding zu entfernen. ich hab den cleanup nach anweisung ablaufen lassen. den hijacklog poste ich anschliessend.
soll ich die 4 log-dateien (datfindbat) auch hier posten?
so ganz blick ich da nicht durch.
soll ich nun meine 4 log-dateien durch die auf der website ersetzen?


hier erst mal das hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 11:34:24, on 25.02.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\outlook\outlook.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Jochen\Desktop\TROJANER\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128941823409
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128941809129
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51B8E2CA-0C72-4A13-8519-29DBE3A31880}: NameServer = 192.168.2.1,192.168.2.218
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe

---------------------------------------


...ich glaub ich habs geschnallt.
das was die datfind.bat anzeigt wenn sie ausgeführt wir bis 3 monate kopieren und die dateíen auf meiner kiste damit ersetzen.
richtig? ich warte besser auf eine bestätigung, bevor ich mir was zerschiesse ;o)

ich hasse viren.........


danke im voraus und gruß,

smiler
Dieser Beitrag wurde am 26.02.2006 um 13:30 Uhr von smiler editiert.
Seitenanfang Seitenende
26.02.2006, 13:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 smiler

du musst die 4 Textdateien von datfind hier kopieren...es zeigt saemtliche Dateien, die sich auf deinem PC befinden- ich suche dann die Viren raus und sage, was zu loeschen ist ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.02.2006, 13:43
...neu hier

Beiträge: 5
#5 ok, danke schonmal.
hier die textfiles.

muß ich das für jedes profil auf dem rechner machen?

Datentr„ger in Laufwerk C: ist WIN_XP
Volumeseriennummer: D0FF-0EF3

Verzeichnis von C:\WINDOWS\system32

25.02.2006 11:33 35.875 vsconfig.xml
25.02.2006 11:32 2.184 wpa.dbl
23.02.2006 21:03 0 cmd.com
23.02.2006 21:03 0 taskkill.com
23.02.2006 21:03 0 regedit.com
23.02.2006 21:03 0 tasklist.com
23.02.2006 21:03 0 tracert.com
23.02.2006 21:03 0 ping.com
23.02.2006 21:03 0 netstat.com

18.01.2006 13:05 57.344 avsda.dll
22.12.2005 00:28 311.604 perfh009.dat
22.12.2005 00:28 39.992 perfc009.dat
22.12.2005 00:28 316.594 perfh007.dat
22.12.2005 00:28 48.156 perfc007.dat
22.12.2005 00:28 723.744 PerfStringBackup.INI
23.11.2005 11:10 4.212 zllictbl.dat
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407
-----------------------------------------------------

Datentr„ger in Laufwerk C: ist WIN_XP
Volumeseriennummer: D0FF-0EF3

Verzeichnis von C:\DOKUME~1\Jochen\LOKALE~1\Temp

25.02.2006 11:54 16.384 ~DFF269.tmp
25.02.2006 11:32 16.384 ~DFCFB9.tmp
25.02.2006 11:32 412 jusched.log
3 Datei(en) 33.180 Bytes
0 Verzeichnis(se), 3.139.883.008 Bytes frei

----------------------------------------------------------

Datentr„ger in Laufwerk C: ist WIN_XP
Volumeseriennummer: D0FF-0EF3

Verzeichnis von C:\WINDOWS

25.02.2006 20:53 108.454 ntbtlog.txt
25.02.2006 11:52 0 ip2.INI
25.02.2006 11:32 844.693 WindowsUpdate.log
25.02.2006 11:32 159 wiadebug.log
25.02.2006 11:32 50 wiaservc.log
25.02.2006 11:32 0 0.log
25.02.2006 11:32 2.048 bootstat.dat
23.02.2006 22:32 180.448 setupact.log
23.02.2006 20:49 106.526 wmsetup.log
21.02.2006 01:24 54.156 QTFont.qfn
12.02.2006 16:37 976.317 setupapi.log
05.02.2006 11:54 1.409 QTFont.for
19.01.2006 00:58 499 GEARInstall.log
23.12.2005 10:12 0 distlib.ini
22.12.2005 00:27 0 MG.INI
08.12.2005 03:21 34 cdplayer.ini
30.11.2005 22:24 607 nsw.log
26.10.2005 10:50 22 Kyor.ini
26.10.2005 10:50 945 win.ini
21.10.2005 09:36 445 wmsetup10.log
19.10.2005 16:32 112 ZAUBHAUS.INI
11.10.2005 13:36 75.808 DirectX.log
11.10.2005 08:53 36.012 svcpack.log
10.10.2005 13:06 28.845 xpsp1hfm.log
10.10.2005 13:06 172.786 iis6.log
10.10.2005 13:06 27.741 ntdtcsetup.log
10.10.2005 13:06 48.311 comsetup.log
10.10.2005 13:06 1.393 imsins.log
10.10.2005 13:06 56.889 tsoc.log
10.10.2005 13:06 36.456 KB828741.log
10.10.2005 13:06 4.584 ocmsn.log
10.10.2005 13:06 55.068 ocgen.log
10.10.2005 13:06 5.854 msgsocm.log
10.10.2005 13:06 111.068 FaxSetup.log
10.10.2005 13:05 40.114 msmqinst.log
10.10.2005 13:05 1.393 imsins.BAK
10.10.2005 13:05 30.755 KB835732.log
10.10.2005 13:04 22.470 Q329834.log
10.10.2005 13:04 25.866 KB823559.log
10.10.2005 13:03 22.087 Q329048.log
10.10.2005 13:03 20.683 KB834707-IE6-20040929.115007.log
10.10.2005 13:03 17.819 Q810577.log
10.10.2005 13:02 14.682 Q810833.log
10.10.2005 13:01 11.093 Q811630.log
10.10.2005 13:01 9.319 Q329441.log
10.10.2005 13:00 9.030 Q817606.log
10.10.2005 12:59 6.017 Q329170.log
10.10.2005 12:58 2.188 Q329115.log
10.10.2005 12:58 1.609 Q329390.log
10.10.2005 12:58 960 Q323255.log
10.10.2005 12:02 17.218 KB842773.log

-----------------------------------------------

Datentr„ger in Laufwerk C: ist WIN_XP
Volumeseriennummer: D0FF-0EF3

Verzeichnis von C:\

25.02.2006 12:11 0 sys.txt
25.02.2006 12:10 6.457 system.txt
25.02.2006 12:10 384 systemtemp.txt
25.02.2006 12:09 94.898 system32.txt
25.02.2006 11:32 175.104 onoes.exe
25.02.2006 11:32 805.306.368 pagefile.sys
14.03.2005 10:52 194 boot.ini
03.02.2005 01:10 0 AUTOEXEC.BAT
03.02.2005 01:10 0 IO.SYS
03.02.2005 01:10 0 MSDOS.SYS
03.02.2005 01:10 0 CONFIG.SYS
18.08.2001 13:00 4.952 bootfont.bin
18.08.2001 13:00 224.032 ntldr
18.08.2001 13:00 45.124 NTDETECT.COM
14 Datei(en) 805.857.513 Bytes
0 Verzeichnis(se), 3.139.883.008 Bytes frei
Seitenanfang Seitenende
26.02.2006, 14:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 smiler

http://virus-protect.org/hjtkurz.html
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto

----------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....

C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com
C:\onoes.exe

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

arbeite die bfu + den ewido scanner ab
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

Info:
http://virus-protect.org/artikel/spyware/outlook.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.02.2006, 15:37
...neu hier

Beiträge: 5
#7 mann o mann,

das iss ja starker tobak.......

vielen dank für die zeit, die du für mich aufwendest, sabina.
respect. proffesionelle hilfe und das sonntags.
wie kann ich das wieder gutmachen?

momentan läuft gerade ewido, schon 29 inf. dateien gefunden und grad mal 50% durch.

vielleicht kann ich dir auch mal einen stein in den vorgarten werfen ;o)
solltest du mal probleme mit auto o. motorrad haben sag bescheid.


nochmals vielen, vielen dank,


jochen
Seitenanfang Seitenende
11.03.2006, 10:33
...neu hier

Beiträge: 2
#8 Hi Leute ich habe mir den Worm/Rbot. are eingefangen und kann ihn nicht löschen egal was ich mache er kommt wieder. Kann mir jemand helfen?

mfg macciatonixe
Seitenanfang Seitenende
11.03.2006, 15:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 macciatonixe

1,
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2,
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3,
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.03.2006, 15:57
...neu hier

Beiträge: 2
#10 Logfile of HijackThis v1.99.1
Scan saved at 15:56:55, on 12.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\WINDOWS\System32\svho0st98.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\dwwin.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [internet service] svho0st98.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\RunServices: [internet service] svho0st98.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {0E79192A-C52C-4260-920F-639AC2296203} - http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1048_EN_XP.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1039367970881
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141469441503
O16 - DPF: {71CBDCD9-0830-4470-A890-35D364DA352C} - http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1047_EN_XP.cab
O16 - DPF: {EFB23983-5803-4914-ADA3-C0EA2CFBDC37} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1072_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4069DA55-BFC1-4542-9DCC-EB72597AA5A5}: NameServer = 217.237.148.49 217.237.148.65
O17 - HKLM\System\CCS\Services\Tcpip\..\{529E5118-2F29-453C-8F3A-4FC997694EF9}: NameServer = 85.255.116.172,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C3DE034-D944-4E37-94E2-27412C15A41F}: NameServer = 85.255.116.172,85.255.112.225
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
12.03.2006, 16:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 macciatonixe

diesen PC zu reinigen , macht keinen Sinn denn er ist voellig verseucht und dazu voellig ungepatcht (keine WindowsUpdates)
Und solche System reinige ich normalerweise nicht.
Formatiere und komme wieder mit dem HijackThis-Log und SP2 (WindowsUpdates)
http://virus-protect.org/nachneuinst.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.03.2006, 18:25
...neu hier

Beiträge: 3
#12 hallo,

habe mir gestern den gleichen wurm eingefangen und brauche hilfe.
habe die von sabina angegebenen schritte durchgeführt und hier nun das was rausgekommen ist:


Logfile of HijackThis v1.99.1
Scan saved at 17:54:59, on 25.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\BCMSMMSG.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\outlook\outlook.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\jp\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Dell\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe


Verzeichnis von C:\WINDOWS\SYSTEM32

24.03.2006 17:24 62.464 bszip.dll
24.03.2006 17:23 0 tasklist.com
24.03.2006 17:23 0 cmd.com
24.03.2006 17:23 0 regedit.com
24.03.2006 17:23 0 taskkill.com
24.03.2006 17:23 0 ping.com
24.03.2006 17:23 0 tracert.com
24.03.2006 17:23 0 netstat.com
21.03.2006 00:04 1.170 WPA.DBL
10.03.2006 01:10 4.799.320 MRT.exe
18.01.2006 13:05 57.344 AVSDA.DLL
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
11.12.2005 14:32 7.006 jupdate-1.5.0_06-b05.log
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll



Verzeichnis von C:\DOKUME~1\jp\LOKALE~1\Temp

25.03.2006 18:18 206 jusched.log
25.03.2006 18:08 32.768 ~DF222F.tmp
25.03.2006 18:08 16.384 ~DFF07.tmp
25.03.2006 18:08 32.768 ~DFFBF9.tmp



Verzeichnis von C:\WINDOWS

25.03.2006 18:10 374.814 WindowsUpdate.log
25.03.2006 18:07 2.048 BOOTSTAT.DAT
25.03.2006 18:06 32.622 SchedLgU.Txt
12.03.2006 04:33 116 NeroDigital.ini
26.02.2006 19:32 192 Winamp.ini
09.01.2006 10:50 126 mdm.ini
09.01.2006 10:50 4.161 ODBCINST.INI
09.01.2006 10:50 660 ODBC.INI
09.01.2006 10:49 85 VBADDIN.INI
09.01.2006 10:49 1.309 VB.INI
11.11.2005 14:16 48 REGKEYCR.INI



25.03.2006 18:22 0 sys.txt
25.03.2006 18:22 4.607 system.txt
25.03.2006 18:21 435 systemtemp.txt
25.03.2006 18:20 112.047 system32.txt
25.03.2006 18:07 536.129.536 hiberfil.sys
25.03.2006 18:06 805.306.368 pagefile.sys


was kann ich jetzt tun?
danke schon mal für die mühe,

gruß mikkkele
Seitenanfang Seitenende
26.03.2006, 00:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 mikkkele

1.
arbeite das bitte ab ;) ..also: die winlog.bfu und ewido
http://virus-protect.org/artikel/bfu/winlog_bfu.html

2.
Sophos
IDEs für SAV Version April 2006 (4.04)
Aktuelle Web-Version
Aktuelle CD und Web-Version Download Zip Download Exe 121
http://www.sophos.de/downloads/ide/

2.) http://www.sophos.de/tools/sav32sfx.exe

3.) gehe in C:\

4.) klicke SAV32CLI --> der scan beginnt

**
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2006, 16:46
...neu hier

Beiträge: 3
#14 hallo,
hier der ewido report. hab den scan allerdings nicht im abgesicherten modus durchgeführt - hoffe das ist trotzdem ok.
sophos hat jetzt auch den scan durchgeführt aber keinen report oder so angezeigt.
es kam nur ne meldung, dass er c:\hyberlis.sys oder so nicht öffnen konnte.
heisst das jetzt, dass der wurm weg ist? oder was soll ich noch machen?

hab auch noch ne generelle frage:

was für nen virenscanner benutzt du? bzw welchen sollte ich nutzen? hab im moment antivir, soll doch ganz gut sein, oder? sollte ich die ganze ewido prozedur usw öfter mal machen oder nur in diesem speziellen fall?

danke, gruß mikkkele


---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 16:38:21, 26.03.2006
+ Report-Checksumme: 96D642B4

+ Scanergebnis:

:mozilla.15:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.18:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.19:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.20:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.21:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\24 24 Season 1 Complete Divx Rkl.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\24 24 Season 2 Divx.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\24 S05e09 Hdtv Www Tensiontorrent Com.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\24 S05e14 Hdtv Xvid Lol.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\24 Season 1.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\24 Season04 Complete.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\Adobe Acrobat 7 0 Professional Incl keyg*hier nicht* Paradox.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\Adobe Audition V2 0 English Www Pctorrent Com.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\Adobe Illustrator Cs2 V12 32321 39636 20013 25991 21407 29256 20809 30879.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\Adobe Photoshop Cs2 Iso keyg*hier nicht* Squiggie.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\Adobe Premiere Pro 7 0.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\Ahead Nero V7 0 Premium Edition.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\Aliasmayaunlimited7011511998 Demonoid Com.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\Autocad 2006 Eng.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\Autodata 2005 Multilanguage Crack Www Limitedivx Com Lmd T34m Flint.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\Autodesk 3d Studio Max V8 0 Webinstall Incl Keymaker Xforce.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\Azureus2 4 0 0 Jar.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jp\Complete\Battlestar Galactica Battlestar Galactica 2003 Season1 Season2.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup

usw....
Dieser Beitrag wurde am 26.03.2006 um 17:26 Uhr von mikkkele editiert.
Seitenanfang Seitenende
26.03.2006, 19:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 mikkkele

nun muesste wieder alles o.k. sein, dennoch mache einen Onlinescan mit Panda und poste den scanbericht
http://virus-protect.org/onlinescan.html

dann berichte bitte auch, was dein Antivirus zum Stand der Dinge meint ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: