WORM/VB.DW Antivir kann nicht entfernen |
||
---|---|---|
#0
| ||
14.06.2006, 03:18
Ehrenmitglied
Beiträge: 29434 |
||
|
||
18.06.2006, 17:52
...neu hier
Beiträge: 6 |
#47
Folgendes spuckt Kasperspy online nach 55 min. untersuchung aus.
da hab ich doch noch einiges aufn Combi Was ist der System Volumen information für ein ordner(da sin alle drin...) Ich hab jetz von der Computerbild(nein, nich ich sondern nur noch meine Mutter hat sie gekauft!) eine 1-Jahr Version von Kasperspy. is die besser als Avira Antivir? Parallel zu dem online Check hat Antivir viele Viren bzw. Signaturen von Viren gefunden(ca.20...). Wieder alle im dem system Volume ordner. Öffnen kann ich ihn nich und versteckt isser auch... EDIT: Sorry war paar Tage im Urlaub, drum konnte ich nich antworten Edit2:WAS HALTET IHR JETZ VON DEM PROGRAMM STARTER? Anhang: zthjgfhd.rar
|
|
|
||
18.06.2006, 18:42
Ehrenmitglied
Beiträge: 29434 |
#48
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
/dann wieder aktivieren Zitat Folgendes spuckt Kasperspy online nach 55 min. untersuchung aus.??????????? bitte hier kopieren ! -------------------------------------------------------------------- PROGRAMM STARTER ist schick http://virus-protect.org/artikel/tools/starter.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.06.2006, 00:52
...neu hier
Beiträge: 6 |
#49
Ich habs doch als rar in den Anhang beigefügt
KASPERSKY ON-LINE SCANNER REPORT Wednesday, June 14, 2006 5:34:31 PM Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.78.0 Kaspersky Anti-Virus database last update: 14/06/2006 Kaspersky Anti-Virus database records: 188394 Scan Settings Scan using the following antivirus database standard Scan Archives true Scan Mail Bases true Scan Target My Computer A:\ C:\ E:\ F:\ G:\ H:\ I:\ J:\ Scan Statistics Total number of scanned objects 116272 Number of viruses found 10 Number of infected objects 28 Number of suspicious objects 0 Duration of the scan process 01:21:01 Infected Object Name Virus Name Last Action C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043386.exe Infected: not-virus:BadJoke.Win32.VB.ai skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043387.exe Infected: Trojan-Clicker.Win32.VB.mo skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043389.exe Infected: Trojan-Downloader.Win32.Swizzor.co skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043390.exe Infected: Trojan-Downloader.Win32.Swizzor.fg skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043399.exe/run.exe Infected: Trojan-Downloader.Win32.Harnig.bg skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043399.exe ZIP: infected - 1 skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043399.exe CryptFF: infected - 1 skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043401.exe Infected: P2P-Worm.Win32.VB.dw skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043402.exe Infected: Worm.Win32.VB.an skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043403.exe Infected: P2P-Worm.Win32.VB.dw skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043405.exe Infected: Worm.Win32.VB.an skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043406.exe Infected: Worm.Win32.VB.an skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092963.exe Infected: P2P-Worm.Win32.VB.dw skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092965.exe Infected: P2P-Worm.Win32.VB.dw skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092966.exe Infected: Trojan.Win32.Pakes skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092967.exe Infected: Trojan-Dropper.Win32.Agent.xc skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092968.exe Infected: P2P-Worm.Win32.VB.dw skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092969.exe Infected: Trojan-Dropper.Win32.Agent.xc skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092970.exe Infected: P2P-Worm.Win32.VB.dw skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092971.exe Infected: Backdoor.Win32.IRCBot.kj skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092973.exe Infected: Trojan-Downloader.Win32.Swizzor.co skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092974.exe Infected: P2P-Worm.Win32.VB.dw skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092977.exe Infected: Trojan.Win32.Pakes skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092978.exe Infected: Trojan.Win32.Pakes skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092979.exe Infected: P2P-Worm.Win32.VB.dw skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092983.exe Infected: Worm.Win32.VB.an skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092984.exe Infected: P2P-Worm.Win32.VB.dw skipped C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092985.exe Infected: Trojan-Dropper.Win32.Agent.xc skipped Scan process completed. Dieser Beitrag wurde am 19.06.2006 um 00:56 Uhr von Clankinator editiert.
|
|
|
||
19.06.2006, 08:38
Ehrenmitglied
Beiträge: 29434 |
#50
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
/dann wieder aktivieren dann sollte wieder alles o.k. sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.09.2006, 19:26
Lutschmops
zu Gast
|
#51
Hallo Sabina!
Ich habe nun die Anweisungen befolgt und hoffe, dass du damit auch was anfangen kannst. Gehen wir der Reihenfolge nach: Der Hijack - Report: Logfile of HijackThis v1.99.1 Scan saved at 12:58:52, on 08.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AIM95\aim.exe C:\Programme\ICQPlus\vplus.exe C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\LimeWire\LimeWire.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\Maik\LOKALE~1\Temp\7zOD.tmp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: XBTBPos00 - {E552EEFC-DE97-45D4-BA1A-F534A1B4A579} - (no file) O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O3 - Toolbar: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - C:\Programme\Morpheus Toolbar\morpheustoolbar.dll (file missing) O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKLM\..\Run: [NetStat Live] C:\Programme\AnalogX\NetStat Live\nsl.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [tuloxFreeWBF] C:\Programme\tuloxFreeWBF\FreeDict.exe AUTOSTART O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - C:\Programme\Morpheus Toolbar\morpheustoolbar.dll (file missing) O9 - Extra 'Tools' menuitem: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - C:\Programme\Morpheus Toolbar\morpheustoolbar.dll (file missing) O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: pushow0.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe _________________________________________________________________ Cleanup! ist erfolgt. _________________________________________________________________ nun den Combofix - Report: Maik - 06-09-08 13:11:43.82 ComboFix 06.09.07 - Running from: C:\Dokumente und Einstellungen\Maik\Desktop Microsoft Windows XP [Version 5.1.2600] ((((((((((((((((((((((((((((((( Files Created from 2006-08-08 to 2006-09-08 )))))))))))))))))))))))))))))))))) 2006-08-25 15:07 724,992 --a------ C:\WINDOWS\iun6002.exe 2006-08-25 13:13 356,352 --a------ C:\WINDOWS\eSellerateEngine.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-08 12:50 -------- d-------- C:\Dokumente und Einstellungen\Maik\Anwendungsdaten\WholeSecurity 2006-09-06 12:43 -------- d-------- C:\Programme\CleanUp! 2006-09-05 20:55 -------- d---s---- C:\Dokumente und Einstellungen\Maik\Anwendungsdaten\Microsoft 2006-09-05 17:03 180224 --a------ C:\WINDOWS\system32\dwwin.exe 2006-09-05 16:59 1035264 --a------ C:\WINDOWS\explorer.exe 2006-09-02 18:41 -------- d-------- C:\Programme\Screensaver 2006-09-02 18:41 -------- d-------- C:\Programme\Google 2006-09-02 18:41 -------- d-------- C:\Programme\Elecard MPEG2 Player V1.30 2006-09-01 20:14 -------- d-------- C:\Programme\AmazingMIDI 2006-09-01 20:00 -------- d-------- C:\Programme\Ascentive 2006-09-01 00:24 -------- d-------- C:\Programme\Ashampoo 2006-09-01 00:07 -------- d-------- C:\Programme\MediaInfo 2006-08-29 01:24 -------- d-------- C:\Programme\MSN Messenger 2006-08-27 01:15 -------- d-------- C:\Programme\Siemens Data Suite 2006-08-27 01:15 -------- d-------- C:\Programme\Gemeinsame Dateien\Siemens AG Shared 2006-08-27 01:14 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-08-27 01:14 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-08-27 01:11 -------- d-------- C:\Programme\Online TV Player 2006-08-25 15:07 -------- d-------- C:\Programme\Windows Media Player 2006-08-25 15:00 -------- d-------- C:\Programme\iTunes Art Importer 2006-08-25 13:39 170 --a------ C:\Dokumente und Einstellungen\Maik\Anwendungsdaten\AlbumCoverFinder Prefs.txt 2006-08-25 13:29 -------- d-------- C:\Programme\Album Cover Finder 2006-08-25 01:02 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2006-08-25 00:55 -------- d-------- C:\Programme\TurboCAD Professional V.10.1 de Setup 2006-08-25 00:36 -------- d-------- C:\Programme\Talisman 2 2006-08-25 00:26 -------- d-------- C:\Programme\claviscom 2006-08-24 00:40 -------- d-------- C:\Programme\Anvil Studio 2006-08-23 23:38 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll 2006-07-28 01:26 -------- d-------- C:\Programme\Xaudio 2006-07-28 00:28 -------- d-------- C:\Programme\intelliScore Polyphonic Demo 2006-07-27 21:02 -------- d-------- C:\Dokumente und Einstellungen\Maik\Anwendungsdaten\Anvil Studio 2006-07-27 16:47 -------- d-------- C:\Programme\IVT Corporation 2006-07-24 23:40 -------- d-------- C:\Programme\ICQLite 2006-07-24 01:57 -------- d-------- C:\Programme\EA GAMES 2006-07-12 21:26 -------- d-------- C:\Programme\BackupDVD 2006-07-12 21:25 -------- d-------- C:\Programme\Sub Station Alpha v4.08 2006-07-12 21:25 -------- d-------- C:\Programme\BackupDVDPro Full 2006-07-08 19:00 -------- d-------- C:\Programme\proDAD 2006-07-04 12:35 136192 --a------ C:\WINDOWS\system32\pushow0.dll 2006-07-04 12:34 136192 --a------ C:\WINDOWS\system32\pushow96.dll 2006-06-16 14:34 48936 --a------ C:\WINDOWS\system32\sirenacm.dll 2006-06-09 20:48 1686 --a------ C:\Programme\INSTALL.LOG 2006-06-08 23:27 57384 --a------ C:\WINDOWS\system32\avsda.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UpdReg"="C:\\WINDOWS\\Updreg.exe" "CTHelper"="CTHELPER.EXE" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "eBayToolbar"="C:\\Programme\\eBay\\eBay Toolbar2\\eBayTBDaemon.exe" "NetStat Live"="C:\\Programme\\AnalogX\\NetStat Live\\nsl.exe" "DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "PinnacleDriverCheck"="C:\\WINDOWS\\system32\\PSDrvCheck.exe" "tuloxFreeWBF"="C:\\Programme\\tuloxFreeWBF\\FreeDict.exe AUTOSTART" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "AIM"="C:\\Programme\\AIM95\\aim.exe -cnetwait.odl" "ICQ Plus"="\"C:\\Programme\\ICQPlus\\vplus.exe\"" "Ashampoo PopUpBlocker"="C:\\PROGRA~1\\Ashampoo\\ASHAMP~1\\PopUpKiller.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000001 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "ClearRecentDocsOnExit"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\ 00,00,04,00,00,40 "RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE " "item"="Adobe Reader - Schnellstart" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\Datentr„gerbereinigung.job C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1139765869.job C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1140684110.job Completion time: 08.09.2006 13:13:38.15 ComboFix.txt _________________________________________________________________ Weiter im Kontext: Kommen wir zu den datfindbat - Reportagen: System 32: Verzeichnis von C:\WINDOWS\system32 08.09.2006 13:10 54.107 vsconfig.xml 08.09.2006 13:08 384 DVCStateBkp-{00000000-00000000-00000013-00001102-00000004-00511102}.dat 08.09.2006 13:08 384 DVCState-{00000000-00000000-00000013-00001102-00000004-00511102}.dat 08.09.2006 13:08 2.064 settings.sfm 08.09.2006 13:08 2.064 settingsbkup.sfm 08.09.2006 13:08 27.408 BMXCtrlState-{00000000-00000000-00000013-00001102-00000004-00511102}.rfx 08.09.2006 13:08 27.408 BMXBkpCtrlState-{00000000-00000000-00000013-00001102-00000004-00511102}.rfx 08.09.2006 13:08 30.120 BMXStateBkp-{00000000-00000000-00000013-00001102-00000004-00511102}.rfx 08.09.2006 13:08 30.120 BMXState-{00000000-00000000-00000013-00001102-00000004-00511102}.rfx 07.09.2006 21:10 4.212 zllictbl.dat 05.09.2006 17:03 180.224 dwwin.exe 01.09.2006 20:05 1.011.848 FNTCACHE.DAT 30.08.2006 00:42 2.206 wpa.dbl 23.08.2006 23:38 42.920 vsutil_loc0407.dll 23.08.2006 23:38 392.824 vsdatant.sys 23.08.2006 23:38 83.960 zlcomm.dll 23.08.2006 23:38 71.672 zlcommdb.dll 23.08.2006 23:38 100.344 vsxml.dll 23.08.2006 23:38 59.384 vswmi.dll 23.08.2006 23:38 440.312 vsutil.dll 23.08.2006 23:38 71.672 vsregexp.dll 23.08.2006 23:38 268.280 vspubapi.dll 23.08.2006 23:38 104.440 vsmonapi.dll 23.08.2006 23:38 157.688 vsinit.dll 23.08.2006 23:37 83.960 vsdata.dll 23.08.2006 23:37 796.584 libeay32_0.9.6l.dll 27.07.2006 17:04 1.413 mapisvc.inf 04.07.2006 12:35 136.192 pushow0.dll 04.07.2006 12:34 136.192 pushow96.dll 16.06.2006 14:34 48.936 sirenacm.dll 08.06.2006 23:27 57.384 avsda.dll _______________________________________ Systemtemp: Verzeichnis von C:\DOKUME~1\Maik\LOKALE~1\Temp 08.09.2006 13:10 16.384 ~DFC7B9.tmp 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 36.857.585.664 Bytes frei _______________________________________ System: Verzeichnis von C:\WINDOWS 08.09.2006 13:10 0 0.log 08.09.2006 13:09 159 wiadebug.log 08.09.2006 13:09 50 wiaservc.log 08.09.2006 13:09 2.048 bootstat.dat 08.09.2006 13:08 58.075 WindowsUpdate.log 08.09.2006 13:08 3.162.278 {00000000-00000000-00000013-00001102-00000004-00511102}.CDF 08.09.2006 12:45 70.632 wmsetup.log 08.09.2006 12:07 79 ClaSWReg.ini 07.09.2006 16:38 429.526 setupapi.log 06.09.2006 20:52 116 NeroDigital.ini 06.09.2006 14:14 1.305.650 ntbtlog.txt 06.09.2006 01:03 1.409 QTFont.for 06.09.2006 01:03 54.156 QTFont.qfn 05.09.2006 19:04 59 T1_DE_EN.INI 05.09.2006 16:59 1.035.264 explorer.exe 02.09.2006 19:42 1.941 gsb2005.ini 27.08.2006 23:19 1.690 psmplay.ini 26.08.2006 01:15 165 ClaLReg.ini 25.08.2006 15:06 724.992 iun6002.exe 25.08.2006 00:59 40 LOND.NCV 25.08.2006 00:59 40 LCND.NCV 20.08.2006 22:53 60.014 discwriter.log 20.08.2006 22:53 0 OrangeBurn.log 06.08.2006 20:10 1.245 IE4 Error Log.txt 30.07.2006 01:31 332 desctemp.dat 25.07.2006 00:18 13.483 DirectX.log 27.06.2006 03:01 20 Hposcv07.INI 26.06.2006 13:20 119 acezhall.ini 08.06.2006 14:59 2.068 wsb2005.ini 07.06.2006 23:26 2.560 _MSRSTRT.EXE _______________________________________ Sys: Verzeichnis von C:\ 08.09.2006 13:54 0 sys.txt 08.09.2006 13:53 8.044 system.txt 08.09.2006 13:53 291 systemtemp.txt 08.09.2006 13:53 110.036 system32.txt 08.09.2006 13:09 536.449.024 hiberfil.sys 08.09.2006 13:09 805.306.368 pagefile.sys 08.09.2006 12:48 67.222 hpfr3420.log 08.09.2006 12:42 519 hpfr3420.xml 20.07.2006 10:25 232 sqmdata02.sqm 20.07.2006 10:25 244 sqmnoopt06.sqm 20.07.2006 10:22 244 sqmnoopt05.sqm 20.07.2006 10:22 232 sqmdata01.sqm 20.07.2006 10:22 232 sqmdata00.sqm 20.07.2006 10:22 244 sqmnoopt04.sqm 20.07.2006 10:21 244 sqmnoopt03.sqm 20.07.2006 10:21 232 sqmdata19.sqm 20.07.2006 10:21 244 sqmnoopt02.sqm 20.07.2006 10:21 232 sqmdata18.sqm 20.07.2006 10:20 232 sqmdata17.sqm 20.07.2006 10:20 244 sqmnoopt01.sqm 18.07.2006 22:34 232 sqmdata16.sqm 18.07.2006 22:34 244 sqmnoopt00.sqm 18.07.2006 22:32 232 sqmdata15.sqm 18.07.2006 22:32 244 sqmnoopt19.sqm 18.07.2006 22:31 244 sqmnoopt18.sqm 18.07.2006 22:31 232 sqmdata14.sqm 18.07.2006 22:21 244 sqmnoopt17.sqm 18.07.2006 22:21 232 sqmdata13.sqm 18.07.2006 22:11 232 sqmdata12.sqm 18.07.2006 22:11 244 sqmnoopt16.sqm 18.07.2006 22:04 232 sqmdata11.sqm 18.07.2006 22:04 244 sqmnoopt15.sqm 18.07.2006 22:00 232 sqmdata10.sqm 18.07.2006 22:00 244 sqmnoopt14.sqm 18.07.2006 21:49 244 sqmnoopt13.sqm 18.07.2006 21:49 232 sqmdata09.sqm 18.07.2006 21:48 232 sqmdata08.sqm 18.07.2006 21:48 244 sqmnoopt12.sqm 18.07.2006 21:47 232 sqmdata07.sqm 18.07.2006 21:47 244 sqmnoopt11.sqm 18.07.2006 21:44 232 sqmdata06.sqm 18.07.2006 21:44 244 sqmnoopt10.sqm 18.07.2006 21:43 232 sqmdata05.sqm 18.07.2006 21:43 244 sqmnoopt09.sqm 18.07.2006 21:23 244 sqmnoopt08.sqm 18.07.2006 21:23 232 sqmdata04.sqm 18.07.2006 21:22 232 sqmdata03.sqm 18.07.2006 21:22 244 sqmnoopt07.sqm 05.06.2006 21:44 14.327 debug.log _________________________________________________________________ O.k. das waren die Reportagen, die du brauchst? _________________________________________________________________ Weiter soll ich ja noch Symptome beschreiben: Mein Explorer stürzt immer ab. Außerdem verschwinden dann Symbole aus dem Infobereich der Taskleiste. _________________________________________________________________ Antivirus: F:\RECYCLER\S-1-5-21-1275210071-115176313-839522115-1003\Df7.zip [0] Archivtyp: ZIP --> Setup.exe [FUND] Enthält Signatur des Wurmes WORM/VB.DW [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453380bd.qua' verschoben! G:\RECYCLER\S-1-5-21-1275210071-115176313-839522115-1003\Dg8.zip [0] Archivtyp: ZIP --> Setup.exe [FUND] Enthält Signatur des Wurmes WORM/Alcra.B [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453494ec.qua' verschoben! G:\RECYCLER\S-1-5-21-1275210071-115176313-839522115-1003\Dg9.zip [0] Archivtyp: ZIP --> Setup.exe [FUND] Enthält Signatur des Wurmes WORM/Alcra.B [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453594f0.qua' verschoben! ________________________________ Also die hat er gefunden, dann in die Quarantäne veschoben und da habe ich sie dann gelöscht. Nun findet er bei eienr erneuten Durchsuchung des Systems keine Würmer mehr. Aber die Symptome sind halt noch da und darum glaube ich auch, dass der Wurm auch noch da ist, weil die ja nciht einfach so zu löschen sind.? Gut! Ich hoffe das sind die richtigen Informationen für dich und du kannst etwas damit anfangen. Ich bin dir jetzt schon äußerst dankbar, dass du dich mit diesem Fall beschäftigst. Und hoffe natürlich dass, du mir irgendwie weiterhelfen kannst, ohne dass es heißt platt machen. Danke! MfG maik |
|
|
||
11.09.2006, 23:26
Ehrenmitglied
Beiträge: 29434 |
#52
Lutschmops
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 3. lade den remover fuer Advertisemen http://www.atribune.org/component/option,com_frontpage/Itemid,1/ Advertisemen is a new adware out there. described here at Vivid Reflection. Richard from Vivid Reflection sent me the files via Upload Malware and I have now created a quick removal tool for advertisemen. RemAdvertisemen is available here................. 4. arbeite die bfu ab http://virus-protect.org/artikel/bfu/p2pbfuhtml.html 5. scanne mit ewido http://virus-protect.org/ewido.html poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.09.2006, 17:48
Lutschmops
zu Gast
|
#53
Hallo Sabina!
Also ich hab alles so gemacht, wie du gesagt hast, aber der Wurm ist noch da! Also gleich mal anbei der Bericht von ewindo: --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 17:40:50 12.09.2006 + Scan-Ergebnis: C:\Programme\TurboCAD Professional V.10.1 de Setup\Data1.cab/F43681_TCToler.dll -> Adware.AdWin : Keine Aktion durchgeführt. G:\Spiele\jeff[1].zip/SMILE.EXE -> Not-A-Virus.Hoax.Win16.Pornovir : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Maik\Cookies\maik@2o7[2].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Maik\Cookies\maik@atdmt[1].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Maik\Cookies\maik@as1.falkag[1].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Maik\Cookies\maik@ehg-warnerbrothers.hitbox[1].txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Maik\Cookies\maik@hitbox[2].txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Maik\Cookies\maik@ivwbox[1].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Maik\Cookies\maik@weborama[2].txt -> TrackingCookie.Weborama : Keine Aktion durchgeführt. C:\!KillBox\Advanced system optimizer 2.zip/Setup.exe -> Worm.VB.an : Keine Aktion durchgeführt. ::Berichtende Hiffe du kannst mir immernoch weiterhelfen!? Danke! MfG Maik Anhang: Report-Scan-20060912-174050.txt
|
|
|
||
13.09.2006, 00:14
Ehrenmitglied
Beiträge: 29434 |
#54
1.
loesche manuell: C:\!KillBox\Advanced system optimizer 2.zip 2. loesche: C:\Programme\TurboCAD Professional V.10.1 de Setup 3. mit dem ewido kann man loeschen....Keine Aktion durchgeführt ist nicht angebracht........ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.09.2006, 21:53
Lutschmops
zu Gast
|
#55
Hallo Sabina!
Also ich habe nun alles gemacht und glaube nun dass alles weg ist. Ich danke dir für deine Hilfe und hoffe ich habe dir ncih die Nerven geraubt! Ich hab da doch noch ne Frage, der Antivirus Scanner hat beim scannen einige Trojaner gefunden und die sind jetzt in der Quarantäne. Wie werde ich sie los? Soll ich sie vielleicht da lassen? Weil ich glaube, dass wenn ich sie lösche sie wieder auftauchen.... Einen kleinen Rat noch! Bitte! Ich habe mich dazu entschlossen dich mit 10€ zu entlohnen und ich hoffe du findest das o.k. und freust dich. Mach bitte so weiter und verliere nicht dden Mut an PC-Idioten MfG Maik |
|
|
||
19.09.2006, 00:44
Ehrenmitglied
Beiträge: 29434 |
#56
wenn die Viren in Quarantaene sind, so ist es in Ordnung , denn da bleiben sie auch.
und danke fuer den Obulus, klar, ich freue mich du kannst dann noch, wenn du Zeit hast, mit verschiedenen Onlinescannern drueberbuegeln, um sicher zu sein, dass alles sauber ist. http://virus-protect.org/onlinescan.html einige scanner loeschen, andere zeigen die malware nur an. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.09.2006, 17:55
...neu hier
Beiträge: 8 |
#57
Hallo, Antivir gab mir heute auch die Meldung, dass er den gefunden hat, ich habe NULL Ahnung von PC's um ehrlich zu sein und möchte nicht irgendetwas falsch machen. Ich habe keine Ahnung, wie ich mir das Log überhaupt ansehen kann :-/
Wäre froh, Hilfe zu bekommen, die man auch als Unwissender verstehen kann. |
|
|
||
23.09.2006, 19:24
Ehrenmitglied
Beiträge: 29434 |
#58
Nayeli
1. poste hier dieses Log (abkopieren) http://virus-protect.org/artikel/tools/combofix.html 2. scanne mit Ewido, dann kopiere hier den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.09.2006, 23:06
...neu hier
Beiträge: 8 |
#59
ok, habe ich soweit gemacht *smile*
06-09-23 22:44:52.51 Service Pack 2 ComboFix 06.09.23.2 - Running from: "C:\Dokumente und Einstellungen\Silke Galla\Desktop" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\bszip.dll C:\WINDOWS\system32\cmd.com C:\WINDOWS\system32\netstat.com C:\WINDOWS\system32\ping.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\system32\taskkill.com C:\WINDOWS\system32\tasklist.com C:\WINDOWS\system32\tracert.com C:\WINDOWS\system32\winsys.exe C:\Programme\outlook ((((((((((((((((((((((((((((((( Files Created from 2006-08-23 to 2006-09-23 )))))))))))))))))))))))))))))))))) 2006-09-13 22:39 128,232 --a------ C:\WINDOWS\system32\mucltui.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-22 14:34 -------- d-------- C:\Programme\BFG 2006-09-22 13:48 -------- d-------- C:\Programme\MSN Games 2006-09-21 17:43 -------- d-------- C:\Programme\ReflexiveArcade 2006-09-16 05:13 -------- d-------- C:\Programme\Winamp 2006-09-16 04:57 -------- d---s---- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Microsoft 2006-09-16 03:29 -------- d-------- C:\Programme\Gemeinsame Dateien\ROXIO 2006-09-16 03:29 -------- d-------- C:\Programme\Gemeinsame Dateien\Adaptec Shared 2006-09-16 03:29 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-09-16 03:03 -------- d-------- C:\Programme\Ahead 2006-09-14 09:37 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe 2006-09-14 09:37 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\AdobeUM 2006-09-14 09:37 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Adobe 2006-09-06 02:21 -------- d-------- C:\Programme\Oberon Media 2006-08-25 00:09 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Talkback 2006-08-25 00:08 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla 2006-08-24 02:22 -------- d-------- C:\Programme\Internet Explorer 2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll 2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe 2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys 2006-08-21 09:42 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-08-21 09:39 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2006-08-18 16:39 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Macromedia 2006-08-18 06:15 -------- d-------- C:\Programme\Gemeinsame Dateien\Oberon Media 2006-08-15 19:24 -------- d-------- C:\Programme\directx 2006-08-15 19:23 -------- d-------- C:\Programme\Gemeinsame Dateien\Logitech 2006-08-15 19:22 -------- d-------- C:\Programme\Logitech 2006-08-15 19:21 -------- d-------- C:\Programme\Windows Media Components 2006-08-15 19:21 -------- d-------- C:\Programme\Real 2006-08-15 19:21 -------- d-------- C:\Programme\Gemeinsame Dateien\Real 2006-08-15 19:21 -------- d-------- C:\Programme\Gemeinsame Dateien\FotoWire 2006-08-15 19:21 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\FotoWire 2006-08-15 19:20 81920 -r------- C:\WINDOWS\bwUnin-6.1.4.36-8876480L.exe 2006-08-14 15:44 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Aim 2006-08-08 16:04 -------- d-------- C:\Programme\IncrediMail 2006-08-05 17:00 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2006-08-05 15:21 -------- d-------- C:\Programme\Viewpoint 2006-08-05 12:40 -------- d-------- C:\Programme\Java 2006-08-05 12:40 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Sun 2006-08-05 12:38 -------- d-------- C:\Programme\Gemeinsame Dateien\Java 2006-08-05 12:33 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Pandora's Box 2 2006-08-05 11:35 -------- d-------- C:\Programme\MSN Messenger 2006-08-05 11:33 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2006-08-05 11:33 -------- d-------- C:\Programme\DIFX 2006-08-05 10:54 796672 --a------ C:\WINDOWS\GPInstall.exe 2006-08-05 01:59 57384 --a------ C:\WINDOWS\system32\avsda.dll 2006-08-05 01:59 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2006-08-04 23:48 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\teamspeak2 2006-08-04 23:10 -------- d-------- C:\Programme\Microsoft Visual Studio 2006-08-04 23:10 -------- d-------- C:\Programme\Gemeinsame Dateien\Designer 2006-08-04 23:09 -------- d-------- C:\Programme\Gemeinsame Dateien\System 2006-08-04 23:07 -------- d-------- C:\Programme\microsoft frontpage 2006-08-04 23:07 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Microsoft Web Folders 2006-08-04 21:43 -------- d-------- C:\Programme\Yahoo! 2006-08-04 21:18 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Help 2006-08-03 17:58 -------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines 2006-08-03 17:58 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC 2006-08-03 17:57 62 --ahs---- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\desktop.ini 2006-08-03 17:56 -------- d-------- C:\Programme\Windows Media Player 2006-08-03 17:51 -------- d-------- C:\Programme\Outlook Express 2006-08-03 17:43 -------- d-------- C:\Programme\Messenger 2006-08-03 17:31 -------- d-------- C:\Programme\Intel Audio Studio 2006-08-03 17:30 -------- d-------- C:\Programme\SigmaTel 2006-08-03 17:27 -------- d-------- C:\Programme\MSXML 4.0 2006-08-03 17:27 -------- d-------- C:\Programme\Intel 2006-08-03 17:26 -------- d--h----- C:\Programme\Uninstall Information 2006-08-03 17:26 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Identities 2006-08-03 17:21 0 -rahs---- C:\MSDOS.SYS 2006-08-03 17:21 0 -rahs---- C:\IO.SYS 2006-08-03 17:21 0 --a------ C:\CONFIG.SYS 2006-08-03 17:21 0 --a------ C:\AUTOEXEC.BAT 2006-08-03 17:21 -------- d-------- C:\Programme\xerox 2006-08-03 17:19 -------- d--h----- C:\Programme\WindowsUpdate 2006-08-03 17:19 -------- d-------- C:\Programme\Online-Dienste 2006-08-03 17:18 -------- d-------- C:\Programme\NetMeeting 2006-08-03 17:18 -------- d-------- C:\Programme\Movie Maker 2006-08-03 17:18 -------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap 2006-08-03 17:18 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste 2006-08-03 17:13 -------- d-------- C:\Programme\ComPlus Applications 2006-08-03 17:12 -------- d-------- C:\Programme\Windows Plus 2006-08-03 17:09 -------- d-------- C:\Programme\Windows NT 2006-08-03 17:09 -------- d-------- C:\Programme\MSN Gaming Zone 2006-08-03 17:08 -------- d-------- C:\Programme\MSN 2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll 2006-07-11 23:01 715776 --a------ C:\WINDOWS\system32\sxs.dll 2006-07-11 23:01 6144 --------- C:\WINDOWS\system32\kbdpash.dll 2006-07-11 23:01 6144 --------- C:\WINDOWS\system32\kbdnepr.dll 2006-07-11 23:01 6144 --------- C:\WINDOWS\system32\kbdiultn.dll 2006-07-11 23:01 6144 --------- C:\WINDOWS\system32\kbdbhc.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe" "SigmatelSysTrayApp"="sttray.exe" "IntelAudioStudio"="\"C:\\Programme\\Intel Audio Studio\\IntelAudioStudio.exe\" BOOT" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "SW20"="C:\\WINDOWS\\system32\\sw20.exe" "SW24"="C:\\WINDOWS\\system32\\sw24.exe" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "LVCOMS"="C:\\Programme\\Gemeinsame Dateien\\Logitech\\QCDriver2\\LVCOMS.EXE" "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "AdaptecDirectCD"="\"D:\\Programme\\Roxio\\WinOnCD 5 PE\\DirectCD\\DirectCD.exe\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,60,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=hex:91,00,00,00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\ 63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\ 6d,73,73,74,79,6c,65,73,00 "InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\ 73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "CDRAutoRun"=dword:00000000 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "CDRAutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Completion time: Sat 09/23/2006 22:45:23.67 ComboFix.txt --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 11:01:23 PM 9/23/2006 + Scan-Ergebnis: D:\Programme\eMule\Incoming\Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT.zip/Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT/tntvva15/CRACK/VirtualVillagers.exe -> Dropper.Delf.xo : Mit Backup gesäubert (unter Quarantäne gestellt). D:\Programme\eMule\Incoming\Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT.zip/Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT/tntvva15/SETUP/SETUP.EXE -> Dropper.Delf.xo : Mit Backup gesäubert (unter Quarantäne gestellt). D:\Programme\eMule\Incoming\Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT\Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT\tntvva15\CRACK\VirtualVillagers.exe -> Dropper.Delf.xo : Mit Backup gesäubert (unter Quarantäne gestellt). D:\Programme\eMule\Incoming\Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT\Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT\tntvva15\SETUP\SETUP.EXE -> Dropper.Delf.xo : Mit Backup gesäubert (unter Quarantäne gestellt). C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@incredimailltd.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@ad.adition[1].txt -> TrackingCookie.Adition : Gesäubert. :mozilla.32:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert. :mozilla.33:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert. :mozilla.34:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert. :mozilla.35:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert. :mozilla.36:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert. :mozilla.27:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Googleadservices : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@ehg-alt64.hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@ehg-globalgamingleague.hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@hotlog[1].txt -> TrackingCookie.Hotlog : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@i12[2].txt -> TrackingCookie.I12 : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@max.i12[2].txt -> TrackingCookie.I12 : Gesäubert. :mozilla.16:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@stat.onestat[2].txt -> TrackingCookie.Onestat : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@data4.perf.overture[1].txt -> TrackingCookie.Overture : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@ads.planetactive[1].txt -> TrackingCookie.Planetactive : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@ads-205.quarterserver[1].txt -> TrackingCookie.Quarterserver : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@counter9.sextracker[1].txt -> TrackingCookie.Sextracker : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@count.xhit[1].txt -> TrackingCookie.Xhit : Gesäubert. C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@yadro[1].txt -> TrackingCookie.Yadro : Gesäubert. ::Berichtende Hier soweit die Berichte, wie geht es nun weiter? muss ich noch mehr machen oder war es dann nun? Danke schon mal für die Geduld, hoffe, dass das Übel dann bald beseitigt ist. |
|
|
||
24.09.2006, 01:10
Ehrenmitglied
Beiträge: 29434 |
#60
Nayeli
du hast den Virus ueber emule geladen, du musst besser aufpassen, was du anklickst - und von Cracks lasse prinzipiell die Finger ! «« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html «« scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....
C:\WINDOWS\system32\frameori1604.exe
C:\WINDOWS\system32\n.bat
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\NDNuninstall6_38-1.exe
PC neustarten
scanne mit Kaspersky und poste den report
http://virus-protect.org/onlinescan.html
---------------------------------------------------------------
http://www.sophos.de/security/analyses/w32rbotecq.html
Vbzip10.dll ist eine harmlose Datei und kann gelöscht werden.
Msconfig.exe und setup.exe sind Kopien des Installers und werden erkannt als W32/Rbot-ECQ.
Z.rar ist eine Archiv-Datei, die eine Kopie von setup.exe enthält, auch erkannt als W32/Rbot-ECQ.
-------------
C:\WINDOWS\system32\frameori1604.exe->(FSG) Infection: W32/Downloader.gen
__________
MfG Sabina
rund um die PC-Sicherheit