WORM/VB.DW Antivir kann nicht entfernen

#46 Clankinator

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....

C:\WINDOWS\system32\frameori1604.exe
C:\WINDOWS\system32\n.bat
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\NDNuninstall6_38-1.exe

PC neustarten

scanne mit Kaspersky und poste den report
http://virus-protect.org/onlinescan.html

---------------------------------------------------------------

http://www.sophos.de/security/analyses/w32rbotecq.html
Vbzip10.dll ist eine harmlose Datei und kann gelöscht werden.
Msconfig.exe und setup.exe sind Kopien des Installers und werden erkannt als W32/Rbot-ECQ.
Z.rar ist eine Archiv-Datei, die eine Kopie von setup.exe enthält, auch erkannt als W32/Rbot-ECQ.
-------------
C:\WINDOWS\system32\frameori1604.exe->(FSG) Infection: W32/Downloader.gen
__________
MfG Sabina

rund um die PC-Sicherheit

#47 Folgendes spuckt Kasperspy online nach 55 min. untersuchung aus.

da hab ich doch noch einiges aufn Combi

Was ist der System Volumen information für ein ordner(da sin alle drin...)

Ich hab jetz von der Computerbild(nein, nich ich sondern nur noch meine Mutter hat sie gekauft!) eine 1-Jahr Version von Kasperspy. is die besser als Avira Antivir?

Parallel zu dem online Check hat Antivir viele Viren bzw. Signaturen von Viren gefunden(ca.20...). Wieder alle im dem system Volume ordner. Öffnen kann ich ihn nich und versteckt isser auch...


EDIT: Sorry war paar Tage im Urlaub, drum konnte ich nich antworten
Edit2:WAS HALTET IHR JETZ VON DEM PROGRAMM STARTER?

#48 Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
/dann wieder aktivieren

Zitat

Folgendes spuckt Kasperspy online nach 55 min. untersuchung aus.

???????????

bitte hier kopieren !

--------------------------------------------------------------------

PROGRAMM STARTER ist schick
http://virus-protect.org/artikel/tools/starter.html
__________
MfG Sabina

rund um die PC-Sicherheit

#49 Ich habs doch als rar in den Anhang beigefügt


KASPERSKY ON-LINE SCANNER REPORT
Wednesday, June 14, 2006 5:34:31 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 14/06/2006
Kaspersky Anti-Virus database records: 188394
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
E:\
F:\
G:\
H:\
I:\
J:\
Scan Statistics
Total number of scanned objects 116272
Number of viruses found 10
Number of infected objects 28
Number of suspicious objects 0
Duration of the scan process 01:21:01

Infected Object Name Virus Name Last Action
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043386.exe Infected: not-virus:BadJoke.Win32.VB.ai skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043387.exe Infected: Trojan-Clicker.Win32.VB.mo skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043389.exe Infected: Trojan-Downloader.Win32.Swizzor.co skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043390.exe Infected: Trojan-Downloader.Win32.Swizzor.fg skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043399.exe/run.exe Infected: Trojan-Downloader.Win32.Harnig.bg skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043399.exe ZIP: infected - 1 skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043399.exe CryptFF: infected - 1 skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043401.exe Infected: P2P-Worm.Win32.VB.dw skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043402.exe Infected: Worm.Win32.VB.an skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043403.exe Infected: P2P-Worm.Win32.VB.dw skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043405.exe Infected: Worm.Win32.VB.an skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP170\A0043406.exe Infected: Worm.Win32.VB.an skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092963.exe Infected: P2P-Worm.Win32.VB.dw skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092965.exe Infected: P2P-Worm.Win32.VB.dw skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092966.exe Infected: Trojan.Win32.Pakes skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092967.exe Infected: Trojan-Dropper.Win32.Agent.xc skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092968.exe Infected: P2P-Worm.Win32.VB.dw skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092969.exe Infected: Trojan-Dropper.Win32.Agent.xc skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092970.exe Infected: P2P-Worm.Win32.VB.dw skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092971.exe Infected: Backdoor.Win32.IRCBot.kj skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092973.exe Infected: Trojan-Downloader.Win32.Swizzor.co skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092974.exe Infected: P2P-Worm.Win32.VB.dw skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092977.exe Infected: Trojan.Win32.Pakes skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092978.exe Infected: Trojan.Win32.Pakes skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092979.exe Infected: P2P-Worm.Win32.VB.dw skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092983.exe Infected: Worm.Win32.VB.an skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092984.exe Infected: P2P-Worm.Win32.VB.dw skipped
C:\System Volume Information\_restore{5B74AAA3-5939-4EA2-B085-B6710BA36FC7}\RP255\A0092985.exe Infected: Trojan-Dropper.Win32.Agent.xc skipped
Scan process completed.

#50 Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
/dann wieder aktivieren

dann sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#51 Hallo Sabina!

Ich habe nun die Anweisungen befolgt und hoffe, dass du damit auch was anfangen kannst.
Gehen wir der Reihenfolge nach:

Der Hijack - Report:

Logfile of HijackThis v1.99.1
Scan saved at 12:58:52, on 08.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AIM95\aim.exe
C:\Programme\ICQPlus\vplus.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\LimeWire\LimeWire.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Maik\LOKALE~1\Temp\7zOD.tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: XBTBPos00 - {E552EEFC-DE97-45D4-BA1A-F534A1B4A579} - (no file)
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - C:\Programme\Morpheus Toolbar\morpheustoolbar.dll (file missing)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [NetStat Live] C:\Programme\AnalogX\NetStat Live\nsl.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [tuloxFreeWBF] C:\Programme\tuloxFreeWBF\FreeDict.exe AUTOSTART
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - C:\Programme\Morpheus Toolbar\morpheustoolbar.dll (file missing)
O9 - Extra 'Tools' menuitem: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - C:\Programme\Morpheus Toolbar\morpheustoolbar.dll (file missing)
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: pushow0.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
_________________________________________________________________

Cleanup! ist erfolgt.
_________________________________________________________________

nun den Combofix - Report:
Maik - 06-09-08 13:11:43.82
ComboFix 06.09.07 - Running from: C:\Dokumente und Einstellungen\Maik\Desktop

Microsoft Windows XP [Version 5.1.2600]

((((((((((((((((((((((((((((((( Files Created from 2006-08-08 to 2006-09-08 ))))))))))))))))))))))))))))))))))


2006-08-25 15:07 724,992 --a------ C:\WINDOWS\iun6002.exe
2006-08-25 13:13 356,352 --a------ C:\WINDOWS\eSellerateEngine.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-08 12:50 -------- d-------- C:\Dokumente und Einstellungen\Maik\Anwendungsdaten\WholeSecurity
2006-09-06 12:43 -------- d-------- C:\Programme\CleanUp!
2006-09-05 20:55 -------- d---s---- C:\Dokumente und Einstellungen\Maik\Anwendungsdaten\Microsoft
2006-09-05 17:03 180224 --a------ C:\WINDOWS\system32\dwwin.exe
2006-09-05 16:59 1035264 --a------ C:\WINDOWS\explorer.exe
2006-09-02 18:41 -------- d-------- C:\Programme\Screensaver
2006-09-02 18:41 -------- d-------- C:\Programme\Google
2006-09-02 18:41 -------- d-------- C:\Programme\Elecard MPEG2 Player V1.30
2006-09-01 20:14 -------- d-------- C:\Programme\AmazingMIDI
2006-09-01 20:00 -------- d-------- C:\Programme\Ascentive
2006-09-01 00:24 -------- d-------- C:\Programme\Ashampoo
2006-09-01 00:07 -------- d-------- C:\Programme\MediaInfo
2006-08-29 01:24 -------- d-------- C:\Programme\MSN Messenger
2006-08-27 01:15 -------- d-------- C:\Programme\Siemens Data Suite
2006-08-27 01:15 -------- d-------- C:\Programme\Gemeinsame Dateien\Siemens AG Shared
2006-08-27 01:14 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-27 01:14 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-27 01:11 -------- d-------- C:\Programme\Online TV Player
2006-08-25 15:07 -------- d-------- C:\Programme\Windows Media Player
2006-08-25 15:00 -------- d-------- C:\Programme\iTunes Art Importer
2006-08-25 13:39 170 --a------ C:\Dokumente und Einstellungen\Maik\Anwendungsdaten\AlbumCoverFinder Prefs.txt
2006-08-25 13:29 -------- d-------- C:\Programme\Album Cover Finder
2006-08-25 01:02 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-25 00:55 -------- d-------- C:\Programme\TurboCAD Professional V.10.1 de Setup
2006-08-25 00:36 -------- d-------- C:\Programme\Talisman 2
2006-08-25 00:26 -------- d-------- C:\Programme\claviscom
2006-08-24 00:40 -------- d-------- C:\Programme\Anvil Studio
2006-08-23 23:38 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-07-28 01:26 -------- d-------- C:\Programme\Xaudio
2006-07-28 00:28 -------- d-------- C:\Programme\intelliScore Polyphonic Demo
2006-07-27 21:02 -------- d-------- C:\Dokumente und Einstellungen\Maik\Anwendungsdaten\Anvil Studio
2006-07-27 16:47 -------- d-------- C:\Programme\IVT Corporation
2006-07-24 23:40 -------- d-------- C:\Programme\ICQLite
2006-07-24 01:57 -------- d-------- C:\Programme\EA GAMES
2006-07-12 21:26 -------- d-------- C:\Programme\BackupDVD
2006-07-12 21:25 -------- d-------- C:\Programme\Sub Station Alpha v4.08
2006-07-12 21:25 -------- d-------- C:\Programme\BackupDVDPro Full
2006-07-08 19:00 -------- d-------- C:\Programme\proDAD
2006-07-04 12:35 136192 --a------ C:\WINDOWS\system32\pushow0.dll
2006-07-04 12:34 136192 --a------ C:\WINDOWS\system32\pushow96.dll
2006-06-16 14:34 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-06-09 20:48 1686 --a------ C:\Programme\INSTALL.LOG
2006-06-08 23:27 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="C:\\WINDOWS\\Updreg.exe"
"CTHelper"="CTHELPER.EXE"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"eBayToolbar"="C:\\Programme\\eBay\\eBay Toolbar2\\eBayTBDaemon.exe"
"NetStat Live"="C:\\Programme\\AnalogX\\NetStat Live\\nsl.exe"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"PinnacleDriverCheck"="C:\\WINDOWS\\system32\\PSDrvCheck.exe"
"tuloxFreeWBF"="C:\\Programme\\tuloxFreeWBF\\FreeDict.exe AUTOSTART"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"AIM"="C:\\Programme\\AIM95\\aim.exe -cnetwait.odl"
"ICQ Plus"="\"C:\\Programme\\ICQPlus\\vplus.exe\""
"Ashampoo PopUpBlocker"="C:\\PROGRA~1\\Ashampoo\\ASHAMP~1\\PopUpKiller.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Datentr„gerbereinigung.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1139765869.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1140684110.job

Completion time: 08.09.2006 13:13:38.15
ComboFix.txt
_________________________________________________________________

Weiter im Kontext:
Kommen wir zu den datfindbat - Reportagen:

System 32:
Verzeichnis von C:\WINDOWS\system32

08.09.2006 13:10 54.107 vsconfig.xml
08.09.2006 13:08 384 DVCStateBkp-{00000000-00000000-00000013-00001102-00000004-00511102}.dat
08.09.2006 13:08 384 DVCState-{00000000-00000000-00000013-00001102-00000004-00511102}.dat
08.09.2006 13:08 2.064 settings.sfm
08.09.2006 13:08 2.064 settingsbkup.sfm
08.09.2006 13:08 27.408 BMXCtrlState-{00000000-00000000-00000013-00001102-00000004-00511102}.rfx
08.09.2006 13:08 27.408 BMXBkpCtrlState-{00000000-00000000-00000013-00001102-00000004-00511102}.rfx
08.09.2006 13:08 30.120 BMXStateBkp-{00000000-00000000-00000013-00001102-00000004-00511102}.rfx
08.09.2006 13:08 30.120 BMXState-{00000000-00000000-00000013-00001102-00000004-00511102}.rfx
07.09.2006 21:10 4.212 zllictbl.dat
05.09.2006 17:03 180.224 dwwin.exe
01.09.2006 20:05 1.011.848 FNTCACHE.DAT
30.08.2006 00:42 2.206 wpa.dbl
23.08.2006 23:38 42.920 vsutil_loc0407.dll
23.08.2006 23:38 392.824 vsdatant.sys
23.08.2006 23:38 83.960 zlcomm.dll
23.08.2006 23:38 71.672 zlcommdb.dll
23.08.2006 23:38 100.344 vsxml.dll
23.08.2006 23:38 59.384 vswmi.dll
23.08.2006 23:38 440.312 vsutil.dll
23.08.2006 23:38 71.672 vsregexp.dll
23.08.2006 23:38 268.280 vspubapi.dll
23.08.2006 23:38 104.440 vsmonapi.dll
23.08.2006 23:38 157.688 vsinit.dll
23.08.2006 23:37 83.960 vsdata.dll
23.08.2006 23:37 796.584 libeay32_0.9.6l.dll
27.07.2006 17:04 1.413 mapisvc.inf
04.07.2006 12:35 136.192 pushow0.dll
04.07.2006 12:34 136.192 pushow96.dll
16.06.2006 14:34 48.936 sirenacm.dll
08.06.2006 23:27 57.384 avsda.dll
_______________________________________

Systemtemp:

Verzeichnis von C:\DOKUME~1\Maik\LOKALE~1\Temp

08.09.2006 13:10 16.384 ~DFC7B9.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 36.857.585.664 Bytes frei
_______________________________________

System:
Verzeichnis von C:\WINDOWS

08.09.2006 13:10 0 0.log
08.09.2006 13:09 159 wiadebug.log
08.09.2006 13:09 50 wiaservc.log
08.09.2006 13:09 2.048 bootstat.dat
08.09.2006 13:08 58.075 WindowsUpdate.log
08.09.2006 13:08 3.162.278 {00000000-00000000-00000013-00001102-00000004-00511102}.CDF
08.09.2006 12:45 70.632 wmsetup.log
08.09.2006 12:07 79 ClaSWReg.ini
07.09.2006 16:38 429.526 setupapi.log
06.09.2006 20:52 116 NeroDigital.ini
06.09.2006 14:14 1.305.650 ntbtlog.txt
06.09.2006 01:03 1.409 QTFont.for
06.09.2006 01:03 54.156 QTFont.qfn
05.09.2006 19:04 59 T1_DE_EN.INI
05.09.2006 16:59 1.035.264 explorer.exe
02.09.2006 19:42 1.941 gsb2005.ini
27.08.2006 23:19 1.690 psmplay.ini
26.08.2006 01:15 165 ClaLReg.ini
25.08.2006 15:06 724.992 iun6002.exe
25.08.2006 00:59 40 LOND.NCV
25.08.2006 00:59 40 LCND.NCV
20.08.2006 22:53 60.014 discwriter.log
20.08.2006 22:53 0 OrangeBurn.log
06.08.2006 20:10 1.245 IE4 Error Log.txt
30.07.2006 01:31 332 desctemp.dat
25.07.2006 00:18 13.483 DirectX.log
27.06.2006 03:01 20 Hposcv07.INI
26.06.2006 13:20 119 acezhall.ini
08.06.2006 14:59 2.068 wsb2005.ini
07.06.2006 23:26 2.560 _MSRSTRT.EXE
_______________________________________

Sys:

Verzeichnis von C:\

08.09.2006 13:54 0 sys.txt
08.09.2006 13:53 8.044 system.txt
08.09.2006 13:53 291 systemtemp.txt
08.09.2006 13:53 110.036 system32.txt
08.09.2006 13:09 536.449.024 hiberfil.sys
08.09.2006 13:09 805.306.368 pagefile.sys
08.09.2006 12:48 67.222 hpfr3420.log
08.09.2006 12:42 519 hpfr3420.xml
20.07.2006 10:25 232 sqmdata02.sqm
20.07.2006 10:25 244 sqmnoopt06.sqm
20.07.2006 10:22 244 sqmnoopt05.sqm
20.07.2006 10:22 232 sqmdata01.sqm
20.07.2006 10:22 232 sqmdata00.sqm
20.07.2006 10:22 244 sqmnoopt04.sqm
20.07.2006 10:21 244 sqmnoopt03.sqm
20.07.2006 10:21 232 sqmdata19.sqm
20.07.2006 10:21 244 sqmnoopt02.sqm
20.07.2006 10:21 232 sqmdata18.sqm
20.07.2006 10:20 232 sqmdata17.sqm
20.07.2006 10:20 244 sqmnoopt01.sqm
18.07.2006 22:34 232 sqmdata16.sqm
18.07.2006 22:34 244 sqmnoopt00.sqm
18.07.2006 22:32 232 sqmdata15.sqm
18.07.2006 22:32 244 sqmnoopt19.sqm
18.07.2006 22:31 244 sqmnoopt18.sqm
18.07.2006 22:31 232 sqmdata14.sqm
18.07.2006 22:21 244 sqmnoopt17.sqm
18.07.2006 22:21 232 sqmdata13.sqm
18.07.2006 22:11 232 sqmdata12.sqm
18.07.2006 22:11 244 sqmnoopt16.sqm
18.07.2006 22:04 232 sqmdata11.sqm
18.07.2006 22:04 244 sqmnoopt15.sqm
18.07.2006 22:00 232 sqmdata10.sqm
18.07.2006 22:00 244 sqmnoopt14.sqm
18.07.2006 21:49 244 sqmnoopt13.sqm
18.07.2006 21:49 232 sqmdata09.sqm
18.07.2006 21:48 232 sqmdata08.sqm
18.07.2006 21:48 244 sqmnoopt12.sqm
18.07.2006 21:47 232 sqmdata07.sqm
18.07.2006 21:47 244 sqmnoopt11.sqm
18.07.2006 21:44 232 sqmdata06.sqm
18.07.2006 21:44 244 sqmnoopt10.sqm
18.07.2006 21:43 232 sqmdata05.sqm
18.07.2006 21:43 244 sqmnoopt09.sqm
18.07.2006 21:23 244 sqmnoopt08.sqm
18.07.2006 21:23 232 sqmdata04.sqm
18.07.2006 21:22 232 sqmdata03.sqm
18.07.2006 21:22 244 sqmnoopt07.sqm
05.06.2006 21:44 14.327 debug.log
_________________________________________________________________

O.k. das waren die Reportagen, die du brauchst?
_________________________________________________________________
Weiter soll ich ja noch Symptome beschreiben:

Mein Explorer stürzt immer ab.
Außerdem verschwinden dann Symbole aus dem Infobereich der Taskleiste.
_________________________________________________________________
Antivirus:
F:\RECYCLER\S-1-5-21-1275210071-115176313-839522115-1003\Df7.zip
[0] Archivtyp: ZIP
--> Setup.exe
[FUND] Enthält Signatur des Wurmes WORM/VB.DW
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453380bd.qua' verschoben!
G:\RECYCLER\S-1-5-21-1275210071-115176313-839522115-1003\Dg8.zip
[0] Archivtyp: ZIP
--> Setup.exe
[FUND] Enthält Signatur des Wurmes WORM/Alcra.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453494ec.qua' verschoben!
G:\RECYCLER\S-1-5-21-1275210071-115176313-839522115-1003\Dg9.zip
[0] Archivtyp: ZIP
--> Setup.exe
[FUND] Enthält Signatur des Wurmes WORM/Alcra.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453594f0.qua' verschoben!
________________________________
Also die hat er gefunden, dann in die Quarantäne veschoben und da habe ich sie dann gelöscht.
Nun findet er bei eienr erneuten Durchsuchung des Systems keine Würmer mehr.
Aber die Symptome sind halt noch da und darum glaube ich auch, dass der Wurm auch noch da ist, weil die ja nciht einfach so zu löschen sind.?

Gut! Ich hoffe das sind die richtigen Informationen für dich und du kannst etwas damit anfangen.

Ich bin dir jetzt schon äußerst dankbar, dass du dich mit diesem Fall beschäftigst. Und hoffe natürlich dass, du mir irgendwie weiterhelfen kannst, ohne dass es heißt platt machen.

Danke!
MfG maik

#52 Lutschmops

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\pushow0.dll
C:\WINDOWS\system32\pushow96.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
lade den remover fuer Advertisemen
http://www.atribune.org/component/option,com_frontpage/Itemid,1/
Advertisemen is a new adware out there. described here at Vivid Reflection. Richard from Vivid Reflection sent me the files via Upload Malware and I have now created a quick removal tool for advertisemen. RemAdvertisemen is available here.................

4.
arbeite die bfu ab
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

5.
scanne mit ewido http://virus-protect.org/ewido.html
poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#53 Hallo Sabina!

Also ich hab alles so gemacht, wie du gesagt hast, aber der Wurm ist noch da!
Also gleich mal anbei der Bericht von ewindo:

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 17:40:50 12.09.2006

+ Scan-Ergebnis:



C:\Programme\TurboCAD Professional V.10.1 de Setup\Data1.cab/F43681_TCToler.dll -> Adware.AdWin : Keine Aktion durchgeführt.
G:\Spiele\jeff[1].zip/SMILE.EXE -> Not-A-Virus.Hoax.Win16.Pornovir : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Maik\Cookies\maik@2o7[2].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Maik\Cookies\maik@atdmt[1].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Maik\Cookies\maik@as1.falkag[1].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Maik\Cookies\maik@ehg-warnerbrothers.hitbox[1].txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Maik\Cookies\maik@hitbox[2].txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Maik\Cookies\maik@ivwbox[1].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Maik\Cookies\maik@weborama[2].txt -> TrackingCookie.Weborama : Keine Aktion durchgeführt.
C:\!KillBox\Advanced system optimizer 2.zip/Setup.exe -> Worm.VB.an : Keine Aktion durchgeführt.


::Berichtende


Hiffe du kannst mir immernoch weiterhelfen!?

Danke! MfG Maik

#54 1.
loesche manuell:
C:\!KillBox\Advanced system optimizer 2.zip

2.
loesche:
C:\Programme\TurboCAD Professional V.10.1 de Setup

3.
mit dem ewido kann man loeschen....Keine Aktion durchgeführt ist nicht angebracht........
__________
MfG Sabina

rund um die PC-Sicherheit

#55 Hallo Sabina!

Also ich habe nun alles gemacht und glaube nun dass alles weg ist.
Ich danke dir für deine Hilfe und hoffe ich habe dir ncih die Nerven geraubt!
Ich hab da doch noch ne Frage, der Antivirus Scanner hat beim scannen einige Trojaner gefunden und die sind jetzt in der Quarantäne. Wie werde ich sie los? Soll ich sie vielleicht da lassen? Weil ich glaube, dass wenn ich sie lösche sie wieder auftauchen....
Einen kleinen Rat noch! Bitte!

Ich habe mich dazu entschlossen dich mit 10€ zu entlohnen und ich hoffe du findest das o.k. und freust dich.
Mach bitte so weiter und verliere nicht dden Mut an PC-Idioten

MfG
Maik

#56 wenn die Viren in Quarantaene sind, so ist es in Ordnung , denn da bleiben sie auch.
und danke fuer den Obulus, klar, ich freue mich
du kannst dann noch, wenn du Zeit hast, mit verschiedenen Onlinescannern drueberbuegeln, um sicher zu sein, dass alles sauber ist.
http://virus-protect.org/onlinescan.html
einige scanner loeschen, andere zeigen die malware nur an.
__________
MfG Sabina

rund um die PC-Sicherheit

#57 Hallo, Antivir gab mir heute auch die Meldung, dass er den gefunden hat, ich habe NULL Ahnung von PC's um ehrlich zu sein und möchte nicht irgendetwas falsch machen. Ich habe keine Ahnung, wie ich mir das Log überhaupt ansehen kann :-/

Wäre froh, Hilfe zu bekommen, die man auch als Unwissender verstehen kann.

#58 Nayeli

1.
poste hier dieses Log (abkopieren)
http://virus-protect.org/artikel/tools/combofix.html

2.
scanne mit Ewido, dann kopiere hier den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#59 ok, habe ich soweit gemacht *smile*

06-09-23 22:44:52.51 Service Pack 2
ComboFix 06.09.23.2 - Running from: "C:\Dokumente und Einstellungen\Silke Galla\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\winsys.exe
C:\Programme\outlook


((((((((((((((((((((((((((((((( Files Created from 2006-08-23 to 2006-09-23 ))))))))))))))))))))))))))))))))))


2006-09-13 22:39 128,232 --a------ C:\WINDOWS\system32\mucltui.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-22 14:34 -------- d-------- C:\Programme\BFG
2006-09-22 13:48 -------- d-------- C:\Programme\MSN Games
2006-09-21 17:43 -------- d-------- C:\Programme\ReflexiveArcade
2006-09-16 05:13 -------- d-------- C:\Programme\Winamp
2006-09-16 04:57 -------- d---s---- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Microsoft
2006-09-16 03:29 -------- d-------- C:\Programme\Gemeinsame Dateien\ROXIO
2006-09-16 03:29 -------- d-------- C:\Programme\Gemeinsame Dateien\Adaptec Shared
2006-09-16 03:29 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-16 03:03 -------- d-------- C:\Programme\Ahead
2006-09-14 09:37 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-09-14 09:37 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\AdobeUM
2006-09-14 09:37 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Adobe
2006-09-06 02:21 -------- d-------- C:\Programme\Oberon Media
2006-08-25 00:09 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Talkback
2006-08-25 00:08 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla
2006-08-24 02:22 -------- d-------- C:\Programme\Internet Explorer
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-21 09:42 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-21 09:39 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-08-18 16:39 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Macromedia
2006-08-18 06:15 -------- d-------- C:\Programme\Gemeinsame Dateien\Oberon Media
2006-08-15 19:24 -------- d-------- C:\Programme\directx
2006-08-15 19:23 -------- d-------- C:\Programme\Gemeinsame Dateien\Logitech
2006-08-15 19:22 -------- d-------- C:\Programme\Logitech
2006-08-15 19:21 -------- d-------- C:\Programme\Windows Media Components
2006-08-15 19:21 -------- d-------- C:\Programme\Real
2006-08-15 19:21 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-08-15 19:21 -------- d-------- C:\Programme\Gemeinsame Dateien\FotoWire
2006-08-15 19:21 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\FotoWire
2006-08-15 19:20 81920 -r------- C:\WINDOWS\bwUnin-6.1.4.36-8876480L.exe
2006-08-14 15:44 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Aim
2006-08-08 16:04 -------- d-------- C:\Programme\IncrediMail
2006-08-05 17:00 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-08-05 15:21 -------- d-------- C:\Programme\Viewpoint
2006-08-05 12:40 -------- d-------- C:\Programme\Java
2006-08-05 12:40 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Sun
2006-08-05 12:38 -------- d-------- C:\Programme\Gemeinsame Dateien\Java
2006-08-05 12:33 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Pandora's Box 2
2006-08-05 11:35 -------- d-------- C:\Programme\MSN Messenger
2006-08-05 11:33 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-05 11:33 -------- d-------- C:\Programme\DIFX
2006-08-05 10:54 796672 --a------ C:\WINDOWS\GPInstall.exe
2006-08-05 01:59 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-08-05 01:59 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-08-04 23:48 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\teamspeak2
2006-08-04 23:10 -------- d-------- C:\Programme\Microsoft Visual Studio
2006-08-04 23:10 -------- d-------- C:\Programme\Gemeinsame Dateien\Designer
2006-08-04 23:09 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-08-04 23:07 -------- d-------- C:\Programme\microsoft frontpage
2006-08-04 23:07 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Microsoft Web Folders
2006-08-04 21:43 -------- d-------- C:\Programme\Yahoo!
2006-08-04 21:18 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Help
2006-08-03 17:58 -------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2006-08-03 17:58 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-08-03 17:57 62 --ahs---- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\desktop.ini
2006-08-03 17:56 -------- d-------- C:\Programme\Windows Media Player
2006-08-03 17:51 -------- d-------- C:\Programme\Outlook Express
2006-08-03 17:43 -------- d-------- C:\Programme\Messenger
2006-08-03 17:31 -------- d-------- C:\Programme\Intel Audio Studio
2006-08-03 17:30 -------- d-------- C:\Programme\SigmaTel
2006-08-03 17:27 -------- d-------- C:\Programme\MSXML 4.0
2006-08-03 17:27 -------- d-------- C:\Programme\Intel
2006-08-03 17:26 -------- d--h----- C:\Programme\Uninstall Information
2006-08-03 17:26 -------- d-------- C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Identities
2006-08-03 17:21 0 -rahs---- C:\MSDOS.SYS
2006-08-03 17:21 0 -rahs---- C:\IO.SYS
2006-08-03 17:21 0 --a------ C:\CONFIG.SYS
2006-08-03 17:21 0 --a------ C:\AUTOEXEC.BAT
2006-08-03 17:21 -------- d-------- C:\Programme\xerox
2006-08-03 17:19 -------- d--h----- C:\Programme\WindowsUpdate
2006-08-03 17:19 -------- d-------- C:\Programme\Online-Dienste
2006-08-03 17:18 -------- d-------- C:\Programme\NetMeeting
2006-08-03 17:18 -------- d-------- C:\Programme\Movie Maker
2006-08-03 17:18 -------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2006-08-03 17:18 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-08-03 17:13 -------- d-------- C:\Programme\ComPlus Applications
2006-08-03 17:12 -------- d-------- C:\Programme\Windows Plus
2006-08-03 17:09 -------- d-------- C:\Programme\Windows NT
2006-08-03 17:09 -------- d-------- C:\Programme\MSN Gaming Zone
2006-08-03 17:08 -------- d-------- C:\Programme\MSN
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-11 23:01 715776 --a------ C:\WINDOWS\system32\sxs.dll
2006-07-11 23:01 6144 --------- C:\WINDOWS\system32\kbdpash.dll
2006-07-11 23:01 6144 --------- C:\WINDOWS\system32\kbdnepr.dll
2006-07-11 23:01 6144 --------- C:\WINDOWS\system32\kbdiultn.dll
2006-07-11 23:01 6144 --------- C:\WINDOWS\system32\kbdbhc.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
"SigmatelSysTrayApp"="sttray.exe"
"IntelAudioStudio"="\"C:\\Programme\\Intel Audio Studio\\IntelAudioStudio.exe\" BOOT"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"SW20"="C:\\WINDOWS\\system32\\sw20.exe"
"SW24"="C:\\WINDOWS\\system32\\sw24.exe"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"LVCOMS"="C:\\Programme\\Gemeinsame Dateien\\Logitech\\QCDriver2\\LVCOMS.EXE"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"AdaptecDirectCD"="\"D:\\Programme\\Roxio\\WinOnCD 5 PE\\DirectCD\\DirectCD.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,60,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: Sat 09/23/2006 22:45:23.67
ComboFix.txt




---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 11:01:23 PM 9/23/2006

+ Scan-Ergebnis:



D:\Programme\eMule\Incoming\Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT.zip/Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT/tntvva15/CRACK/VirtualVillagers.exe -> Dropper.Delf.xo : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\Programme\eMule\Incoming\Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT.zip/Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT/tntvva15/SETUP/SETUP.EXE -> Dropper.Delf.xo : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\Programme\eMule\Incoming\Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT\Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT\tntvva15\CRACK\VirtualVillagers.exe -> Dropper.Delf.xo : Mit Backup gesäubert (unter Quarantäne gestellt).
D:\Programme\eMule\Incoming\Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT\Virtual_Villagers_A_New_Home_v1.00_Cracked-TNT\tntvva15\SETUP\SETUP.EXE -> Dropper.Delf.xo : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@incredimailltd.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@ad.adition[1].txt -> TrackingCookie.Adition : Gesäubert.
:mozilla.32:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.33:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.34:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.35:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.36:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.27:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Googleadservices : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@ehg-alt64.hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@ehg-globalgamingleague.hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@hotlog[1].txt -> TrackingCookie.Hotlog : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@i12[2].txt -> TrackingCookie.I12 : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@max.i12[2].txt -> TrackingCookie.I12 : Gesäubert.
:mozilla.16:C:\Dokumente und Einstellungen\Silke Galla\Anwendungsdaten\Mozilla\Firefox\Profiles\hzqtyi7e.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@stat.onestat[2].txt -> TrackingCookie.Onestat : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@data4.perf.overture[1].txt -> TrackingCookie.Overture : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@ads.planetactive[1].txt -> TrackingCookie.Planetactive : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@ads-205.quarterserver[1].txt -> TrackingCookie.Quarterserver : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@counter9.sextracker[1].txt -> TrackingCookie.Sextracker : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@count.xhit[1].txt -> TrackingCookie.Xhit : Gesäubert.
C:\Dokumente und Einstellungen\Silke Galla\Cookies\silke galla@yadro[1].txt -> TrackingCookie.Yadro : Gesäubert.


::Berichtende

Hier soweit die Berichte, wie geht es nun weiter? muss ich noch mehr machen oder war es dann nun? Danke schon mal für die Geduld, hoffe, dass das Übel dann bald beseitigt ist.

#60 Nayeli

du hast den Virus ueber emule geladen, du musst besser aufpassen, was du anklickst - und von Cracks lasse prinzipiell die Finger !

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit