WORM/VB.DW Antivir kann nicht entfernen

#0
03.03.2006, 15:49
...neu hier

Beiträge: 5
#1 Hallo,

Antivir zeigt mir diesen Worm/VB.DW an!
Den ich aber nicht löschen kann!
Wie bekomm ich den wieder von meinem Rechner?

Hier mal mein Hijack-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:50:38, on 03.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\BearShare\BearShare.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Tobias\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {D3AB14DA-6183-4CBA-8600-D69AFAFA917F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {D3AB14DA-6183-4CBA-8600-D69AFAFA917F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF164096-9BAD-4717-8C08-A382FE34C6B9}: NameServer = 195.50.140.252 195.50.140.114
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Seitenanfang Seitenende
03.03.2006, 16:24
Member
Avatar Gool

Beiträge: 4730
#2 Es wäre sinnvoll zu wissen, unter welchem Pfad AntiVir den Virus findet. Das HJT-Log erscheint sauber, wobei ich empfehle, Bearshare zu deinstallieren.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
03.03.2006, 16:35
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo,

habe hier den Report von Antivir:


Erstellungsdatum der Reportdatei: Mittwoch, 1. März 2006 23:21


Job Name: 'Lokale Laufwerke'

Es wird nach 320765 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Tobias
Computername: XXX-QMXVNLMOGYP

Versionsinformationen:
AVSCAN.EXE : 7.0.0.21 528424 31.01.2006 10:54:42
AVSCAN.DLL : 7.0.0.21 46632 31.01.2006 10:54:42
LUKE.DLL : 7.0.0.21 114728 31.01.2006 10:54:42
LUKERES.DLL : 7.0.0.21 28200 31.01.2006 10:54:42
ANTIVIR0.VDF : 6.32.0.60 4323840 22.02.2006 08:09:48
ANTIVIR1.VDF : 6.33.0.207 1160192 22.02.2006 08:09:50
ANTIVIR2.VDF : 6.33.1.28 182784 01.03.2006 22:04:23
ANTIVIR3.VDF : 6.33.1.45 28160 01.03.2006 22:04:23
AVEWIN32.DLL : 6.33.0.38 1163776 01.03.2006 22:04:23
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 12:05:54
AVREP.DLL : 6.33.1.20 2400296 01.03.2006 22:04:23
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 09:03:38
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:48
NETNW.DLL : 6.32.0.0 9768 27.09.2005 07:56:48


Beginn des Suchlaufs: Mittwoch, 1. März 2006 23:21


Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:'
[HINWEIS] Im Laufwerk 'A:' ist kein Datenträger eingelegt!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.

Die Registry wurde durchsucht ( 39 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Tobias\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Tobias\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\5uriiduc.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\outlook\outlook.exe
[FUND] Enthält Signatur des Wurmes WORM/VB.DW
[INFO] Die Datei wurde gelöscht.
C:\Programme\outlook\p.zip
[0] Archivtyp: ZIP
--> Setup.exe
[FUND] Enthält Signatur des Wurmes WORM/VB.DW
[INFO] Die Datei wurde gelöscht.
C:\Programme\outlook\v.tmp
[FUND] Enthält Signatur des Wurmes WORM/VB.DW
[INFO] Die Datei wurde gelöscht.
C:\RECYCLER\S-1-5-21-1417001333-776561741-839522115-1003\Dc97.zip
[0] Archivtyp: ZIP
--> Setup.exe
[FUND] Enthält Signatur des Wurmes WORM/VB.DW
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\SoftwareDistribution\EventCache\{3F6B0024-385B-48B2-BDD8-7E2F532F2C86}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\winlog.exe
[FUND] Enthält Signatur des Wurmes WORM/RBot.174080
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\ZLT01ea6.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Mittwoch, 1. März 2006 23:57
Benötigte Zeit: 36:06 min

Der Suchlauf wurde vollständig durchgeführt.

2490 Verzeichnisse wurden überprüft
152667 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
5 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
965 Archive wurden durchsucht
54 Warnungen
7 Hinweise
Seitenanfang Seitenende
04.03.2006, 17:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Bruce_Wayne

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Info:
http://virus-protect.org/artikel/spyware/outlook.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.03.2006, 18:27
...neu hier

Themenstarter

Beiträge: 5
#5 Hier die die Textdateien:

1.

04.03.2006 18:16 28.066 nvapps.xml
04.03.2006 15:18 35.870 vsconfig.xml
28.02.2006 10:03 2.206 wpa.dbl
27.02.2006 09:54 62.464 bszip.dll
27.02.2006 09:54 0 cmd.com
27.02.2006 09:54 0 regedit.com
27.02.2006 09:54 0 tasklist.com
27.02.2006 09:54 0 tracert.com
27.02.2006 09:54 0 ping.com
27.02.2006 09:54 0 taskkill.com
27.02.2006 09:54 0 netstat.com
18.01.2006 13:05 57.344 avsda.dll
13.01.2006 22:33 4.212 zllictbl.dat
11.01.2006 16:52 65.536 cibwwpdf.dll
03.01.2006 17:37 16.832 amcompat.tlb
03.01.2006 17:37 23.392 nscompat.tlb
03.01.2006 02:36 2.550 Uninstall.ico
03.01.2006 02:36 1.406 Help.ico
03.01.2006 02:36 1.718 Open.ico
03.01.2006 02:36 1.406 AddQuit.ico
03.01.2006 02:36 5.350 IE.ico
03.01.2006 02:36 9.470 Desktop.ico
03.01.2006 02:36 1.718 Quick.ico
02.01.2006 23:24 0 asfiles.txt
14.12.2005 20:00 8.464 sporder.dll
08.12.2005 16:25 2.723.680 MRT.exe
03.12.2005 19:40 116.560 FNTCACHE.DAT

2.
Verzeichnis von C:\DOKUME~1\Tobias\LOKALE~1\Temp

04.03.2006 18:27 238.432 MSIe5805.LOG
04.03.2006 18:27 238.304 MSId550d.LOG
04.03.2006 18:26 238.304 MSIcd8f7.LOG
04.03.2006 18:17 16.384 ~DFA3E9.tmp
04.03.2006 18:17 115.750 MSI46c1b.LOG
04.03.2006 18:17 668 MSI4dfb4.LOG
04.03.2006 18:17 668 MSI4dfb3.LOG
04.03.2006 18:16 16.384 ~DF3075.tmp
04.03.2006 18:16 206 jusched.log
01.03.2006 22:16 245 1F1205F7.TMP
10 Datei(en) 865.345 Bytes
0 Verzeichnis(se), 6.381.854.720 Bytes frei

3.
04.03.2006 18:16 405.904 WindowsUpdate.log
04.03.2006 15:18 0 0.log
04.03.2006 15:18 159 wiadebug.log
04.03.2006 15:18 50 wiaservc.log
04.03.2006 15:17 2.048 bootstat.dat
03.03.2006 23:59 32.552 SchedLgU.Txt
02.03.2006 21:03 986.468 setupapi.log
02.03.2006 20:34 116 NeroDigital.ini
26.02.2006 14:46 88.007 wmsetup.log
24.02.2006 10:26 155 abfindungsrechner.INI
03.01.2006 22:40 99.402 iis6.log
03.01.2006 22:40 24.381 comsetup.log
03.01.2006 22:40 14.455 ntdtcsetup.log
03.01.2006 22:40 2.761 ocmsn.log
03.01.2006 22:40 1.891 imsins.log
03.01.2006 22:40 25.792 tsoc.log
03.01.2006 22:40 2.715 tabletoc.log
03.01.2006 22:40 38.535 ocgen.log
03.01.2006 22:40 7.626 netfxocm.log
03.01.2006 22:40 4.422 medctroc.Log
03.01.2006 22:40 2.535 msgsocm.log
03.01.2006 22:40 35.542 FaxSetup.log
03.01.2006 22:40 22.960 msmqinst.log
03.01.2006 17:37 461 wmsetup10.log
03.01.2006 17:37 316.640 WMSysPr9.prx
03.01.2006 02:36 32 pavsig.txt
02.01.2006 23:22 815 win.ini
25.12.2005 17:46 0 ModemLog_Samsung Mobile USB Modem II 1.0.txt
25.12.2005 17:18 17.519 dasetup.log
14.12.2005 19:27 478.720 WRUninstall.dll
09.12.2005 22:13 203 ScrAntic.ini

4.
04.03.2006 18:28 0 sys.txt
04.03.2006 18:28 5.674 system.txt
04.03.2006 18:25 591 systemtemp.txt
04.03.2006 18:24 105.970 system32.txt
04.03.2006 15:17 536.399.872 hiberfil.sys
04.03.2006 15:17 805.306.368 pagefile.sys
04.01.2006 01:34 4.216 files.txt
Seitenanfang Seitenende
04.03.2006, 18:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Bruce_Wayne

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ........

C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\winlog.exe
C:\WINDOWS\sporder.dll

PC neustarten

scanne mit ewido und berichte ;)
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.03.2006, 20:11
...neu hier

Themenstarter

Beiträge: 5
#7 Wurde alles wie beschrieben erledigt!
Ist der Rechner jetzt sauber?

Es kommt nun aber die bei jedem Neustart der 'Windows Installer'!
Der dann anzeigt 'Der Pfad Microsoft Office wurde nicht gefunden'!!
Ich kann somit kein 'Word' oder Excel mehr öffnen!!
Seitenanfang Seitenende
04.03.2006, 21:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 kannst du office neu installieren ? Die Malware hat dein System tuechtig gebeutelt. Ich versteh nicht, was du da geladen hast und warum.

öffne das HijackThis -- Button "scan" -- vor Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause


BearShare solltest du deinstallieren...alle P2P-Software bringt mehr Nach- als Vorteile und wenn du deinen PC magst, verzichte in Zukunft auf dubiose Tools.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.03.2006, 22:36
...neu hier

Themenstarter

Beiträge: 5
#9 Ne kann das Office leider nicht wieder installieren!
Ist glaub durch das Clean up deinstalliert worden! Kann das sein?
Seitenanfang Seitenende
05.03.2006, 13:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 CleanUp loescht keine Programm-Dateien, wahrscheinlich wae Office vom Wurm verseucht und wurde somit auch vom Virenscanner entfernt.
Aber so richtig erklaeren, kann ich s mir nicht.

Du kannst es mal mit einer Systemwiederherstellung versuchen...aber auf einen Tag, bevor du den PC mit dem Wurm verseucht hast.

Systemwiederherstellung
Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen"
Dort wählst du: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter
Die fett angezeigten Daten im Kalender zeigen dir gesetzte Wiederherstellungspunkte.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.03.2006, 10:49
...neu hier

Beiträge: 10
#11 Hallo,

ich hab mir leider auch den Wurm WORM/VB.DW eingefangen.

antivir findet sie hier:
c:\programme\outlook\v.tmp
c:\programme\outlook\p.zip
c:\programme\limewire\download\easydvdclone 3.0.13.zip
c:\dokumente und einstellungen\hiro\desktop\download temp\download\easy dvd clone 3.0.13 zip


hier die datfinbat ergebnisse:

Verzeichnis von C:\

20.03.2006 10:43 0 sys.txt
20.03.2006 10:43 6.034 system.txt
20.03.2006 10:43 484 systemtemp.txt
20.03.2006 10:42 107.859 system32.txt
20.03.2006 10:03 805.306.368 pagefile.sys
24.02.2006 19:03 198 StarBurn.log
20.02.2006 16:32 25.897.004 01_Detroit Cobras - Track 1.wav
20.02.2006 16:32 51.959.852 00_The Postal Service - Clark Gable.wav


Verzeichnis von C:\WINDOWS\system32

20.03.2006 10:05 890 vsconfig.xml
20.03.2006 10:04 3.731 nvapps.xml
19.03.2006 15:42 98.304 CmdLineExt.dll
16.03.2006 13:18 2.206 wpa.dbl
20.02.2006 11:58 316.594 perfh007.dat
20.02.2006 11:58 39.992 perfc009.dat
20.02.2006 11:58 311.604 perfh009.dat
20.02.2006 11:58 48.156 perfc007.dat
20.02.2006 11:58 723.744 PerfStringBackup.INI
17.02.2006 21:01 120.544 FNTCACHE.DAT
18.01.2006 13:05 57.344 avsda.dll

Verzeichnis von C:\WINDOWS

20.03.2006 10:05 0 0.log
20.03.2006 10:04 2.048 bootstat.dat
20.03.2006 09:20 91.061 WindowsUpdate.log
19.03.2006 15:41 794 DirectX.log
19.03.2006 15:31 6.752 vpd.properties
18.03.2006 10:07 135 NeroDigital.ini
16.03.2006 21:21 216 wiadebug.log
16.03.2006 15:44 200 cdplayer.ini
16.03.2006 15:06 50 wiaservc.log
28.02.2006 17:39 611.356 setupapi.log
22.02.2006 22:11 139 msicpl.ini
20.02.2006 12:43 192 winamp.ini
18.02.2006 14:36 376 ODBC.INI
18.02.2006 14:36 636 win.ini
17.02.2006 21:00 92.266 wmsetup.log
17.02.2006 21:00 316.640 WMSysPr9.prx
17.02.2006 17:13 488.556 ntbtlog.txt

Verzeichnis von C:\DOKUME~1\hiro\LOKALE~1\Temp

20.03.2006 10:42 440 kb.log
20.03.2006 10:39 16.384 ~DF1866.tmp
20.03.2006 10:25 18.686 ~WRS0002.tmp
20.03.2006 10:21 182 ~WRD0001.doc
20.03.2006 10:21 512 ~DFB16B.tmp


meine verbindung zum netz wird auch immer wieder abgebrochen. das heißt ich wähle mich ein und in unregelmäßigen abständen wird die verbindung einfach getrennt.

falls ihr mir helfen könnt....

danke schon mal.

bestes,

jules
Seitenanfang Seitenende
20.03.2006, 12:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo julilectric

loeche manuell oder mit der Killbox:

http://virus-protect.org/killbox.html
c:\programme\limewire\download\easydvdclone 3.0.13.zip
c:\dokumente und einstellungen\hiro\desktop\download temp\download\easy dvd clone 3.0.13 zip

arbeite die bfu und alls weitere ab, vor allem den ewido + berichte
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.03.2006, 13:27
...neu hier

Beiträge: 10
#13 Hey Sabina,

ich hab die dateien gelöscht und bfu und co durch. auch ewido. da wurden nochmal 157 cookies entfernt.

ist damit dann alles wieder im lot?

thanx,

j.
Seitenanfang Seitenende
20.03.2006, 14:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 julilectric

ja, es muesste wieder alles im Lot sein. ;) Was meint der Antivirus ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.03.2006, 11:31
...neu hier

Beiträge: 10
#15 Sabina,

dufte!

Antivir sacht nix mehr. Kein Virus, kein Aus-dem-Netz-schmeißen! Alles Gut! ;)


1000 Dank!

u Rock!

Jules
Seitenanfang Seitenende