Worm/vb.dw Gefunden, Was Tun?

#1 Hallo wie schon im Titel erwaehnt, hab ich mir
den WORM/VB.DW eingefangen. Mit Antivir und Ad-Aware
konnte ich bis jetzt nichts ausrichten.

Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:37:01, on 08.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\MessengerPlus! 3\MsgPlus1.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Aljoscha\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus1.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: AntiVir PersonalEdition Classic starten.lnk = C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - Unknown owner - C:\WINDOWS\wanmpsvc.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\

09.09.2006 16:58 0 sys.txt
09.09.2006 16:57 8.875 system.txt
09.09.2006 16:57 127 systemtemp.txt
09.09.2006 16:57 91.328 system32.txt
09.09.2006 16:48 1.073.270.784 hiberfil.sys
09.09.2006 16:48 1.610.612.736 pagefile.sys
09.09.2006 16:48 102 Platform.ini
09.09.2006 07:03 194 boot.ini
04.02.2004 09:22 496 IPH.PH
03.02.2004 20:34 0 IO.SYS
03.02.2004 20:34 0 MSDOS.SYS
03.02.2004 20:34 0 AUTOEXEC.BAT
03.02.2004 20:34 0 CONFIG.SYS
29.08.2002 14:00 4.952 bootfont.bin
29.08.2002 14:00 47.580 NTDETECT.COM
29.08.2002 14:00 235.296 ntldr
16 Datei(en) 2.684.272.470 Bytes
0 Verzeichnis(se), 91.407.024.128 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS\system32

09.09.2006 07:05 376.016 perfh009.dat
09.09.2006 07:05 51.814 perfc009.dat
09.09.2006 07:05 386.338 perfh007.dat
09.09.2006 07:05 62.578 perfc007.dat
09.09.2006 07:05 886.928 PerfStringBackup.INI
09.09.2006 07:03 2.206 wpa.dbl
09.09.2006 07:03 99 $winnt$.inf

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS

09.09.2006 16:49 0 0.log
09.09.2006 16:49 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
09.09.2006 16:49 73.166 WindowsUpdate.log
09.09.2006 16:49 23 AOLMIcon.ini
09.09.2006 16:48 2.048 bootstat.dat
09.09.2006 16:48 23.136 SchedLgU.Txt
09.09.2006 07:21 135 NeroDigital.ini
09.09.2006 07:10 2.388.101 setupapi.log
09.09.2006 07:04 1.174 OEWABLog.txt
09.09.2006 07:03 987.764 setuplog.txt
09.09.2006 07:03 222.177 setupact.log
09.09.2006 07:02 73.267 tsoc.log
09.09.2006 07:02 7.015 sessmgr.setup.log
09.09.2006 07:02 25.886 iis6.log
09.09.2006 07:02 616 DtcInstall.log
09.09.2006 07:02 2.750 regopt.log
09.09.2006 07:02 1.264 setuperr.log
09.09.2006 05:59 86.608 ntbtlog.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\DOKUME~1\aljoscha\LOKALE~1\Temp

So hoffe das ich alles richtig gemacht habe

#4 scanne mit Sophos und poste den scanreport
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 der wurm scheint das formatieren doch ueberlebt zu haben zu frueh gefreut =( ich hab zwar bei antivir nix gefunden aber der ganze pc ist einfach nur unmenschlich langsam geworden. soll ich noch ienmal das hijackthis logfile hochstellen

#6 hast du mit den scannern von multiavtool gescannt ???
im HijackThis und in den logs von datfindbat sehe ich nichts....
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ja hier ist er

Sophos Anti-Virus
Version 4.09.0 [Win32/Intel]
Virus data version 4.09, September 2006
Includes detection for 187747 viruses, trojans and worms
Copyright (c) 1989-2006 Sophos Plc, www.sophos.com

System time 23:39:38, System date 10 December 2006
Command line qualifiers are: -f -di -all -remove -mime -mbr -noc -archive -opt=ISCabinet

IDE directory is: c:\AV-CLS\Sophos


Could not open C:\Dokumente und Einstellungen\aljosccha\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Could not open C:\Dokumente und Einstellungen\aljosccha\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Could not open C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
Could not open C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
Could not open C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Could not open C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Could not open C:\hiberfil.sys
Password protected file C:\Programme\Adobe\Acrobat 6.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 6.0\Reader\Messages\ENU\RdrMsgENU.pdf
Could not check C:\Programme\Microsoft Office\Templates\1031\Brochure.dot (corrupt)
Could not check C:\Programme\Microsoft Office\Templates\1031\Directory.dot (corrupt)
Could not check C:\Programme\Microsoft Office\Templates\1031\Envelope Wizard.wiz (corrupt)
Could not check C:\Programme\Microsoft Office\Templates\1031\Memo Wizard.wiz (corrupt)
Could not check C:\Programme\Microsoft Office\Templates\1031\Professional Resume.dot (corrupt)
Password protected file C:\WINDOWS\Cache\Adobe Reader 6\Data1.cab\RdrMsgENU.pdf
Could not open C:\WINDOWS\SoftwareDistribution\EventCache\{2CE8BCFF-2365-4089-844B-42BDF03CC494}.bin
Could not open C:\WINDOWS\system32\config\system.LOG
Could not open PHYSICAL:0081:0000:0000:0001
Could not open PHYSICAL:0082:0000:0000:0001
Could not open PHYSICAL:0083:0000:0000:0001
Could not open PHYSICAL:0084:0000:0000:0001

5 master boot records swept.
29592 files swept in 1 hour, 9 minutes and 38 seconds.
21 errors were encountered.
No viruses were discovered.
3 encrypted files were not checked.
Ending Sophos Anti-Virus.

#8 es gibt 4 Scanner, wenn du Zeit hast, scanne mit allen und berichte, wenn was gefunden wurde, poste auch den scanreport von deinem Antivirus, falls der was anzeigt....
__________
MfG Sabina

rund um die PC-Sicherheit

#9 also ich habe nix gefunden mal sehen wie es sich wieder entwickelt nach weiterem formatieren. bis hierhin erst einmal vielen dank fuer die hilfe.
ich melde mich wieder sollte es weiterhin probleme geben.