Worm/vb.dw Gefunden, Was Tun? |
||
---|---|---|
#0
| ||
08.09.2006, 13:51
...neu hier
Beiträge: 5 |
||
|
||
09.09.2006, 00:02
Ehrenmitglied
Beiträge: 29434 |
#2
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.09.2006, 11:02
...neu hier
Themenstarter Beiträge: 5 |
#3
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED Verzeichnis von C:\ 09.09.2006 16:58 0 sys.txt 09.09.2006 16:57 8.875 system.txt 09.09.2006 16:57 127 systemtemp.txt 09.09.2006 16:57 91.328 system32.txt 09.09.2006 16:48 1.073.270.784 hiberfil.sys 09.09.2006 16:48 1.610.612.736 pagefile.sys 09.09.2006 16:48 102 Platform.ini 09.09.2006 07:03 194 boot.ini 04.02.2004 09:22 496 IPH.PH 03.02.2004 20:34 0 IO.SYS 03.02.2004 20:34 0 MSDOS.SYS 03.02.2004 20:34 0 AUTOEXEC.BAT 03.02.2004 20:34 0 CONFIG.SYS 29.08.2002 14:00 4.952 bootfont.bin 29.08.2002 14:00 47.580 NTDETECT.COM 29.08.2002 14:00 235.296 ntldr 16 Datei(en) 2.684.272.470 Bytes 0 Verzeichnis(se), 91.407.024.128 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\WINDOWS\system32 09.09.2006 07:05 376.016 perfh009.dat 09.09.2006 07:05 51.814 perfc009.dat 09.09.2006 07:05 386.338 perfh007.dat 09.09.2006 07:05 62.578 perfc007.dat 09.09.2006 07:05 886.928 PerfStringBackup.INI 09.09.2006 07:03 2.206 wpa.dbl 09.09.2006 07:03 99 $winnt$.inf Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\WINDOWS 09.09.2006 16:49 0 0.log 09.09.2006 16:49 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt 09.09.2006 16:49 73.166 WindowsUpdate.log 09.09.2006 16:49 23 AOLMIcon.ini 09.09.2006 16:48 2.048 bootstat.dat 09.09.2006 16:48 23.136 SchedLgU.Txt 09.09.2006 07:21 135 NeroDigital.ini 09.09.2006 07:10 2.388.101 setupapi.log 09.09.2006 07:04 1.174 OEWABLog.txt 09.09.2006 07:03 987.764 setuplog.txt 09.09.2006 07:03 222.177 setupact.log 09.09.2006 07:02 73.267 tsoc.log 09.09.2006 07:02 7.015 sessmgr.setup.log 09.09.2006 07:02 25.886 iis6.log 09.09.2006 07:02 616 DtcInstall.log 09.09.2006 07:02 2.750 regopt.log 09.09.2006 07:02 1.264 setuperr.log 09.09.2006 05:59 86.608 ntbtlog.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\DOKUME~1\aljoscha\LOKALE~1\Temp So hoffe das ich alles richtig gemacht habe |
|
|
||
09.09.2006, 12:32
Ehrenmitglied
Beiträge: 29434 |
#4
scanne mit Sophos und poste den scanreport
http://virus-protect.org/multiavtool.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.09.2006, 20:29
...neu hier
Themenstarter Beiträge: 5 |
#5
der wurm scheint das formatieren doch ueberlebt zu haben zu frueh gefreut =( ich hab zwar bei antivir nix gefunden aber der ganze pc ist einfach nur unmenschlich langsam geworden. soll ich noch ienmal das hijackthis logfile hochstellen
Dieser Beitrag wurde am 09.09.2006 um 21:57 Uhr von phantomias editiert.
|
|
|
||
09.09.2006, 22:33
Ehrenmitglied
Beiträge: 29434 |
#6
hast du mit den scannern von multiavtool gescannt ???
im HijackThis und in den logs von datfindbat sehe ich nichts.... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.09.2006, 12:40
...neu hier
Themenstarter Beiträge: 5 |
#7
ja hier ist er
Sophos Anti-Virus Version 4.09.0 [Win32/Intel] Virus data version 4.09, September 2006 Includes detection for 187747 viruses, trojans and worms Copyright (c) 1989-2006 Sophos Plc, www.sophos.com System time 23:39:38, System date 10 December 2006 Command line qualifiers are: -f -di -all -remove -mime -mbr -noc -archive -opt=ISCabinet IDE directory is: c:\AV-CLS\Sophos Could not open C:\Dokumente und Einstellungen\aljosccha\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Could not open C:\Dokumente und Einstellungen\aljosccha\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Could not open C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Could not open C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Could not open C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Could not open C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Could not open C:\hiberfil.sys Password protected file C:\Programme\Adobe\Acrobat 6.0\Reader\Messages\DEU\RdrMsgDEU.pdf Password protected file C:\Programme\Adobe\Acrobat 6.0\Reader\Messages\ENU\RdrMsgENU.pdf Could not check C:\Programme\Microsoft Office\Templates\1031\Brochure.dot (corrupt) Could not check C:\Programme\Microsoft Office\Templates\1031\Directory.dot (corrupt) Could not check C:\Programme\Microsoft Office\Templates\1031\Envelope Wizard.wiz (corrupt) Could not check C:\Programme\Microsoft Office\Templates\1031\Memo Wizard.wiz (corrupt) Could not check C:\Programme\Microsoft Office\Templates\1031\Professional Resume.dot (corrupt) Password protected file C:\WINDOWS\Cache\Adobe Reader 6\Data1.cab\RdrMsgENU.pdf Could not open C:\WINDOWS\SoftwareDistribution\EventCache\{2CE8BCFF-2365-4089-844B-42BDF03CC494}.bin Could not open C:\WINDOWS\system32\config\system.LOG Could not open PHYSICAL:0081:0000:0000:0001 Could not open PHYSICAL:0082:0000:0000:0001 Could not open PHYSICAL:0083:0000:0000:0001 Could not open PHYSICAL:0084:0000:0000:0001 5 master boot records swept. 29592 files swept in 1 hour, 9 minutes and 38 seconds. 21 errors were encountered. No viruses were discovered. 3 encrypted files were not checked. Ending Sophos Anti-Virus. |
|
|
||
10.09.2006, 13:07
Ehrenmitglied
Beiträge: 29434 |
#8
es gibt 4 Scanner, wenn du Zeit hast, scanne mit allen und berichte, wenn was gefunden wurde, poste auch den scanreport von deinem Antivirus, falls der was anzeigt....
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.09.2006, 15:05
...neu hier
Themenstarter Beiträge: 5 |
#9
also ich habe nix gefunden mal sehen wie es sich wieder entwickelt nach weiterem formatieren. bis hierhin erst einmal vielen dank fuer die hilfe.
ich melde mich wieder sollte es weiterhin probleme geben. |
|
|
||
den WORM/VB.DW eingefangen. Mit Antivir und Ad-Aware
konnte ich bis jetzt nichts ausrichten.
Hier mein Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 13:37:01, on 08.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\MessengerPlus! 3\MsgPlus1.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Aljoscha\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus1.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: AntiVir PersonalEdition Classic starten.lnk = C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - Unknown owner - C:\WINDOWS\wanmpsvc.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe