Email-Worm.Win32.Warezov.ji gefunden, wie werde ich den wieder los?

#0
02.01.2007, 14:49
...neu hier

Beiträge: 7
#1 Hi, bei mir geht seit Tagen das Windows Update nicht mehr, bekomme dann nur folgenden fehler: Fehlernummer: 0x80070424

Hab schon im Internet gesucht wie ich das wieder los werde, und fand nur das ich verschiedene dlls unregistern bzw wieder regestrieren sollte. Hat aber nichts geholfen, jetzt hab ich gedacht könnte ein Virus sein und siehe da: 3 Viren gefunden.

Anbei die LOG, wäre nett, wenn mir jemand helfen kann.

Gruß Alex

EDIT:

sry hab gerade hier im forum nen thread gefunden,d er das bearbeitet...
werd da weiter schaun

edit2: hab das versucht was in dem thread (Email-Worm.Win32.Warezov - Win32/Stration )
stand, aber irgendwie hab ichs nicht so verstanden oder falsch gemacht, wahrscheinlich beides, kann mir irgendjemand helfen???
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 2. Januar 2007 14:30:51
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 2/01/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 255607
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 80992
Viren gefunden: 3
Infizierte Objekte gefunden: 11 / 0
Verdächtige Objekte gefunden: 2
Untersuchungszeit: 00:44:08

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Alex\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{358D8D44-0CF9-4F4D-84C4-EA8B8DCA9DC2} Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\2.tmp Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-11122006-145711.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\EpsonNet\EpsonNet Print\log\log.txt Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$_hpcst$.hpc Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd8605.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\e1.dll Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\ipv6rasm.dll Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen
C:\WINDOWS\system32\ipv6rasm.exe Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen
C:\WINDOWS\system32\ssdprasa.dll Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen
C:\WINDOWS\system32\tlntqedw.dll Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen
C:\WINDOWS\system32\vdieasyc.exe Infizierte Objekte: Email-Worm.Win32.Warezov.ji übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\Programme\Miranda IM\Alex.dat Das Objekt ist gesperrt übersprungen
D:\Programme\mIRC\mirc.exe Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.62 übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\Dateien\Downloads\Programme\mirc62.exe/stream/data0006 Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.62 übersprungen
E:\Dateien\Downloads\Programme\mirc62.exe/stream Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.62 übersprungen
E:\Dateien\Downloads\Programme\mirc62.exe NSIS: infiziert - 2 übersprungen
E:\Dateien\Downloads\Programme\mod-extract.zip/extract.exe Verdächtige Objekte: Password-protected-EXE übersprungen
E:\Dateien\Downloads\Programme\mod-extract.zip ZIP: verdächtig - 1 übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
Dieser Beitrag wurde am 02.01.2007 um 15:33 Uhr von Alex87 editiert.
Seitenanfang Seitenende
02.01.2007, 16:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Alex87

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
Erstellen eines Hijackthis-Logfiles
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 16:45
...neu hier

Themenstarter

Beiträge: 7
#3 ich hoffe ich mach das richtig:

system32.txt

02.01.2007 13:43 99.328 ipv6rasm.exe
02.01.2007 13:33 13.646 wpa.dbl
01.01.2007 20:48 59.576 perfc009.dat
01.01.2007 20:48 395.336 perfh009.dat
01.01.2007 20:48 408.948 perfh007.dat
01.01.2007 20:48 71.796 perfc007.dat
01.01.2007 20:48 946.822 PerfStringBackup.INI
01.01.2007 20:44 191.384 FNTCACHE.DAT
01.01.2007 20:42 135 spupdsvc.inf
29.12.2006 13:00 16.832 amcompat.tlb
29.12.2006 13:00 23.392 nscompat.tlb
26.12.2006 14:24 122.880 ipv6rasm.dll
26.12.2006 14:24 20.480 e1.dll
26.12.2006 14:24 24.576 tlntqedw.dll
26.12.2006 14:24 16.384 vdieasyc.exe
26.12.2006 14:24 28.672 ssdprasa.dll

16.12.2006 18:46 109.444 TZLog.log
12.12.2006 10:45 1.474.864 LegitCheckControl.dll
07.12.2006 15:13 10.716.584 MRT.exe
03.12.2006 20:36 176.167 rmoc3260.dll
03.12.2006 20:36 5.632 pndx5032.dll
03.12.2006 20:36 6.656 pndx5016.dll
03.12.2006 20:36 278.528 pncrt.dll
03.12.2006 00:23 9.132 jupdate-1.5.0_10-b03.log
29.11.2006 17:35 34.308 BASSMOD.dll
27.11.2006 09:45 60.416 tzchange.exe
17.11.2006 18:54 1.040.384 ieframe.dll.mui
17.11.2006 18:53 12.288 advpack.dll.mui
12.11.2006 15:14 146.650 BuzzingBee.wav
12.11.2006 15:14 940.794 LoopyMusic.wav
12.11.2006 13:46 13.646 wpa.bak


systemtemp.txt:

02.01.2007 14:44 512 ~DFBB78.tmp
1 Datei(en) 512 Bytes
0 Verzeichnis(se), 4.034.428.928 Bytes frei

system.txt

02.01.2007 15:09 1.848.381 WindowsUpdate.log
02.01.2007 13:39 750.515 setupapi.log
02.01.2007 13:33 0 0.log
02.01.2007 13:33 157 wiadebug.log
02.01.2007 13:33 50 wiaservc.log
02.01.2007 13:33 2.048 bootstat.dat
02.01.2007 13:32 27.444 SchedLgU.Txt
01.01.2007 20:43 91.014 iis6.log
01.01.2007 20:43 118.118 ntdtcsetup.log
01.01.2007 20:43 197.818 comsetup.log
01.01.2007 20:43 220.636 tsoc.log
01.01.2007 20:43 1.355 imsins.log
01.01.2007 20:43 31.323 ocmsn.log
01.01.2007 20:43 123.302 PRESP3-1.5.12.log
01.01.2007 20:42 28.681 msgsocm.log
01.01.2007 20:42 277.125 ocgen.log
01.01.2007 20:42 567.980 FaxSetup.log
01.01.2007 20:42 97.751 updspapi.log
31.12.2006 16:52 1.152 mozver.dat
31.12.2006 16:48 0 nsreg.dat
30.12.2006 00:39 34.869 wmsetup.log
30.12.2006 00:37 116 NeroDigital.ini
29.12.2006 12:48 0 ds346392d7.log
28.12.2006 15:14 0 aorvno91m.txt
26.12.2006 14:25 0 xt2in5uk.ini

16.12.2006 19:41 42.343 spupdsvc.log
16.12.2006 18:46 1.393 imsins.BAK
16.12.2006 18:46 16.345 KB928388.log
16.12.2006 18:46 11.408 KB929120.log
16.12.2006 18:46 3.146 wmsetup10.log
16.12.2006 18:46 5.440 KB926239.log
16.12.2006 18:46 3.322 MSCompPackV1.log
16.12.2006 18:46 16.193 wmp11.log
16.12.2006 18:45 603 win.ini
16.12.2006 18:45 25.331 WMFDist11.log
16.12.2006 18:45 316.640 WMSysPr9.prx
30.11.2006 22:55 946 IE4 Error Log.txt
21.11.2006 17:16 113.786 EPSTPLOG.TXT
21.11.2006 17:14 31 EPSMTL32.TXT
21.11.2006 17:11 25 CDEALCX11Euro.ini
21.11.2006 17:10 1.100 epsswt_log.txt

tmp.txt:

Verzeichnis von C:\WINDOWS\Temp

down.txt

29.12.2006 13:00 65 desktop.ini
24.10.2006 17:15 367 LegitCheckControl.inf

sys.txt

02.01.2007 16:36 0 sys.txt
02.01.2007 16:36 662 down.txt
02.01.2007 16:36 110 tmp.txt
02.01.2007 16:36 10.594 system.txt
02.01.2007 16:36 284 systemtemp.txt
02.01.2007 16:35 98.994 system32.txt
02.01.2007 15:11 24.994 ComboFix.txt
02.01.2007 13:33 805.306.368 pagefile.sys
01.01.2007 20:42 251.712 ntldr
12.11.2006 12:52 0 AUTOEXEC.BAT
12.11.2006 12:52 0 MSDOS.SYS
12.11.2006 12:52 0 CONFIG.SYS
12.11.2006 12:52 0 IO.SYS
12.11.2006 12:46 211 boot.ini

hijack.log:

Logfile of HijackThis v1.99.1
Scan saved at 16:45:08, on 02.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\Microsoft IntelliType Pro\itype.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\System32\ipv6rasm.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Alex\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167739735046
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AA07971-F8E5-4077-8D45-3ED1255B612F}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{1AA07971-F8E5-4077-8D45-3ED1255B612F}: NameServer = 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{1AA07971-F8E5-4077-8D45-3ED1255B612F}: NameServer = 194.25.2.129
O20 - AppInit_DLLs: e1.dll ssdprasa.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: ipv6rasm - C:\WINDOWS\system32\ipv6rasm.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\eEBSVC.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
Seitenanfang Seitenende
02.01.2007, 17:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

registry keys to delete:
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\ipv6rasm

Files to delete:
C:\WINDOWS\system32\ipv6rasm.exe
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\ipv6rasm.dll
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\tlntqedw.dll
C:\WINDOWS\system32\vdieasyc.exe
C:\WINDOWS\system32\ssdprasa.dll
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\ds346392d7.log
C:\WINDOWS\aorvno91m.txt
C:\WINDOWS\xt2in5uk.ini
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
ueberpruefe, ob die windowsupdates funktionieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 17:30
...neu hier

Themenstarter

Beiträge: 7
#5 //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!


ging nicht, hab mal die error log kopiert
Seitenanfang Seitenende
02.01.2007, 17:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 klar, wenn man nicht das richtige anhakt und dann wahrscheinlich noch "zitat" mit reinkopiert ........ ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 17:40
...neu hier

Themenstarter

Beiträge: 7
#7 Hab das programm nochmal neu geladen und dann nochmal versucht, dann ging es, tut mir leid wenn ich vorher was falsch gemacht hab...

also hat den neustart gemacht und soweit, als ich dann über Start -> Windows Update das windows update aufrufen wollte, öffnete sich die Mircosoft seite immerhin wieder. (Hat es vorher nicht getan).

Aber als ich dann auf schnellsuche ging, bekamm ich wieder meinen fehler: Fehlernummer: 0x80070424

soll ich das log vom avenger kopieren??
Seitenanfang Seitenende
02.01.2007, 17:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 brauchst nichts kopieren, der wurm ist geloescht.

um die windowsupdates wieder zu aktivieren, arbeite das ab - alles bis: Rechner neustarten
http://virus-protect.org/artikel/spyware/warezov_1.html

dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 18:31
...neu hier

Themenstarter

Beiträge: 7
#9 Ich hab wirklich alles hargenau nach anleitung gemacht, aber es geht nicht ;)

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
@="*DoNotAllowXPSP2"

das donotallowxpsp2 war nicht vorhanden...

die beiden schlüssel AU und WindowsUpdate waren auch nicht vorhanden, hab sie erstellt und die import durchgeführt, dann neustart.

Klappt trotzdem nicht... -> [Fehlernummer: 0x80070424]
Seitenanfang Seitenende
02.01.2007, 18:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 gehe in die registry
Start - Ausführen - regedit
klicke dich durch zum Schluessel

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update

oben links auf "exportieren" klicken und die Datei jeweils als update.txt und date.txt abspeichern (zur überprüfung)
und hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 19:49
...neu hier

Themenstarter

Beiträge: 7
#11 Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 02.01.2007 - 13:22
Wert 0
Name: NoAutoUpdate
Typ: REG_DWORD
Daten: 0x0

Wert 1
Name: AUOptions
Typ: REG_DWORD
Daten: 0x5

Wert 2
Name: ScheduledInstallDay
Typ: REG_DWORD
Daten: 0x0

Wert 3
Name: ScheduledInstallTime
Typ: REG_DWORD
Daten: 0x11

Wert 4
Name: RescheduleWaitTime
Typ: REG_DWORD
Daten: 0x3

Wert 5
Name: NoAutoRebootWithLoggedOnUsers
Typ: REG_DWORD
Daten: 0x1

Wert 6
Name: UseWUServer
Typ: REG_DWORD
Daten: 0x1


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\Auto Update
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 02.01.2007 - 13:20


ich hab jetzt wo der wurm entfernt wurde, nochmal einen anderen lösungsweg getestet, den ich davor auch mal genutzt habe, und es funktioniert wieder alles einwandfrei:

> erstelle eine Textdatei
> füge folgende Zeilen ein:
regsvr32 comcat.dll /s
regsvr32 shdoc401.dll /s
regsvr32 shdoc401.dll /i /s
regsvr32 asctrls.ocx /s
regsvr32 oleaut32.dll /s
regsvr32 shdocvw.dll /I /s
regsvr32 shdocvw.dll /s
regsvr32 browseui.dll /s
regsvr32 browseui.dll /I /s
regsvr32 msrating.dll /s
regsvr32 mlang.dll /s
regsvr32 hlink.dll /s
regsvr32 mshtmled.dll /s
regsvr32 urlmon.dll /s
regsvr32 plugin.ocx /s
regsvr32 sendmail.dll /s
regsvr32 scrobj.dll /s
regsvr32 mmefxe.ocx /s
regsvr32 corpol.dll /s
regsvr32 jscript.dll /s
regsvr32 msxml.dll /s
regsvr32 imgutil.dll /s
regsvr32 thumbvw.dll /s
regsvr32 cryptext.dll /s
regsvr32 rsabase.dll /s
regsvr32 inseng.dll /s
regsvr32 iesetup.dll /i /s
regsvr32 cryptdlg.dll /s
regsvr32 actxprxy.dll /s
regsvr32 dispex.dll /s
regsvr32 occache.dll /s
regsvr32 occache.dll /i /s
regsvr32 iepeers.dll /s
regsvr32 urlmon.dll /i /s
regsvr32 cdfview.dll /s
regsvr32 webcheck.dll /s
regsvr32 mobsync.dll /s
regsvr32 pngfilt.dll /s
regsvr32 licmgr10.dll /s
regsvr32 icmfilter.dll /s
regsvr32 hhctrl.ocx /s
regsvr32 inetcfg.dll /s
regsvr32 tdc.ocx /s
regsvr32 MSR2C.DLL /s
regsvr32 msident.dll /s
regsvr32 msieftp.dll /s
regsvr32 xmsconf.ocx /s
regsvr32 ils.dll /s
regsvr32 msoeacct.dll /s
regsvr32 inetcomm.dll /s
regsvr32 msdxm.ocx /s
regsvr32 dxmasf.dll /s
regsvr32 l3codecx.ax /s
regsvr32 acelpdec.ax /s
regsvr32 mpg4ds32.ax /s
regsvr32 voxmsdec.ax /s
regsvr32 danim.dll /s
regsvr32 Daxctle.ocx /s
regsvr32 lmrt.dll /s
regsvr32 datime.dll /s
regsvr32 dxtrans.dll /s
regsvr32 dxtmsft.dll /s
regsvr32 WEBPOST.DLL /s
regsvr32 WPWIZDLL.DLL /s
regsvr32 POSTWPP.DLL /s
regsvr32 CRSWPP.DLL /s
regsvr32 FTPWPP.DLL /s
regsvr32 FPWPP.DLL /s
regsvr32 WUAPI.DLL /s
regsvr32 WUAUENG.DLL /s
regsvr32 ATL.DLL /s
regsvr32 WUCLTUI.DLL /s
regsvr32 WUPS.DLL /s
regsvr32 WUWEB.DLL /s
regsvr32 wshom.ocx /s
regsvr32 wshext.dll /s
regsvr32 vbscript.dll /s
regsvr32 scrrun.dll mstinit.exe /setup /s
regsvr32 msnsspc.dll /SspcCreateSspiReg /s
regsvr32 msapsspc.dll /SspcCreateSspiReg /s
exit

> benenne die Datei 'IEreg.bat' und führe sie aus

Danke vielmals für deine Hilfe ;)

gruß alex
Seitenanfang Seitenende
07.03.2007, 00:08
...neu hier

Beiträge: 3
#12 Hallo liebes Helferteam,
ich habe heute Abend ebenfalls die Bekanntschaft mit dem Worm.Win32.Warezov machen dürfen.
Nachdem ich mich hier etwas durchgeklickt habe, poste ich vielleicht erstmal das log.
Weiterhin muss ich dazu sagen, dass ich auch das clean-up schon gemacht habe, ich mir allerdings bei den datfindbat nicht ganz sicher war, was ich da nun nehmen soll, ob nur die drei letzten wie bei alex oben oder alles...
na ich warte mal ab, was ihr so sagt.
Vielen Dank im Voraus für eure Antwort!!!
Und hier das log:

Logfile of HijackThis v1.99.1
Scan saved at 23:57:45, on 06.03.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Plaxo\2.12.1.1\PlaxoHelper.exe
C:\Dokumente und Einstellungen\Franky\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\2.12.1.1\PlaxoHelper.exe -a
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {E8BCDF2F-B247-42F6-8BA3-30C12142FE41} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - AppInit_DLLs: e1.dll crypds16.dll
O20 - Winlogon Notify: sccsumdm - C:\WINDOWS\System32\sccsumdm.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

ich hoffe, das nützt euch was?!
Viele grüße und gute Nacht,
Franky
Seitenanfang Seitenende
07.03.2007, 10:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Franky80321

poste die 6 logs von datfindbat
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.03.2007, 20:00
...neu hier

Beiträge: 3
#14 Okidoki, hier kommen sie:

1. Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3854-FE4E

Verzeichnis von C:\WINDOWS\system32

06.03.2007 22:36 83.220 sccsumdm.exe
06.03.2007 21:35 2.206 wpa.dbl
06.03.2007 20:55 2.953 CONFIG.NT
05.03.2007 23:10 4 sccsumdm.dat
04.03.2007 22:50 4.149 ikhcore.log
04.03.2007 21:25 1.806 AUTOEXEC.NT
22.02.2007 10:14 379.118 perfh009.dat
22.02.2007 10:14 52.856 perfc009.dat
22.02.2007 10:14 390.082 perfh007.dat
22.02.2007 10:14 63.794 perfc007.dat
22.02.2007 10:14 895.350 PerfStringBackup.INI
22.02.2007 09:46 8 success
23.01.2007 21:55 176.167 rmoc3260.dll
23.01.2007 21:54 5.632 pndx5032.dll
23.01.2007 21:54 6.656 pndx5016.dll
23.01.2007 21:54 278.528 pncrt.dll
02.01.2007 22:19 9.132 jupdate-1.5.0_10-b03.log

2. Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3854-FE4E

Verzeichnis von C:\DOKUME~1\Franky\LOKALE~1\Temp

07.03.2007 19:56 289 datFind.zip
07.03.2007 19:31 346 jusched.log
07.03.2007 19:26 16.384 ~DF4362.tmp
3 Datei(en) 17.019 Bytes
0 Verzeichnis(se), 4.739.235.840 Bytes frei

3. Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3854-FE4E

Verzeichnis von C:\WINDOWS

07.03.2007 19:27 3.886 ModemLog_Intel(R) 537EA Modem.txt
07.03.2007 19:27 50 wiaservc.log
07.03.2007 19:27 159 wiadebug.log
07.03.2007 19:26 0 0.log
07.03.2007 19:26 2.048 bootstat.dat
07.03.2007 07:29 32.562 SchedLgU.Txt
06.03.2007 22:58 436.274 ntbtlog.txt
06.03.2007 21:35 723 ie7_main.log
06.03.2007 21:34 26.325 iis6.log
06.03.2007 21:34 69.602 comsetup.log
06.03.2007 21:34 42.702 ntdtcsetup.log
06.03.2007 21:34 1.891 imsins.log
06.03.2007 21:34 80.623 tsoc.log
06.03.2007 21:34 8.416 ocmsn.log
06.03.2007 21:34 119.619 ocgen.log
06.03.2007 21:34 9.262 msgsocm.log
06.03.2007 21:34 193.411 FaxSetup.log
06.03.2007 21:28 19.604 setupapi.log
04.03.2007 22:57 794 KB894391.log
04.03.2007 21:25 (2) winstart.bat
04.03.2007 17:54 1.555.362 setupapi.log.0.old
03.03.2007 16:14 1.113.830 WindowsUpdate.log
03.03.2007 09:09 16 fwall32.dat
25.02.2007 20:03 214.818 setupact.log
25.02.2007 19:38 426 BRWMARK.INI
17.12.2006 14:32 225 cdplayer.ini
12.12.2006 21:29 191.226 wmsetup.log

4. Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3854-FE4E

Verzeichnis von C:\WINDOWS\Temp

07.03.2007 07:19 0 T30DebugLogFile.txt
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 4.739.223.552 Bytes frei



5. Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3854-FE4E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

28.02.2007 01:00 148 tinfidx.dat
28.02.2007 01:00 32 virscant.dat
28.02.2007 01:00 2.504 catalog.dat
28.02.2007 01:00 4.180.802 virscan9.dat
28.02.2007 01:00 1.693.294 virscan8.dat
28.02.2007 01:00 6.899 ecbootil.vxd
28.02.2007 01:00 6.943.538 virscan7.dat
28.02.2007 01:00 390.341 virscan6.dat
28.02.2007 01:00 97.744 scrauth.dat
28.02.2007 01:00 3.517.554 virscan5.dat
28.02.2007 01:00 11.875 symaveng.cat
28.02.2007 01:00 1.061 symaveng.inf
28.02.2007 01:00 188.891 tcdefs.dat
28.02.2007 01:00 1.352.076 tcscan7.dat
28.02.2007 01:00 336.485 tcscan8.dat
28.02.2007 01:00 771.206 tcscan9.dat
28.02.2007 01:00 453 tinf.dat
28.02.2007 01:00 224 zdone.dat
28.02.2007 01:00 1.957 tinfl.dat
28.02.2007 01:00 65.037 tscan1.dat
28.02.2007 01:00 3.113 tscan1hd.dat
28.02.2007 01:00 4.778 v.grd
28.02.2007 01:00 2.261 v.sig
28.02.2007 01:00 106.244 virscan.inf
28.02.2007 01:00 978.451 virscan1.dat
28.02.2007 01:00 570.174 virscan2.dat
28.02.2007 01:00 147.908 virscan3.dat
28.02.2007 01:00 320.186 virscan4.dat
22.06.2006 10:41 5.032 swflash.inf

6. Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3854-FE4E

Verzeichnis von C:\

07.03.2007 19:59 0 sys.txt
07.03.2007 19:58 1.986 down.txt
07.03.2007 19:58 275 tmp.txt
07.03.2007 19:58 6.582 system.txt
07.03.2007 19:57 382 systemtemp.txt
07.03.2007 19:56 91.271 system32.txt
07.03.2007 19:26 200.331.264 hiberfil.sys
07.03.2007 19:26 301.989.888 pagefile.sys
19.08.2006 18:20 194 boot.ini


So, sieht teilweise so leer aus im Gegensatz zu meinem Vorgänger... ich hoffe, ich habe das richtig gemacht! ;)
Seitenanfang Seitenende
07.03.2007, 20:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Franky80321

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sccsumdm

Files to delete:
C:\WINDOWS\system32\sccsumdm.exe
C:\WINDOWS\system32\sccsumdm.dat
C:\WINDOWS\fwall32.dat
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
------
««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 1 oder 2 oder 3
3 : wird Sophos geladen - wahle 6 - scane und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende