Worm/VB.DW Antivir kann nicht enfernen 2 |
||
---|---|---|
#0
| ||
29.01.2007, 19:44
...neu hier
Beiträge: 1 |
||
|
||
30.01.2007, 01:38
Ehrenmitglied
Beiträge: 29434 |
#2
Luggas
poste dieses log hier http://virus-protect.org/artikel/tools/combofix.html scanne, lasse alles gefundene loeschen und poste den report http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.02.2007, 11:57
...neu hier
Beiträge: 8 |
#3
hallo!! Ich hab dasselbe Problem...Hab mir diesen Wurm eingefangen und kann ihn durch Antivir nicht mehr löschen... Kann ich i-etwas machen , um ihn gelöscht zu bekommen ohne meinen Pc zu formatieren?? Bitte um Hilfe
|
|
|
||
03.02.2007, 16:26
Ehrenmitglied
Beiträge: 29434 |
#4
TimE
poste dieses log hier http://virus-protect.org/artikel/tools/combofix.html scanne, lasse alles gefundene loeschen und poste den report http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.02.2007, 22:52
...neu hier
Beiträge: 8 |
#5
AVG Anti-Spyware - Scan-Bericht
--------------------------------------------------------- + Erstellt um: 19:54:09 02.02.2007 + Scan-Ergebnis: C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP67\A0010284.exe -> Adware.180Solutions : Keine Aktion durchgeführt. C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP91\A0013791.exe/clientax.dll -> Adware.180Solutions : Keine Aktion durchgeführt. C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP97\A0014003.exe/clientax.dll -> Adware.180Solutions : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038} -> Adware.180Solutions : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller -> Adware.180Solutions : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller.1 -> Adware.180Solutions : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller\CLSID -> Adware.180Solutions : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller\CurVer -> Adware.180Solutions : Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038} -> Adware.180Solutions : Keine Aktion durchgeführt. HKU\S-1-5-21-3123982636-2583411544-1545637471-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{56F1D444-11BF-4879-A12B-79CF0177F038} -> Adware.180Solutions : Keine Aktion durchgeführt. C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP67\A0010284.exe/Plugins\npclntax.dll -> Adware.Zango : Keine Aktion durchgeführt. C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP67\A0010293.dll -> Adware.Zango : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent -> Adware.Zango : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent.1 -> Adware.Zango : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent\CLSID -> Adware.Zango : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent\CurVer -> Adware.Zango : Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango -> Adware.Zango : Keine Aktion durchgeführt. HKLM\SOFTWARE\zango -> Adware.Zango : Keine Aktion durchgeführt. HKU\S-1-5-21-3123982636-2583411544-1545637471-1006\Software\zango -> Adware.Zango : Keine Aktion durchgeführt. C:\WINDOWS\system32\actskn45.ocx -> Downloader.IstBar : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\günter\Cookies\günter@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt. ComboFix 07.02.04 - Running from: "C:\Dokumente und Einstellungen\gnter\Eigene Dateien\downloads" ((((((((((((((((((((((((((((((( Files Created from 2007-01-04 to 2007-02-04 )))))))))))))))))))))))))))))))))) 2007-02-02 18:51 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-02-02 18:28 <DIR> d-------- C:\!KillBox 2007-02-01 17:48 816,672 --a------ C:\WINDOWS\system32\drivers\avg7core.sys 2007-02-01 17:48 4,960 --a------ C:\WINDOWS\system32\drivers\avgtdi.sys 2007-02-01 17:48 4,224 --a------ C:\WINDOWS\system32\drivers\avg7rsw.sys 2007-02-01 17:48 3,968 --a------ C:\WINDOWS\system32\drivers\avgclean.sys 2007-02-01 17:48 28,416 --a------ C:\WINDOWS\system32\drivers\avg7rsxp.sys 2007-02-01 17:48 18,240 --a------ C:\WINDOWS\system32\drivers\avgmfx86.sys 2007-02-01 17:48 <DIR> d-------- C:\Programme\Grisoft 2007-02-01 17:48 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Anwendungsdaten\AVG7 2007-02-01 17:48 <DIR> d-------- C:\DOKUME~1\GNTER~1\Anwendungsdaten\AVG7 2007-02-01 17:48 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Grisoft 2007-02-01 17:48 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\avg7 2007-01-23 23:55 <DIR> d-------- C:\Programme\Diver 2007-01-18 17:29 <DIR> d-------- C:\WINDOWS\ShellNew 2007-01-18 17:28 <DIR> d-------- C:\DOKUME~1\GNTER~1\Anwendungsdaten\Microsoft Web Folders 2007-01-17 16:33 <DIR> d-------- C:\DOKUME~1\GNTER~1\Anwendungsdaten\Help (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-02-03 18:07 -------- d-------- C:\Programme\antivir personaledition classic 2007-02-03 11:25 -------- d-------- C:\Programme\zango 2007-02-02 18:52 -------- d-------- C:\Programme\Gemeinsame Dateien\symantec shared 2007-01-23 17:45 -------- d---s---- C:\DOKUME~1\GNTER~1\Anwendungsdaten\microsoft 2007-01-18 17:28 -------- d-------- C:\Programme\microsoft frontpage 2007-01-17 15:11 -------- d-------- C:\Programme\limewire 2007-01-17 15:11 -------- d-------- C:\DOKUME~1\GNTER~1\Anwendungsdaten\limewire 2007-01-09 21:40 -------- d-------- C:\Programme\Gemeinsame Dateien\ahead 2007-01-04 20:12 1743 --a------ C:\DOKUME~1\GNTER~1\Anwendungsdaten\adobedlm.log 2007-01-02 15:59 -------- d-------- C:\Programme\bearshare applications 2007-01-02 14:26 -------- d-------- C:\Programme\bearshare 2006-12-23 19:17 -------- d--h----- C:\Programme\installshield installation information 2006-12-10 22:41 -------- d-------- C:\DOKUME~1\GNTER~1\Anwendungsdaten\adobe 2006-12-10 22:33 -------- d-------- C:\Programme\Gemeinsame Dateien\adobe 2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll 2006-12-06 10:45 48768 --a------ C:\WINDOWS\system32\s32evnt1.dll 2006-12-06 10:45 110952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS 2006-12-06 10:45 -------- d-------- C:\Programme\symantec 2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "SmpcSys"="C:\\APPS\\SMP\\SmpSys.exe" "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\"" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC" "PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName" "RTHDCPL"="RTHDCPL.EXE" "Alcmtr"="ALCMTR.EXE" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "Vade Retro Outlook Express"="\"C:\\PROGRA~1\\GOTOSO~1\\VADERE~1\\Vaderetro_oe.exe\"" "DetectorApp"="C:\\Programme\\Sonic\\DigitalMedia LE v7\\MyDVD LE\\DetectorApp.exe" "ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup" "ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start" "ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "OmniPass"="C:\\Apps\\Softex\\OmniPass\\scureapp.exe" "PCMService"="\"c:\\APPS\\Powercinema\\PCMService.exe\"" "IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32\"" "zango"="\"c:\\programme\\zango\\zango.exe\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"" "RealTray"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER" "HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe" "HPHmon03"="C:\\WINDOWS\\system32\\hphmon03.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP" "!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoCDBurning"=dword:00000000 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 *newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_COMHOST Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\Erweiterte Garantie.job C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - gnter.job ******************************************************************** catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Dieser Beitrag wurde am 04.02.2007 um 22:58 Uhr von TimE editiert.
|
|
|
||
04.02.2007, 23:36
Ehrenmitglied
Beiträge: 29434 |
#6
TimE
«« arbeite die bfu ab http://virus-protect.org/artikel/bfu/p2pbfuhtml.html «« Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» scanne noch mal mit AVG Anti-Spyware - lasse alles gefundene loeschen! ------------------------------- «« Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.02.2007, 15:45
...neu hier
Beiträge: 8 |
#7
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\nelogilo ******************* Script file located at: \??\C:\WINDOWS\xrqrlucd.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\actskn45.ocx not found! Deletion of file C:\WINDOWS\system32\actskn45.ocx failed! Could not process line: C:\WINDOWS\system32\actskn45.ocx Status: 0xc0000034 Folder C:\Programme\bearshare applications deleted successfully. Folder C:\Programme\bearshare deleted successfully. Folder C:\Programme\zango deleted successfully. Folder C:\Programme\limewire deleted successfully. Folder C:\Dokumente und Einstellungen\günter\Anwendungsdaten\limewire deleted successfully. Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|zango deleted successfully. Registry key HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent not found! Deletion of registry key HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent.1 not found! Deletion of registry key HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent.1 failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\zango not found! Deletion of registry key HKLM\SOFTWARE\zango failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango not found! Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038} not found! Deletion of registry key HKLM\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038} failed! Status: 0xc0000034 Completed script processing. |
|
|
||
05.02.2007, 16:21
Ehrenmitglied
Beiträge: 29434 |
#8
»»
scanne noch mal mit AVG Anti-Spyware - lasse alles gefundene loeschen! ------------------------------- «« Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) »» dann berichte, ob dein Virenscanner noch etwas zu beanstanden hat.................. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.02.2007, 16:41
...neu hier
Beiträge: 8 |
#9
Hi erstmal! Also das Problem ist ja dass mein Virenscanner sich ja immer meldet... d.h. ich drücke( bei antivir) immer löschen,jedoch zeigt der direkt nach ner sekunde an ,dass der wurm noch net gelöscht ist und man erkennt dass er seinen namen geändert hat... ich kann also nur arbeiten,wenn ich ihn so in ruhe lasse ... und den Fund von dem antiviren programm net bearbeite.
habe jetzt alle punkte befolgt und der virus ist immernoch net gelöscht =( Was soll ich machen....?? wie kann ich das mit antivir ausschalten, bzw. so hinbekommen dass der virus sich net mehr umändert ,sodass das programm sich andauernd meldet? |
|
|
||
05.02.2007, 16:43
Ehrenmitglied
Beiträge: 29434 |
#10
wenn sich der antivirus wieder meldet, schreibe den pfad vom Virus ab, dass ich weiss, wo er sich befindet.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.02.2007, 19:43
...neu hier
Beiträge: 8 |
#11
hey also , ich habe es mal so probiert... und zwar hab ich antivir kurz deaktiviert und aktiviert und danach war der wurm weg
ganz komisch... aber auch in Temp war er net mehr vorhanden... vorher konnte man den wurm sehn ,aber leider net löschen... Ist der jetzt immer noch aufm rechner oder ist er jetzt entgültig weg?? Danke trotzdem schonma für deine hilfe... hast echt was gut bei mir... |
|
|
||
07.02.2007, 00:08
Ehrenmitglied
Beiträge: 29434 |
#12
««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k »» dann melde dich wieder, falls wieder eine Meldung kommt - und achte darauf, in Zukunft beim P2P nicht auf das falsche zu klicken __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 09:46
...neu hier
Beiträge: 6 |
#13
hallo
ich hab den wurm leider auch... ich hab den anderen thread gelesen und bin nur nen bißchen schlauer wenn ich antivir laufen lassen, findet der zwar was kann aber der wurm kommt immer wieder auch bei hijackthis kam nix heraus dann hab ich cleanup und ad-aware laufen lassen lassen nicht mit dem gewünschten ergebnis das der wurm weg ist nun hab ich combifix und antispyware laufen lassen ich stell mal die ergebnisse und hoffe man kann mir helfen "Jan" - 07-02-06 22:28:05 Service Pack 2 ComboFix 07-02-06.3 - Running from: "C:\Downloads" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\23.exe C:\INSTALL.LOG ((((((((((((((((((((((((((((((( Files Created from 2007-01-06 to 2007-02-06 )))))))))))))))))))))))))))))))))) 2007-02-06 22:18 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-02-06 22:17 <DIR> d-------- C:\Programme\Grisoft 2007-02-05 20:23 <DIR> d-------- C:\WINDOWS\pss 2007-02-05 14:15 <DIR> d-------- C:\DOKUME~1\Jan\Anwendungsdaten\Lavasoft 2007-02-05 13:45 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2007-02-05 13:45 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2007-02-05 13:45 <DIR> d-------- C:\Programme\Lavasoft 2007-02-05 13:35 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Google Updater 2007-01-30 14:14 557,056 --a------ C:\WINDOWS\system32\Netw2c32.dll 2007-01-30 14:14 2,732,032 --a------ C:\WINDOWS\system32\Netw2r32.dll 2007-01-30 14:14 2,209,536 --a------ C:\WINDOWS\system32\drivers\w29n51.sys 2007-01-22 21:25 <DIR> d-------- C:\Downloads 2007-01-22 21:16 <DIR> d-------- C:\Programme\Free Download Manager 2007-01-22 21:16 <DIR> d-------- C:\DOKUME~1\Jan\Anwendungsdaten\Free Download Manager 2007-01-18 19:04 <DIR> d-------- C:\Programme\Blobby Volley 2.0 Alpha 6 2007-01-12 12:39 177 --a------ C:\UnInstall.dat 2007-01-12 12:39 16,896 --a------ C:\WINDOWS\system32\grwinsthlp.exe 2007-01-11 00:33 <DIR> d-------- C:\WINDOWS\ie7updates 2007-01-09 19:05 <DIR> d-------- C:\WINDOWS\WBEM 2007-01-09 19:05 <DIR> d-------- C:\WINDOWS\system32\de-de (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-02-06 22:15 -------- d-------- C:\Programme\mozilla firefox 2007-02-05 13:45 -------- d-------- C:\Programme\picasa2 2007-02-05 13:35 -------- d-------- C:\Programme\google 2007-02-02 19:33 -------- d-------- C:\DOKUME~1\Jan\Anwendungsdaten\skype 2007-02-02 13:50 -------- d-------- C:\Programme\antivir personaledition classic 2007-02-01 15:01 -------- d-------- C:\Programme\last.fm 2007-01-31 19:27 -------- d-------- C:\Programme\azureus 2007-01-31 19:27 -------- d-------- C:\DOKUME~1\Jan\Anwendungsdaten\azureus 2007-01-22 23:22 -------- d-------- C:\DOKUME~1\Jan\Anwendungsdaten\google 2007-01-22 23:20 -------- d--h----- C:\Programme\installshield installation information 2007-01-17 19:10 -------- d-------- C:\Programme\cannapower-tool 2007-01-15 18:42 -------- d-------- C:\Programme\icqlite 2007-01-12 03:22 -------- d-------- C:\Programme\gta2 2006-12-21 22:12 -------- d-------- C:\Programme\alcatech 2006-12-07 17:02 -------- d-------- C:\Programme\winamp 2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll 2006-11-24 16:12 37132 --ah----- C:\WINDOWS\system32\mlfcache.dat 2006-11-24 11:24 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll 2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll 2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll 2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll 2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll 2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll 2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll 2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll 2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll 2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll 2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll 2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe 2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll 2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll 2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe 2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll 2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "TOSCDSPD"="C:\\Programme\\TOSHIBA\\TOSCDSPD\\toscdspd.exe" "Sonic RecordNow!"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background" "MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background" "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "ZoomingHook"="c:\\WINDOWS\\System32\\ZoomingHook.exe" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "WIN32 Kernel"="C:\\WINDOWS\\Kernel.exe" "TPNF"="C:\\Programme\\TOSHIBA\\TouchPad\\TPTray.exe" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "SmoothView"="C:\\Programme\\TOSHIBA\\TOSHIBA Zoom-Dienstprogramm\\SmoothView.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "Picasa Media Detector"="C:\\Programme\\Picasa2\\PicasaMediaDetector.exe" "PadTouch"="\"C:\\Programme\\TOSHIBA\\PadTouch\\PadExe.exe" "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "NDSTray.exe"="NDSTray.exe" "KernelFaultCheck"="%systemroot%\\system32\\dumprep 0 -k" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe" "EzButton"="C:\\Programme\\EzButton\\EzButton.EXE" "dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe" "DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033" "CeEPOWER"="C:\\Programme\\TOSHIBA\\Power Management\\CePMTray.exe" "CeEKEY"="C:\\Programme\\TOSHIBA\\E-KEY\\CeEKey.exe" "ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "Apoint"="C:\\Programme\\Apoint2K\\Apoint.exe" "AGRSMMSG"="AGRSMMSG.exe" "!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 *newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_AVG_ANTI-SPYWARE_DRIVER *newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_AVG_ANTI-SPYWARE_GUARD *newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_COMHOST ~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ backup-20070205-152452-701 O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) backup-20070205-152451-956 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\Neuer Task.job C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - Jan.job C:\WINDOWS\tasks\Symantec NetDetect.job ******************************************************************** catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-02-06 22:47:59 combifix.txt --------------------------------------------------------- AVG Anti-Spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 09:42:15 07.02.2007 + Scan-Ergebnis: C:\Programme\DAEMON Tools\SetupDTSB.exe -> Adware.SaveNow : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Keine Aktion durchgeführt. :mozilla.158:C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\jp73s284.default\cookies.txt.old -> TrackingCookie.2o7 : Keine Aktion durchgeführt. :mozilla.159:C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\jp73s284.default\cookies.txt.old -> TrackingCookie.2o7 : Keine Aktion durchgeführt. :mozilla.160:C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\jp73s284.default\cookies.txt.old -> TrackingCookie.2o7 : Keine Aktion durchgeführt. :mozilla.161:C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\jp73s284.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. :mozilla.161:C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\jp73s284.default\cookies.txt.old -> TrackingCookie.2o7 : Keine Aktion durchgeführt. :mozilla.162:C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\jp73s284.default\cookies.txt - |
|
|
||
07.02.2007, 11:07
Ehrenmitglied
Beiträge: 29434 |
#14
ghandi
0. virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\Kernel.exe poste hier den report ------------------------------------------------------------------------ 1. SDFix.zip entpacken http://virus-protect.org/artikel/tools/sdfix.html es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner «« boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag ---------------------------------------------------------------------- «« Cleanup anwenden http://virus-protect.org/cleanup.html »» Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 13:49
...neu hier
Beiträge: 8 |
#15
hey sabina,schlechte nachricht.... der wurm hat sich wieder gemeldet.. als ich avg benutzt hab...
kann den auch ma wieder net löschen =( wo kann ich denn seinen pfad ausfindig machen?? und was meinst du mit P2P?? ach mein norton zeigt übrigens immer den virennamen W32.Alcra.F an ... ist das der wurm? Dieser Beitrag wurde am 07.02.2007 um 14:32 Uhr von TimE editiert.
|
|
|
||
Außerdem zeigt mir anti vir noch ab und zu die signatur des trojaners TR/Dldr.Small.bwy.12
Bitte erklärt mir wie ich das anstelle. bitte nicht in fachchinesisch, bin nicht der größte computerchecker. Bin total verzweifelt
Dankschö