Worm/VB.DW Antivir kann nicht enfernen 2

#1 Ich habe gerade ein Problem mit oben genanntem Wurm. Er erstellt die ganze Zeit Dateien und ich bin nur noch am löschen. Wie krieg ich des verdammte Ding von meinem PC runter?
Außerdem zeigt mir anti vir noch ab und zu die signatur des trojaners TR/Dldr.Small.bwy.12
Bitte erklärt mir wie ich das anstelle. bitte nicht in fachchinesisch, bin nicht der größte computerchecker. Bin total verzweifelt
Dankschö

#2 Luggas

poste dieses log hier
http://virus-protect.org/artikel/tools/combofix.html

scanne, lasse alles gefundene loeschen und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hallo!! Ich hab dasselbe Problem...Hab mir diesen Wurm eingefangen und kann ihn durch Antivir nicht mehr löschen... Kann ich i-etwas machen , um ihn gelöscht zu bekommen ohne meinen Pc zu formatieren?? Bitte um Hilfe

#4 TimE

poste dieses log hier
http://virus-protect.org/artikel/tools/combofix.html

scanne, lasse alles gefundene loeschen und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 19:54:09 02.02.2007

+ Scan-Ergebnis:



C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP67\A0010284.exe -> Adware.180Solutions : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP91\A0013791.exe/clientax.dll -> Adware.180Solutions : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP97\A0014003.exe/clientax.dll -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038} -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller.1 -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller\CLSID -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller\CurVer -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038} -> Adware.180Solutions : Keine Aktion durchgeführt.
HKU\S-1-5-21-3123982636-2583411544-1545637471-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{56F1D444-11BF-4879-A12B-79CF0177F038} -> Adware.180Solutions : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP67\A0010284.exe/Plugins\npclntax.dll -> Adware.Zango : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP67\A0010293.dll -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent.1 -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent\CLSID -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent\CurVer -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\zango -> Adware.Zango : Keine Aktion durchgeführt.
HKU\S-1-5-21-3123982636-2583411544-1545637471-1006\Software\zango -> Adware.Zango : Keine Aktion durchgeführt.
C:\WINDOWS\system32\actskn45.ocx -> Downloader.IstBar : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\günter\Cookies\günter@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.




ComboFix 07.02.04 - Running from: "C:\Dokumente und Einstellungen\g�nter\Eigene Dateien\downloads"

((((((((((((((((((((((((((((((( Files Created from 2007-01-04 to 2007-02-04 ))))))))))))))))))))))))))))))))))


2007-02-02 18:51 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-02-02 18:28 <DIR> d-------- C:\!KillBox
2007-02-01 17:48 816,672 --a------ C:\WINDOWS\system32\drivers\avg7core.sys
2007-02-01 17:48 4,960 --a------ C:\WINDOWS\system32\drivers\avgtdi.sys
2007-02-01 17:48 4,224 --a------ C:\WINDOWS\system32\drivers\avg7rsw.sys
2007-02-01 17:48 3,968 --a------ C:\WINDOWS\system32\drivers\avgclean.sys
2007-02-01 17:48 28,416 --a------ C:\WINDOWS\system32\drivers\avg7rsxp.sys
2007-02-01 17:48 18,240 --a------ C:\WINDOWS\system32\drivers\avgmfx86.sys
2007-02-01 17:48 <DIR> d-------- C:\Programme\Grisoft
2007-02-01 17:48 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Anwendungsdaten\AVG7
2007-02-01 17:48 <DIR> d-------- C:\DOKUME~1\GNTER~1\Anwendungsdaten\AVG7
2007-02-01 17:48 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Grisoft
2007-02-01 17:48 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\avg7
2007-01-23 23:55 <DIR> d-------- C:\Programme\Diver
2007-01-18 17:29 <DIR> d-------- C:\WINDOWS\ShellNew
2007-01-18 17:28 <DIR> d-------- C:\DOKUME~1\GNTER~1\Anwendungsdaten\Microsoft Web Folders
2007-01-17 16:33 <DIR> d-------- C:\DOKUME~1\GNTER~1\Anwendungsdaten\Help


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-03 18:07 -------- d-------- C:\Programme\antivir personaledition classic
2007-02-03 11:25 -------- d-------- C:\Programme\zango
2007-02-02 18:52 -------- d-------- C:\Programme\Gemeinsame Dateien\symantec shared
2007-01-23 17:45 -------- d---s---- C:\DOKUME~1\GNTER~1\Anwendungsdaten\microsoft
2007-01-18 17:28 -------- d-------- C:\Programme\microsoft frontpage
2007-01-17 15:11 -------- d-------- C:\Programme\limewire
2007-01-17 15:11 -------- d-------- C:\DOKUME~1\GNTER~1\Anwendungsdaten\limewire
2007-01-09 21:40 -------- d-------- C:\Programme\Gemeinsame Dateien\ahead
2007-01-04 20:12 1743 --a------ C:\DOKUME~1\GNTER~1\Anwendungsdaten\adobedlm.log
2007-01-02 15:59 -------- d-------- C:\Programme\bearshare applications
2007-01-02 14:26 -------- d-------- C:\Programme\bearshare
2006-12-23 19:17 -------- d--h----- C:\Programme\installshield installation information
2006-12-10 22:41 -------- d-------- C:\DOKUME~1\GNTER~1\Anwendungsdaten\adobe
2006-12-10 22:33 -------- d-------- C:\Programme\Gemeinsame Dateien\adobe
2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-06 10:45 48768 --a------ C:\WINDOWS\system32\s32evnt1.dll
2006-12-06 10:45 110952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-12-06 10:45 -------- d-------- C:\Programme\symantec
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SmpcSys"="C:\\APPS\\SMP\\SmpSys.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"Vade Retro Outlook Express"="\"C:\\PROGRA~1\\GOTOSO~1\\VADERE~1\\Vaderetro_oe.exe\""
"DetectorApp"="C:\\Programme\\Sonic\\DigitalMedia LE v7\\MyDVD LE\\DetectorApp.exe"
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"OmniPass"="C:\\Apps\\Softex\\OmniPass\\scureapp.exe"
"PCMService"="\"c:\\APPS\\Powercinema\\PCMService.exe\""
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32\""
"zango"="\"c:\\programme\\zango\\zango.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"RealTray"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe"
"HPHmon03"="C:\\WINDOWS\\system32\\hphmon03.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000000

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_COMHOST


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Erweiterte Garantie.job
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systempr�fung ausf�hren - g�nter.job


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

#6 TimE

««
arbeite die bfu ab
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|zango

registry keys to delete:
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent.1
HKLM\SOFTWARE\zango
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango
HKLM\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038}

Files to delete:
C:\WINDOWS\system32\actskn45.ocx

Folders to delete:
C:\Programme\bearshare applications
C:\Programme\bearshare
C:\Programme\zango
C:\Programme\limewire
C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten\limewire

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne noch mal mit AVG Anti-Spyware - lasse alles gefundene loeschen!



-------------------------------
««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nelogilo

*******************

Script file located at: \??\C:\WINDOWS\xrqrlucd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\actskn45.ocx not found!
Deletion of file C:\WINDOWS\system32\actskn45.ocx failed!

Could not process line:
C:\WINDOWS\system32\actskn45.ocx
Status: 0xc0000034

Folder C:\Programme\bearshare applications deleted successfully.
Folder C:\Programme\bearshare deleted successfully.
Folder C:\Programme\zango deleted successfully.
Folder C:\Programme\limewire deleted successfully.
Folder C:\Dokumente und Einstellungen\günter\Anwendungsdaten\limewire deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|zango deleted successfully.


Registry key HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent not found!
Deletion of registry key HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent.1 not found!
Deletion of registry key HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent.1 failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\zango not found!
Deletion of registry key HKLM\SOFTWARE\zango failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038} not found!
Deletion of registry key HKLM\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038} failed!
Status: 0xc0000034


Completed script processing.

#8 »»
scanne noch mal mit AVG Anti-Spyware - lasse alles gefundene loeschen!



-------------------------------
««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

»»
dann berichte, ob dein Virenscanner noch etwas zu beanstanden hat..................
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi erstmal! Also das Problem ist ja dass mein Virenscanner sich ja immer meldet... d.h. ich drücke( bei antivir) immer löschen,jedoch zeigt der direkt nach ner sekunde an ,dass der wurm noch net gelöscht ist und man erkennt dass er seinen namen geändert hat... ich kann also nur arbeiten,wenn ich ihn so in ruhe lasse ... und den Fund von dem antiviren programm net bearbeite.


habe jetzt alle punkte befolgt und der virus ist immernoch net gelöscht =(

Was soll ich machen....?? wie kann ich das mit antivir ausschalten, bzw. so hinbekommen dass der virus sich net mehr umändert ,sodass das programm sich andauernd meldet?

#10 wenn sich der antivirus wieder meldet, schreibe den pfad vom Virus ab, dass ich weiss, wo er sich befindet.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hey also , ich habe es mal so probiert... und zwar hab ich antivir kurz deaktiviert und aktiviert und danach war der wurm weg

ganz komisch... aber auch in Temp war er net mehr vorhanden... vorher konnte man den wurm sehn ,aber leider net löschen... Ist der jetzt immer noch aufm rechner oder ist er jetzt entgültig weg??
Danke trotzdem schonma für deine hilfe... hast echt was gut bei mir...

#12 ««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

»»
dann melde dich wieder, falls wieder eine Meldung kommt - und achte darauf, in Zukunft beim P2P nicht auf das falsche zu klicken
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hallo

ich hab den wurm leider auch...

ich hab den anderen thread gelesen und bin nur nen bißchen schlauer


wenn ich antivir laufen lassen,
findet der zwar was kann aber der wurm kommt immer wieder

auch bei hijackthis kam nix heraus

dann hab ich cleanup und ad-aware laufen lassen

lassen nicht mit dem gewünschten ergebnis das der wurm weg ist


nun hab ich combifix und antispyware laufen lassen

ich stell mal die ergebnisse und hoffe man kann mir helfen


"Jan" - 07-02-06 22:28:05 Service Pack 2
ComboFix 07-02-06.3 - Running from: "C:\Downloads"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\23.exe
C:\INSTALL.LOG


((((((((((((((((((((((((((((((( Files Created from 2007-01-06 to 2007-02-06 ))))))))))))))))))))))))))))))))))


2007-02-06 22:18 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-02-06 22:17 <DIR> d-------- C:\Programme\Grisoft
2007-02-05 20:23 <DIR> d-------- C:\WINDOWS\pss
2007-02-05 14:15 <DIR> d-------- C:\DOKUME~1\Jan\Anwendungsdaten\Lavasoft
2007-02-05 13:45 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-02-05 13:45 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-02-05 13:45 <DIR> d-------- C:\Programme\Lavasoft
2007-02-05 13:35 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Google Updater
2007-01-30 14:14 557,056 --a------ C:\WINDOWS\system32\Netw2c32.dll
2007-01-30 14:14 2,732,032 --a------ C:\WINDOWS\system32\Netw2r32.dll
2007-01-30 14:14 2,209,536 --a------ C:\WINDOWS\system32\drivers\w29n51.sys
2007-01-22 21:25 <DIR> d-------- C:\Downloads
2007-01-22 21:16 <DIR> d-------- C:\Programme\Free Download Manager
2007-01-22 21:16 <DIR> d-------- C:\DOKUME~1\Jan\Anwendungsdaten\Free Download Manager
2007-01-18 19:04 <DIR> d-------- C:\Programme\Blobby Volley 2.0 Alpha 6
2007-01-12 12:39 177 --a------ C:\UnInstall.dat
2007-01-12 12:39 16,896 --a------ C:\WINDOWS\system32\grwinsthlp.exe
2007-01-11 00:33 <DIR> d-------- C:\WINDOWS\ie7updates
2007-01-09 19:05 <DIR> d-------- C:\WINDOWS\WBEM
2007-01-09 19:05 <DIR> d-------- C:\WINDOWS\system32\de-de


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-06 22:15 -------- d-------- C:\Programme\mozilla firefox
2007-02-05 13:45 -------- d-------- C:\Programme\picasa2
2007-02-05 13:35 -------- d-------- C:\Programme\google
2007-02-02 19:33 -------- d-------- C:\DOKUME~1\Jan\Anwendungsdaten\skype
2007-02-02 13:50 -------- d-------- C:\Programme\antivir personaledition classic
2007-02-01 15:01 -------- d-------- C:\Programme\last.fm
2007-01-31 19:27 -------- d-------- C:\Programme\azureus
2007-01-31 19:27 -------- d-------- C:\DOKUME~1\Jan\Anwendungsdaten\azureus
2007-01-22 23:22 -------- d-------- C:\DOKUME~1\Jan\Anwendungsdaten\google
2007-01-22 23:20 -------- d--h----- C:\Programme\installshield installation information
2007-01-17 19:10 -------- d-------- C:\Programme\cannapower-tool
2007-01-15 18:42 -------- d-------- C:\Programme\icqlite
2007-01-12 03:22 -------- d-------- C:\Programme\gta2
2006-12-21 22:12 -------- d-------- C:\Programme\alcatech
2006-12-07 17:02 -------- d-------- C:\Programme\winamp
2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-24 16:12 37132 --ah----- C:\WINDOWS\system32\mlfcache.dat
2006-11-24 11:24 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"TOSCDSPD"="C:\\Programme\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"
"Sonic RecordNow!"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ZoomingHook"="c:\\WINDOWS\\System32\\ZoomingHook.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"WIN32 Kernel"="C:\\WINDOWS\\Kernel.exe"
"TPNF"="C:\\Programme\\TOSHIBA\\TouchPad\\TPTray.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"SmoothView"="C:\\Programme\\TOSHIBA\\TOSHIBA Zoom-Dienstprogramm\\SmoothView.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Picasa Media Detector"="C:\\Programme\\Picasa2\\PicasaMediaDetector.exe"
"PadTouch"="\"C:\\Programme\\TOSHIBA\\PadTouch\\PadExe.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"NDSTray.exe"="NDSTray.exe"
"KernelFaultCheck"="%systemroot%\\system32\\dumprep 0 -k"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"EzButton"="C:\\Programme\\EzButton\\EzButton.EXE"
"dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"CeEPOWER"="C:\\Programme\\TOSHIBA\\Power Management\\CePMTray.exe"
"CeEKEY"="C:\\Programme\\TOSHIBA\\E-KEY\\CeEKey.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Apoint"="C:\\Programme\\Apoint2K\\Apoint.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_AVG_ANTI-SPYWARE_DRIVER
*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_AVG_ANTI-SPYWARE_GUARD
*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_COMHOST



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20070205-152452-701
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
backup-20070205-152451-956
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Neuer Task.job
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systempr�fung ausf�hren - Jan.job
C:\WINDOWS\tasks\Symantec NetDetect.job


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-06 22:47:59

combifix.txt


---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 09:42:15 07.02.2007

+ Scan-Ergebnis:



C:\Programme\DAEMON Tools\SetupDTSB.exe -> Adware.SaveNow : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Keine Aktion durchgeführt.
:mozilla.158:C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\jp73s284.default\cookies.txt.old -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.159:C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\jp73s284.default\cookies.txt.old -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.160:C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\jp73s284.default\cookies.txt.old -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.161:C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\jp73s284.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.161:C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\jp73s284.default\cookies.txt.old -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.162:C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\jp73s284.default\cookies.txt -

#14 ghandi

0.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\Kernel.exe

poste hier den report

------------------------------------------------------------------------

1.
SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

««
boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

----------------------------------------------------------------------

««
Cleanup anwenden
http://virus-protect.org/cleanup.html

»»
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 hey sabina,schlechte nachricht.... der wurm hat sich wieder gemeldet.. als ich avg benutzt hab...
kann den auch ma wieder net löschen =(
wo kann ich denn seinen pfad ausfindig machen?? und was meinst du mit P2P??

ach mein norton zeigt übrigens immer den virennamen W32.Alcra.F an ... ist das der wurm?