Hab diese beiden Würmer WORM/VB.DW und W32.Alcra.F und bekomme sie nicht weg

#0
04.02.2007, 14:38
...neu hier

Beiträge: 4
#1 Ich brauche unbedingt Hilfe!!!
Letztens habe ich mit AntiVir meinen Computer gescannt.
Und dabei hat mein Virenprogramm die beiden o.g Würmer gefunden.
Leider kann AntiVir diese beiden Würmer nicht löschen.
Ich weiß nicht mehr was ich jetzt machen soll...
Bitte helft mir!!!!!

Hier noch meim hijackthis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:36:38, on 04.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Real Alternative\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: ICQ 5.lnk = C:\Programme\ICQLite\ICQLite.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E6FD69C-8CB5-4573-BE64-C26D47AEC758}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe




Hoffentlich kann mir wer helfen.

Mfg Kristina
Seitenanfang Seitenende
04.02.2007, 14:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 PriceZz

poste hier dieses log
http://virus-protect.org/artikel/tools/combofix.html

+
den scanreport vom antivirus
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2007, 15:34
...neu hier

Themenstarter

Beiträge: 4
#3 OK hier von AntiVir:



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 5. Februar 2007 14:09

Es wird nach 662924 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: hOnEy
Computername: NAME-A517352409

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 19.01.2007 15:51:18
AVSCAN.DLL : 7.0.3.0 35880 Bytes 19.12.2006 17:33:33
LUKE.DLL : 7.0.3.2 143400 Bytes 19.12.2006 17:33:34
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.12.2006 17:33:34
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 10:21:48
ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 15:51:19
ANTIVIR2.VDF : 6.37.0.235 374784 Bytes 29.01.2007 16:09:10
ANTIVIR3.VDF : 6.37.1.28 113152 Bytes 04.02.2007 15:37:21
AVEWIN32.DLL : 7.3.1.34 2290176 Bytes 01.02.2007 20:43:48
AVPREF.DLL : 7.0.2.0 23592 Bytes 19.12.2006 17:33:33
AVREP.DLL : 6.37.1.1 1105960 Bytes 01.02.2007 20:43:48
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.5 368680 Bytes 25.10.2006 14:16:14
AVREG.DLL : 7.0.1.2 30760 Bytes 19.01.2007 15:51:18
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:47
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 19.12.2006 17:33:23
RCTEXT.DLL : 7.0.12.0 77864 Bytes 19.12.2006 17:33:23

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00001000

Beginn des Suchlaufs: Montag, 5. Februar 2007 14:09

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'guardgui.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'NSCSRVCE.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'NAVAPSVC.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'FwebProt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CCAPP.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'symlcsvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SNDSrvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ccProxy.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CCEVTMGR.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'CCSETMGR.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 20 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Festplatte>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Montag, 5. Februar 2007 15:28
Benötigte Zeit: 1:18:59 min

Der Suchlauf wurde vollständig durchgeführt.

6863 Verzeichnisse wurden überprüft
333525 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
333525 Dateien ohne Befall
7257 Archive wurden durchsucht
3 Warnungen
21 Hinweise









Und von ComboFix:

"hOnEy" - 07-02-04 17:25:04 Service Pack 2
ComboFix 07.02.04 - Running from: "C:\Programme\Mozilla Firefox"

((((((((((((((((((((((((((((((( Files Created from 2007-01-04 to 2007-02-04 ))))))))))))))))))))))))))))))))))


2007-02-04 14:02 <DIR> d-------- C:\Programme\HijackThis
2007-01-26 17:36 <DIR> d-------- C:\WINDOWS\system32\UpMedia
2007-01-19 17:28 880,640 --a------ C:\WINDOWS\system32\NCTAudioEditor2.dll
2007-01-19 17:28 835,584 --a------ C:\WINDOWS\system32\NCTAudioCDGrabber2.dll
2007-01-19 17:28 602,112 --a------ C:\WINDOWS\system32\NCTAudioTransform2.dll
2007-01-19 17:28 479,232 --a------ C:\WINDOWS\system32\NCTAudioVisualization2.dll
2007-01-19 17:28 458,752 --a------ C:\WINDOWS\system32\NCTAudioRecord2.dll
2007-01-19 17:28 458,752 --a------ C:\WINDOWS\system32\NCTAudioPlayer2.dll
2007-01-19 17:28 417,792 --a------ C:\WINDOWS\system32\NCTAudioDisplay2.dll
2007-01-19 17:28 348,160 --a------ C:\WINDOWS\system32\NCTWMAFile2.dll
2007-01-19 17:28 2,084,864 --a------ C:\WINDOWS\system32\NCTAudioDesign2.dll
2007-01-19 17:28 1,986,560 --a------ C:\WINDOWS\system32\NCTAudioFile2.dll
2007-01-19 17:28 1,212,416 --a------ C:\WINDOWS\system32\NCTAudioInformation2.dll
2007-01-19 17:28 <DIR> d-------- C:\Programme\McFunSoft Audio Editor
2007-01-09 14:27 <DIR> d-------- C:\Programme\WinPcap
2007-01-08 14:11 <DIR> d-------- C:\Programme\eMule


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-04 17:24 -------- d-------- C:\Programme\mozilla firefox
2007-02-04 14:51 -------- d-------- C:\Programme\Gemeinsame Dateien\symantec shared
2007-02-03 23:17 -------- d-------- C:\DOKUME~1\hOnEy\Anwendungsdaten\fritz!
2007-02-03 22:41 -------- d-------- C:\DOKUME~1\hOnEy\Anwendungsdaten\skype
2007-02-01 21:43 -------- d-------- C:\Programme\antivir personaledition classic
2007-02-01 18:51 -------- d-------- C:\DOKUME~1\hOnEy\Anwendungsdaten\limewire
2007-01-20 17:40 -------- d-------- C:\Programme\icqlite
2007-01-13 17:14 -------- d-------- C:\Programme\pacificpoker
2007-01-03 19:17 -------- d-------- C:\Programme\java
2006-12-29 20:44 -------- d-a------ C:\Programme\msn messenger
2006-12-23 22:22 -------- d-------- C:\Programme\lavasoft
2006-12-23 22:22 -------- d-------- C:\DOKUME~1\hOnEy\Anwendungsdaten\lavasoft
2006-12-23 22:21 -------- d-------- C:\Programme\dr. hardware 2007
2006-12-21 20:04 -------- d-------- C:\DOKUME~1\hOnEy\Anwendungsdaten\icqlite
2006-12-18 18:28 -------- d-------- C:\Programme\skype
2006-12-18 18:28 -------- d-------- C:\Programme\Gemeinsame Dateien\skype
2006-12-15 18:42 -------- d-------- C:\Programme\icqtoolbar
2006-12-14 15:59 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-12-14 15:59 -------- d-------- C:\Programme\Gemeinsame Dateien\real
2006-12-10 13:57 -------- d--h----- C:\Programme\installshield installation information
2006-12-10 13:54 43520 --a------ C:\WINDOWS\system32\cmdlineext03.dll
2006-12-10 13:40 -------- d-------- C:\DOKUME~1\hOnEy\Anwendungsdaten\atari
2006-12-09 17:02 -------- d-------- C:\Programme\emule.de 0.46c v17
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-27 21:45 2356 --a------ C:\DOKUME~1\hOnEy\Anwendungsdaten\adobedlm.log
2006-11-27 21:45 0 --a------ C:\DOKUME~1\hOnEy\Anwendungsdaten\dm.ini
2006-11-25 15:20 9544 --a------ C:\Programme\hijackthis1.log
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"RTHDCPL"="RTHDCPL.EXE"
"TkBellExe"="C:\\Programme\\Real Alternative\\Update_OB\\realsched.exe -osboot"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"Alcmtr"="ALCMTR.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Muscbrigade]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Musicbrigade"
"hkey"="HKLM"
"command"="c:\\Musicbrigade\\Musicbrigade.exe check"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead Photo Express 5 SE Calendar Checker]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="calcheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Ulead Systems\\Ulead Photo Express 5 SE\\calcheck.exe"
"inimapping"="0"


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_COMHOST



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20070204-140534-911
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
backup-20070204-140534-869
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - Kristina.job
C:\WINDOWS\tasks\Symantec NetDetect.job


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-04 17:29:12





AntiVir findet diese Würmer nicht beim durchsuchen, sonder immer wenn ich den Pc anmache, dann kommt so ein Fenster von AntiVir und da steht dann das ich diese Wurm habe.
Egal was ich dann in dem Fenster anklicke, diese Meldung kommt immer wieder.
Seitenanfang Seitenende
05.02.2007, 16:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 PriceZz

der Wurm verbreitet sich ueber P2P-Software - bye bye P2P-Software ;) - denn du hast aufs Falsche geklickt.....

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Folders to delete:
C:\Dokumente und Einstellungen\hOnEy\Anwendungsdaten\limewire
C:\Programme\limewire
C:\Programme\emule.de 0.46c v17
C:\Programme\eMule
C:\Programme\pacificpoker
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

3.
wende die bfu an
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2007, 17:44
...neu hier

Themenstarter

Beiträge: 4
#5 Liebe Sabina,
erstmal möchte ich dir danken, dass du mir so hilfst ;).
Ich habe jeden dieser 3 Schritte genaustens befolgt, aber leider habe ich festgestellt, dass AntiVir mir immer noch diese Meldung mit dem Fund anzeigt.

Der Pfad dazu ist:
C:\WINDOWS\temp\tmp7.tmp

das ist nur eine der Meldungen. Bei den anderen Meldungen wird jedeglich nur die Zahl anders. Anstatt der 7 steht da zB. 28.

Im vorraus schon mal danke ;)

Mfg Kristina
Seitenanfang Seitenende
05.02.2007, 23:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.02.2007, 13:17
...neu hier

Themenstarter

Beiträge: 4
#7 Ok. Das kam, als ich das dann geöffnet habe:

Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: A443-AFD6

Verzeichnis von C:\Dokumente und Einstellungen\hOnEy\Lokale Einstellungen\Temporary Internet Files\Content.IE5

06.02.2007 13:13 114.688 index.dat
1 Datei(en) 114.688 Bytes
0 Verzeichnis(se), 142.798.598.144 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: A443-AFD6

Verzeichnis von C:\Dokumente und Einstellungen\hOnEy\Lokale Einstellungen\Temp

06.02.2007 13:14 <DIR> .
06.02.2007 13:14 <DIR> ..
05.02.2007 18:46 0 4g35A.tmp
05.02.2007 22:17 131.662 c197_appcompat.txt
05.02.2007 19:01 0 fla8F.tmp
05.02.2007 19:18 0 fla93.tmp
05.02.2007 19:19 0 fla97.tmp
05.02.2007 19:30 <DIR> hsperfdata_hOnEy
05.02.2007 21:18 5.744 ICQ87.tmp
05.02.2007 21:18 17.843 ICQ88.tmp
05.02.2007 21:23 3.399 ICQ89.tmp
05.02.2007 21:23 7.206 ICQ8A.tmp
05.02.2007 21:23 5.678 ICQ8B.tmp
05.02.2007 21:23 14.411 ICQ8C.tmp
05.02.2007 18:51 0 in768.tmp
05.02.2007 19:30 832 java_install_reg.log
06.02.2007 13:09 519 jusched.log
05.02.2007 21:18 <DIR> rb
05.02.2007 18:50 0 v2s66.tmp
05.02.2007 17:37 16.384 ~DF3AA9.tmp
05.02.2007 22:14 49.152 ~DF4EE5.tmp
06.02.2007 13:04 49.152 ~DF4FDB.tmp
05.02.2007 20:13 49.152 ~DF51CF.tmp
05.02.2007 17:36 49.152 ~DFADF8.tmp
05.02.2007 19:41 16.384 ~DFD872.tmp
05.02.2007 19:41 16.384 ~DFD89A.tmp
05.02.2007 19:41 16.384 ~DFD8C2.tmp
05.02.2007 19:41 16.384 ~DFD8EA.tmp
05.02.2007 17:37 16.384 ~DFF4D0.tmp
25 Datei(en) 482.206 Bytes
4 Verzeichnis(se), 142.798.594.048 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: A443-AFD6

Verzeichnis von C:\WINDOWS\Temp

06.02.2007 13:15 <DIR> .
06.02.2007 13:15 <DIR> ..
05.02.2007 17:36 0 T30DebugLogFile.txt
06.02.2007 13:05 210.432 tmp1.tmp
05.02.2007 22:15 210.432 tmp5.tmp
06.02.2007 13:04 255 WGAErrLog.txt
06.02.2007 13:06 409 WGANotify.settings
5 Datei(en) 421.528 Bytes
2 Verzeichnis(se), 142.798.594.048 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: A443-AFD6

Verzeichnis von C:\Temp

04.11.2006 23:23 <DIR> .
04.11.2006 23:23 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 142.798.594.048 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: A443-AFD6

Verzeichnis von C:\Dokumente und Einstellungen\hOnEy\Lokale Einstellungen\Temporary Internet Files\Content.IE5

06.02.2007 13:13 114.688 index.dat
1 Datei(en) 114.688 Bytes
0 Verzeichnis(se), 142.798.585.856 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: A443-AFD6

Verzeichnis von C:\Dokumente und Einstellungen\hOnEy\Lokale Einstellungen\Temp

06.02.2007 13:14 <DIR> .
06.02.2007 13:14 <DIR> ..
05.02.2007 18:46 0 4g35A.tmp
05.02.2007 22:17 131.662 c197_appcompat.txt
05.02.2007 19:01 0 fla8F.tmp
05.02.2007 19:18 0 fla93.tmp
05.02.2007 19:19 0 fla97.tmp
05.02.2007 19:30 <DIR> hsperfdata_hOnEy
05.02.2007 21:18 5.744 ICQ87.tmp
05.02.2007 21:18 17.843 ICQ88.tmp
05.02.2007 21:23 3.399 ICQ89.tmp
05.02.2007 21:23 7.206 ICQ8A.tmp
05.02.2007 21:23 5.678 ICQ8B.tmp
05.02.2007 21:23 14.411 ICQ8C.tmp
05.02.2007 18:51 0 in768.tmp
05.02.2007 19:30 832 java_install_reg.log
06.02.2007 13:09 519 jusched.log
05.02.2007 21:18 <DIR> rb
05.02.2007 18:50 0 v2s66.tmp
05.02.2007 17:37 16.384 ~DF3AA9.tmp
05.02.2007 22:14 49.152 ~DF4EE5.tmp
06.02.2007 13:04 49.152 ~DF4FDB.tmp
05.02.2007 20:13 49.152 ~DF51CF.tmp
05.02.2007 17:36 49.152 ~DFADF8.tmp
05.02.2007 19:41 16.384 ~DFD872.tmp
05.02.2007 19:41 16.384 ~DFD89A.tmp
05.02.2007 19:41 16.384 ~DFD8C2.tmp
05.02.2007 19:41 16.384 ~DFD8EA.tmp
05.02.2007 17:37 16.384 ~DFF4D0.tmp
25 Datei(en) 482.206 Bytes
4 Verzeichnis(se), 142.798.581.760 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: A443-AFD6

Verzeichnis von C:\WINDOWS\Temp

06.02.2007 13:15 <DIR> .
06.02.2007 13:15 <DIR> ..
05.02.2007 17:36 0 T30DebugLogFile.txt
06.02.2007 13:05 210.432 tmp1.tmp
05.02.2007 22:15 210.432 tmp5.tmp
06.02.2007 13:04 255 WGAErrLog.txt
06.02.2007 13:06 409 WGANotify.settings
5 Datei(en) 421.528 Bytes
2 Verzeichnis(se), 142.798.581.760 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: A443-AFD6

Verzeichnis von C:\Temp

04.11.2006 23:23 <DIR> .
04.11.2006 23:23 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 142.798.581.760 Bytes frei




Ich sollte das doch hier rein posten oder?

Mfg Kristina
Seitenanfang Seitenende
06.02.2007, 13:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Avenger anwenden ;)

Zitat

Files to delete:
C:\Dokumente und Einstellungen\hOnEy\Lokale Einstellungen\Temp\4g35A.tmp
C:\Dokumente und Einstellungen\hOnEy\Lokale Einstellungen\Temp\c197_appcompat.txt
C:\Dokumente und Einstellungen\hOnEy\Lokale Einstellungen\Temp\fla8F.tmp
C:\Dokumente und Einstellungen\hOnEy\Lokale Einstellungen\Temp\fla93.tmp
C:\Dokumente und Einstellungen\hOnEy\Lokale Einstellungen\Temp\fla97.tmp
C:\Dokumente und Einstellungen\hOnEy\Lokale Einstellungen\Temp\in768.tmp
C:\Dokumente und Einstellungen\hOnEy\Lokale Einstellungen\Temp\v2s66.tmp
C:\WINDOWS\Temp\tmp1.tmp
C:\WINDOWS\Temp\tmp5.tmp

Folders to delete:
C:\Dokumente und Einstellungen\hOnEy\Lokale Einstellungen\Temp\rb



__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.07.2007, 14:20
...neu hier

Beiträge: 1
#9 Hi ich habe genau dasselbe Problem, (w32.alcra.f) nur das bei mir Norton Antivirus eine Warnmeldung anzeigt!!
Norton kann den Wurm jedoch nicht köschen, sondern verweigert nur die Benutzung!
Da ich mich im Bezug mit den Computern nicht allzugut auskenne, bitte ich um leichte beschreibungen

Thx im vorraus!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: