Problem mit Virus Win32:Warezov-AAV

#16 Phanthomas

ueberpruefe, ob die windowsupdates funktionieren
__________
MfG Sabina

rund um die PC-Sicherheit

#17 die updates funktionieren

#18 Phanthomas

dann ist alles wieder i.o.
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Vielen Dank für deine Hilfe.

#20 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ywxcdowi

*******************

Script file located at: \??\C:\WINDOWS\bhtucwgp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:
File C:\WINDOWS\atmcfg.tmp not found!
Deletion of file C:\WINDOWS\atmcfg.tmp failed!

««

#21 Bastib

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

28.02.2007 19:14 21.782 fnbyluiw.txt
14.02.2007 21:32 1.158 wpa.dbl
18.01.2007 11:23 3.002 CONFIG.NT
15.01.2007 18:32 689.280 aswBoot.exe
15.01.2007 18:23 90.112 AVASTSS.scr
05.11.2006 14:16 363.008 Sierre-Anniviers.scr
05.11.2006 14:16 5.684.073 Sierre-Anniviers.edm
01.11.2006 19:56 98.304 CmdLineExt.dll



--------------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\Bastian\LOKALE~1\Temp

------------------------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

02.03.2007 16:16 0 0.log
02.03.2007 16:16 4.600 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
02.03.2007 16:16 2.048 bootstat.dat
02.03.2007 12:56 801.680 WindowsUpdate.log
02.03.2007 12:56 32.618 SchedLgU.Txt
28.02.2007 19:16 30.162 setupapi.log
28.02.2007 10:17 16.372 ntdtcsetup.log
28.02.2007 10:17 7.880 iis6.log
28.02.2007 10:17 29.650 tsoc.log
28.02.2007 10:17 74.252 FaxSetup.log
28.02.2007 10:17 10.381 KB893803v2.log
28.02.2007 10:17 1.374 imsins.log
28.02.2007 10:17 28.962 comsetup.log
28.02.2007 10:17 3.235 msgsocm.log
28.02.2007 10:17 40.620 ocgen.log
28.02.2007 10:17 3.318 ocmsn.log
28.02.2007 10:16 1.374 imsins.BAK
28.02.2007 10:16 7.007 KB898461.log
27.02.2007 19:22 507 win.ini
27.02.2007 19:22 227 system.ini
27.02.2007 13:12 528 wiadebug.log
27.02.2007 13:12 50 wiaservc.log
27.02.2007 10:07 43.036 wmsetup.log
27.02.2007 10:07 2.209 OEWABLog.txt
27.02.2007 10:06 1.819.342 setupapi.log.0.old
18.12.2006 17:22 0 Jcmkr32.INI
----------------------------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Temp

02.03.2007 16:16 16.384 Perflib_Perfdata_7c8.dat
02.03.2007 16:16 0 CLML_AGENT_LOG1.txt
02.03.2007 16:16 0 sqlite_JKh4HWSs25u8B93
28.02.2007 19:42 16.384 Perflib_Perfdata_5fc.dat
28.02.2007 19:19 0 T30DebugLogFile.txt
5 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 10.490.413.056 Bytes frei
-----------------------------------------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.08.2005 06:36 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 10.490.429.440 Bytes frei
-------------------------------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.08.2005 06:36 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 10.490.380.288 Bytes frei
---------------------------------------------------

#23 Bastib

http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste dens canreport
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Sophos Anti-Virus
Version 4.15.0 [Win32/Intel]
Virus data version 4.15, March 2007
Includes detection for 224155 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 17:25:29, System date 02 March 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Full Scanning

Could not open LOGICAL:0002:00000000
Could not open C:\WINDOWS\Temp\sqlite_JKh4HWSs25u8B93

~~~~~~~~~~~~
so, ich habe nochmal gescannt, weil ich den Report erst nicht gefunden hatte. Glaube der Scan ist jetzt vollständig:


Sophos Anti-Virus
Version 4.15.0 [Win32/Intel]
Virus data version 4.15, March 2007
Includes detection for 224155 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 17:25:29, System date 02 March 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Could not open LOGICAL:0002:00000000
Could not open C:\WINDOWS\Temp\sqlite_JKh4HWSs25u8B93
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf

1 boot sector swept.
16517 files swept in 42 minutes and 26 seconds.
6 errors were encountered.
No viruses were discovered.
4 encrypted files were not checked.
Ending Sophos Anti-Virus.

#25 Mein avast hat den Virus heute wiedergefunden!

Muss ich das ganze Programm jetzt wieder von vorne durchgehen?

#26 sry wenn ich mich hier einfach so dazuklinke, bin aber schon recht verzagt mit meinem wurm

hab diverse schritte schon ausgeführt, hier meine logs:


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

11.03.2007 11:00 451 eRLog.ini
11.03.2007 10:59 1.158 wpa.dbl
04.03.2007 14:27 4 sccsumdm.dat
01.03.2007 08:55 49.152 diagisr.dll
23.02.2007 11:18 3.002 CONFIG.NT
18.02.2007 14:28 122.142 TZLog.log
07.02.2007 23:01 12.293.536 MRT.exe
01.02.2007 07:57 388.000 FNTCACHE.DAT
29.01.2007 09:58 60.416 tzchange.exe

Verzeichnis von C:\DOKUME~1\Arnold\LOKALE~1\Temp

11.03.2007 11:00 16.384 Perflib_Perfdata_cb0.dat
11.03.2007 11:00 16.384 Perflib_Perfdata_7c0.dat
11.03.2007 11:00 16.384 Perflib_Perfdata_d20.dat
11.03.2007 09:02 49.152 ~DFFDFC.tmp
04.03.2007 15:10 16.384 ~DFFAA6.tmp
04.03.2007 15:10 16.384 ~DFADE5.tmp
04.03.2007 15:10 49.152 ~DF4861.tmp
04.03.2007 14:18 74.558 wlg92.tmp
04.03.2007 09:15 49.152 ~DFF9D4.tmp
04.03.2007 08:44 74.558 wlg91.tmp
02.03.2007 11:45 16.384 ~DFBB64.tmp
02.03.2007 11:45 16.384 ~DFB9F5.tmp
02.03.2007 11:45 16.384 ~DF98C1.tmp
02.03.2007 11:45 16.384 ~DF7B12.tmp
02.03.2007 11:45 16.384 ~DFBBB9.tmp
02.03.2007 11:45 16.384 ~DFBAAF.tmp
02.03.2007 11:27 24.743 logfile.txt
02.03.2007 11:16 2.729 CdMkr70.ini
02.03.2007 07:01 74.558 wlg90.tmp
01.03.2007 17:31 16.384 ~DF6442.tmp
01.03.2007 17:31 16.384 ~DF6459.tmp
01.03.2007 17:31 16.384 ~DF642B.tmp
01.03.2007 17:31 16.384 ~DF646E.tmp
01.03.2007 17:31 16.384 ~DFF0DC.tmp
01.03.2007 17:31 16.384 ~DFA25.tmp
01.03.2007 17:30 49.152 ~DF128E.tmp
01.03.2007 14:35 2.729 Skin.ini
01.03.2007 09:00 16.384 ~DF56E3.tmp


Verzeichnis von C:\WINDOWS

11.03.2007 10:59 5.566 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
11.03.2007 10:57 0 0.log
11.03.2007 10:57 2.048 bootstat.dat
11.03.2007 09:02 1.281.558 WindowsUpdate.log
11.03.2007 09:02 32.586 SchedLgU.Txt
11.03.2007 08:59 16.854 ModemLog_GlobeTrotter 3G+ Modem Interface.txt
02.03.2007 11:45 213 wiadebug.log
02.03.2007 11:45 50 wiaservc.log
02.03.2007 09:25 0 tj7jec.tmp
01.03.2007 09:00 3.144.800 hnwjp41c.reg
01.03.2007 08:55 172.544 update86.exe
01.03.2007 07:53 54.156 QTFont.qfn
01.03.2007 07:53 1.409 QTFont.for
19.02.2007 20:45 783 NTIWVEDT.INI
19.02.2007 19:42 658.244 setupapi.log
18.02.2007 14:28 19.779 KB927779.log


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Temp

11.03.2007 11:17 66 WGAErrLog.txt
11.03.2007 10:59 409 WGANotify.settings
11.03.2007 10:57 16.384 Perflib_Perfdata_618.dat
11.03.2007 07:40 16.384 Perflib_Perfdata_7c.dat
06.03.2007 13:48 16.384 Perflib_Perfdata_600.dat
05.03.2007 12:52 16.384 Perflib_Perfdata_604.dat
02.03.2007 07:00 16.384 Perflib_Perfdata_98.dat
01.03.2007 06:44 16.384 Perflib_Perfdata_404.dat
28.02.2007 08:09 16.384 Perflib_Perfdata_5e8.dat
27.02.2007 15:14 16.384 Perflib_Perfdata_5b4.dat
27.02.2007 08:08 16.384 Perflib_Perfdata_1c8.dat
26.02.2007 07:35 16.384 Perflib_Perfdata_608.dat
03.12.2006 16:54 165.832 coredmp

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.03.2006 14:54 114.256 IDropDEU.dll
05.03.2006 13:19 114.280 IDropENU.dll
05.03.2006 12:58 346.216 IDrop.ocx
02.08.2005 11:05 65 desktop.ini
26.05.2005 04:19 291 wuweb.inf

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

11.03.2007 11:18 0 sys.txt
11.03.2007 11:18 481 down.txt
11.03.2007 11:18 6.362 tmp.txt
11.03.2007 11:18 11.204 system.txt
11.03.2007 11:18 43.027 systemtemp.txt
11.03.2007 11:17 106.284 system32.txt
11.03.2007 10:57 805.306.368 pagefile.sys
11.03.2007 10:30 534.892.544 hiberfil.sys
01.11.2006 15:46 211 boot.ini

#27 Kläuschen

««
Cleanup anwenden
http://virus-protect.org/cleanup.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sccsumdm

Files to delete:
C:\WINDOWS\system32\sccsumdm.dat
C:\WINDOWS\system32\diagisr.dll
C:\WINDOWS\tj7jec.tmp
C:\WINDOWS\hnwjp41c.reg
C:\WINDOWS\update86.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
poste das log vom HijackThis
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit