worm allaple: wie entfernen?

#1 hallo,

bin komplett am verzweifeln: habe mir vorgestern nacht den wurm/trojaner 'allaple' eingefangen (knapp 2000 infizierte .exe-dateien auf dem rechner) und durchwühle seitdem das netz auf der suche nach hilfe, ohne an den entscheidenden punkten wirklich weiterzukommen:
weder ist mir trotz intensiver recherche richtig klargeworden,

A) was das ding genau macht (ausser sich wurmmässig über html-dateien zu vermehren und ausserdem 'irgendwie trojanermässig' zu agieren) - wo liegt die hauptgefahr? zerstört es wichtige dateien/einstellungen? sind andere betroffen, indem es sich über mails versendet o.ä.?

B) ob es trotz spybot-scan (s.u.) immernoch aktiv ist, oder es sich bei all diesen exe-dateien nur noch um eine art 'überbleibsel' handelt, nach deren beseitigung (wie??) alles wieder ok ist

C) ob es eine möglichkeit gibt, das problem mit hilfe entsprechender software (falls ja: welche? avast & kaspersky war nix, s.u.) zu lösen, OHNE das system neuzuinstallieren (habe keine install-cd)

history:
vorgestern nacht download zweier fotobearbeitungsprogs von 'foto-freeware.de', danach plötzl. ständige popups mit der aufforderung, wg. win32-problemen die seite registrycleanerxp.com aufzusuchen (adr. eingetragen in div. 'malware'-sammlungen). rechner wurde immer langsamer, dann wurde die internetverbindung unterbrochen. bei erneutem einwahlversuch fehlermeldung 623; daraufhin festgestellt, dass username & kennwort der vordefinierten verbindung gelöscht waren; nach neueingabe funktionierte es wieder. lud spybot runter & liess es drüberlaufen > entdeckte & behandelte 7 'probleme'; seitdem keine fehlermeldungen/popups mehr.
anschliessend zufällige entdeckung der knapp 2000 .exe-dateien (alle 56,5kb), jedoch: weder spybot noch avast registrierten diese als 'problematisch', erst Jotti-check ergab dann 'allaple'.
daraufhin kaspersky-tool speziell zur entfernung von allaple runtergeladen, das allerdings immer nur einen kurzen 'memory-scan' macht & dabei nix findet (viell. müsste ich das anders anwenden, als es einfach nur im normalen modus doppelanzuklicken - ist näml. irgendsoein ms-dos-ding, aber damit kenne ich mich nicht aus).

sysinfo:
xp professional, sp1 (weiss nicht, ob ich mir sp2 runterladen 'darf'), kein lan, kein dsl, einwahl per 56kmodem (nur über firefox & thunderbird)

ich wäre unglaublich dankbar für euren support, da ich weder jmd. kenne, der von solchen sachen eine ahnung hat, noch genug geld habe, um vor ort jmd. professionelles dafür zu bezahlen, und selber rechnermässig nur auf plattestem anwenderniveau unterwegs bin. soll heissen, ich bin nicht doof, nur meine kompetenzen liegen in anderen bereichen.. ich brauche wirklich schritt-für-schritt-anleitungen, und dann klappts normalerweise auch. es wäre supernett, wenn jemand von euch mir trotzdem helfen würde; anschliessende spende halte ich für selbstverständl.

desperate grüsse & onemillionthanx!!*

el al

#2 el al

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

««
im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 3

3 : wird Sophos geladen - waehle 6 - scanne und poste den report

--------------------

scanne mit kaspersky und poste den report
http://virus-protect.org/onlinescan.html

»»
poste das log vom Hijackthis
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hi sabina & MERCI für die rasche antwort!

report sophos:

-------------
(3 kilometer lange 'successful-removal'-liste, poste darum jetzt nur die letzten 3 einträge)
...
>>> Virus 'Mal/Allaple-A' found in file I:\WINDOWS\system32\oobe\sjshkwbk.exe
Removal successful
>>> Virus 'Mal/Allaple-A' found in file I:\WINDOWS\system32\urdvxc.exe
Removal failed
>>> Virus 'Mal/Allaple-A' found in file I:\WINDOWS\Web\wnrvesvv.exe
Removal successful

1 boot sector swept.
34899 files swept in 36 minutes and 3 seconds.
1734 viruses were discovered.
1734 files out of 34899 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
Ending Sophos Anti-Virus.
-----------

weiter mit den beiden kaspersky-scans:

erster kaspersky-report/scanauswahl:'kritische objekte':
-----------
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 20. März 2007 17:52:51
Betriebssystem: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 20/03/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 267504
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
I:\WINDOWS
I:\DOKUME~1\Naiad\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 10245
Viren gefunden: 2
Infizierte Objekte gefunden: 71 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:29:08

Name des infizierten Objekts / Virusname / Letzte Aktion
I:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
I:\WINDOWS\Help\ciadmin.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\snd.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\contents.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\Help\wmerr.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\ModemLog_Acer Modem 56 Surf USB.txt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\CompatCtr\AboutCompat.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\CompatCtr\CompatOffline.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\CompatCtr\LearnCompat.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\DFS\privacy.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\DFS\uplddrvinfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\DFS\xmldialog.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\DVDUpgrd\dvdupgrd.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\ErrMsg\ErrorMessagesOffline.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\NetDiag\dglogshelp.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\rc\rcRequest.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Common\ConnIssue.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Common\LearnInternet.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Common\RCMoreInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\helpeeaccept.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Client\DividerBar.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Client\RAChatClient.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Client\RAClient.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Client\RAStatusBar.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Client\rcscreen6_head.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Client\setting.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Common\ErrorMsgs.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Common\RCFileXfer.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Common\VOIPMsgs.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Server\DividerBar1.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Server\DividerBar2.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Server\RAChatServer.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Server\SettingServer.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Server\TakeControlMsgs.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\RAStartPage.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\rcBuddy.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\msinfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysComponentInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysEvtLogInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysHealthInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysinfosum.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysRemoteInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysServicesInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysSoftwareInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\UpdateCtr\AboutWU.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\UpdateCtr\Learn.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\UpdateCtr\LearnInternet.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\UpdateCtr\learnWU.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\System\UpdateCtr\updatecenter.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Connection.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\OfflineDC.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\OfflineOptions.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\ConnIssue.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\LearnInternet.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\RCMoreInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\confirm.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\rcConnection.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\rcscreen1.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\rcscreen2.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\rcscreen3.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcDetails.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcInviteStatus.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen4.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen5.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen6.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen6_head.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen7.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen8.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen9.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\rcstatus.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\DEFAULT.LOG Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SOFTWARE.LOG Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SYSTEM.LOG Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\spool\PRINTERS\FP00002.SHD Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\spool\PRINTERS\FP00002.SPL Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\urdvxc.exe Infizierte Objekte: Net-Worm.Win32.Allaple.b übersprungen
I:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
I:\WINDOWS\Temp\Perflib_Perfdata_678.dat Das Objekt ist gesperrt übersprungen
I:\WINDOWS\Temp\Perflib_Perfdata_714.dat Das Objekt ist gesperrt übersprungen
I:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\Web\tip.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
I:\DOKUME~1\Naiad\LOKALE~1\Temp\~DFDCE5.tmp Das Objekt ist gesperrt übersprungen
I:\DOKUME~1\Naiad\LOKALE~1\Temp\~DFDCFE.tmp Das Objekt ist gesperrt übersprungen
I:\DOKUME~1\Naiad\LOKALE~1\Temp\~DFF3DD.tmp Das Objekt ist gesperrt übersprungen
I:\DOKUME~1\Naiad\LOKALE~1\Temp\~DFF823.tmp Das Objekt ist gesperrt übersprungen
I:\DOKUME~1\Naiad\LOKALE~1\Temp\~DFFB03.tmp Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
-----------------

beim zweiten gefundenen virus handelt es sich übrigens um allaple.b (s.o. - fett), und zwar geht es genau um die datei, die vorher als einzige beim sophos-scan NICHT 'successful removed' werden konnte.

warum sind lt. report eigentlich so viele objekte gesperrt?

ok, weiter mit dem
zweiten kaspersky-scan - auswahl: 'arbeitsplatz'

dieser war wieder so endlos lang, dass ich hier nur die letzten zeilen poste..

---------------
Dienstag, 20. März 2007 20:04:00
Betriebssystem: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 20/03/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 267504
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Arbeitsplatz
C:\
D:\
E:\
F:\
G:\
I:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 60856
Viren gefunden 2
Infizierte Objekte gefunden 1527 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 02:04:16

(...)
I:\WINDOWS\system32\spool\PRINTERS\FP00002.SHD Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\spool\PRINTERS\FP00002.SPL Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\urdvxc.exe Infizierte Objekte: Net-Worm.Win32.Allaple.b übersprungen
I:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
I:\WINDOWS\Temp\Perflib_Perfdata_678.dat Das Objekt ist gesperrt übersprungen
I:\WINDOWS\Temp\Perflib_Perfdata_714.dat Das Objekt ist gesperrt übersprungen
I:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\Web\tip.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen
Die Untersuchung wurde abgeschlossen.
--------------------

und zum schluss

hijackthis-log:

--------------
Logfile of HijackThis v1.99.1
Scan saved at 20:21:00, on 20.03.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\Programme\Ahead\InCD\InCDsrv.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Alwil Software\Avast4\aswUpdSv.exe
I:\WINDOWS\System32\hkcmd.exe
I:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
I:\WINDOWS\tppaldr.exe
I:\Programme\Ahead\InCD\InCD.exe
I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
I:\Programme\iTunes\iTunesHelper.exe
I:\Programme\Classic PhoneTools\CapFax.EXE
I:\WINDOWS\SOUNDMAN.EXE
I:\WINDOWS\System32\ctfmon.exe
I:\Programme\ScanSoft\OmniPage15.0\OpAgent.exe
I:\Programme\Portrait Displays\MagicTune\DTHtml.exe
I:\Programme\PGP Corporation\PGP Desktop\PGPtray.exe
I:\Programme\Alwil Software\Avast4\ashServ.exe
I:\Programme\Portrait Displays\MagicTune\dtsrvc.exe
I:\WINDOWS\System32\urdvxc.exe
I:\WINDOWS\System32\PGPserv.exe
I:\Programme\iPod\bin\iPodService.exe
I:\Programme\Alwil Software\Avast4\ashMaiSv.exe
I:\Programme\Alwil Software\Avast4\ashWebSv.exe
I:\Programme\Mozilla Thunderbird\thunderbird.exe
I:\PROGRA~1\MOZILL~1\FIREFOX.EXE
I:\Programme\Internet Explorer\IEXPLORE.EXE
I:\Dokumente und Einstellungen\Naiad\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] I:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] I:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Home Theater SchSvr] "I:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] I:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] I:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "I:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CapFax] I:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WINCINEMAMGR] I:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "I:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware15] "I:\Programme\ScanSoft\OmniPage15.0\Opware15.exe"
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OpScheduler] "I:\Programme\ScanSoft\OmniPage15.0\OpScheduler.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [OpAgent] "I:\Programme\ScanSoft\OmniPage15.0\OpAgent.exe" /agent
O4 - HKCU\..\Run: [MSMSGS] "I:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = I:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: MagicTune.lnk = I:\Programme\Portrait Displays\MagicTune\DTHtml.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Programme\word\Office\OSA9.EXE
O4 - Global Startup: PGPtray.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - I:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - I:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: i:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\pgplsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3C707B7-82D7-4E5D-A693-C9DC632F09BF}: NameServer = 154.15.251.138 154.15.251.130
O20 - AppInit_DLLs: OCMAPIHK.DLL
O20 - Winlogon Notify: igfxcui - I:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - I:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - I:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - I:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - I:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - I:\Programme\Portrait Displays\MagicTune\dtsrvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - I:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - I:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - I:\Programme\iPod\bin\iPodService.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - I:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: PGPserv - PGP Corporation - I:\WINDOWS\System32\PGPserv.exe

--------------

ok - und jetzt?

sollte es doch wichtig sein, die reports jeweils KOMPLETT zu posten, sagt bescheid - ich habe wiegesagt keine ahnung von sowas. mir kam es halt einfach komisch vor, diese endlos-logs hier reinzupacken und ausserdem tauchen da einige schützenswerte daten auf wie z.b. komplette namen verschiedener leute.

gruss!

el al

#4 ««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

ººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººº
««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSWINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSWindows
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSWINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSWindows
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows

drivers to unload:
Network Windows Service
MSWindows

Files to delete:
I:\WINDOWS\system32\urdvxc.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
sophos hat nicht alles geloescht, also:

deaktiviere deine bisherigen virenscanner (Avast4) - oder besser noch voellig deinstallieren (kannst du nach erledigter Reinigung wieder laden)
lade Kaspersky Anti-Virus 6.0 - der scanner wird alles deinfizieren
http://virus-protect.org/antivirenfree.html
+
berichte

---------------

Beispiel:
http://virus-protect.org/artikel/dienste/microsoftagent.html

«
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hi,

danke für die rückmeldung..

habe alles wie beschrieben durchgeführt, und nach neustart kam folgender avenger-report:

---------
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\subtpikh

*******************

Script file located at: \??\I:\WINDOWS\System32\khlwfaha.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at I:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSWINDOWS deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSWindows deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSWINDOWS deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSWindows deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWINDOWS not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWINDOWS failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWINDOWS
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows
Status: 0xc0000034



Registry key \Registry\Machine\System\CurrentControlSet\Services\Network Windows Service not found!
Unload of driver Network Windows Service failed!

Could not process line:
Network Windows Service
Status: 0xc0000034



Registry key \Registry\Machine\System\CurrentControlSet\Services\MSWindows not found!
Unload of driver MSWindows failed!

Could not process line:
MSWindows
Status: 0xc0000034

File I:\WINDOWS\system32\urdvxc.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
----------------

was ist davon zu halten?

und:

soll ich hier eigentl. noch die 6 gespeicherten datfindbat-txt's posten oder so? es gab da näml. ein kleines problem, die letzte datei sollte ja als 'c.txt' gespeichert werden, meine festplatte heisst aber 'i', und darum hab ich die datei zusätzl. ein zweites mal unter 'i.txt' gespeichert.. war das blöd?

hatte übrigens lt. deiner anleitung avast deinstalliert, spybot jedoch vergessen - der war jetzt die ganze zeit an.. ist das problematisch?

ok, erwarte mit bangen deine antwort v.wg. ob's bis hierher geklappt hat.. werde jetzt erstmal anfangen, kaspersky mit 56kbit runterzuladen..

bis später!

el al

------------
------------

guten morgen - habe jetzt kaspersky drüberlaufen lassen:
1525 dateien gefunden & 'desinfiziert' - was heisst das? war alles vorher umsonst? und ist der virus jetzt weg, oder muss ich weitere schritte unternehmen?

gruss!

#6 jetzt ist alles wieder i.o.
sophos hat einen teil geloescht/desinfiziert, mein avengerscript hat dem erstellten Dienst + der urdvxc.exe den Garaus gemacht und kaspersky den rest erledigt.

scanne also noch mal mit kaspersky im abgesicherten Modus, dann buegel noch mal mit sophos drueber und berichte
+
poste das neue Log vom HijacktHis + die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hi,

klingt ja eigentl. erstmal alles sehr schön - kaspersky-scan im abgesicherten modus ergab ebenfalls 'alles ok'.

irritierend ist jedoch folgendes:
beim sophosscan (im normalen modus - war hoffentl. richtig?) wurde in einer datei ein neuer virus entdeckt:
'Mal/Iframe-A'; der scan brach dann etwas später ab, und es wurde auch kein report im sdfix-ordner abgelegt; bei einem zweiten versuch wiederholte sich das ganze.

habe anschl. nochmal kaspersky drüberlaufenlassen, der die infizierte datei als 'ok' eingestuft hat:

>> 21.03.2007 23:16:59 Datei: I:\Dokumente und Einstellungen\...\Eigene Dateien\dateien\a - job...\pragmatix-recherchen\drucker2a_Dateien\d.html ok untersucht <<

bei jotti hat nur panda beanstandet:

>> Panda Antivirus
Found HTML/Instancob.A <<

hab das ding erstmal in die kaspersky-quarantäne gepackt.

und nu? : / einfach von kaspersky löschen lassen und gut?

und ansonsten: trotzdem jetzt 'hijacken' und posten? und - meintest du, dass ich die alten 6 datfindbat-logs posten soll, oder neue?

gruss vom schon-fast-glücklichen-aber-noch-abwartenden

el al

#8 1.
scanne mit panda und poste den report
http://virus-protect.org/panda_online.html

2.
poste die 6 logs von datfindbat (so wie auf der seite erklaert)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 lade gerade panda runter - und was die 6 datfindbat-logs angeht, gabs ein missverständnis:
ich wollte nicht wissen, wie man das macht, sondern ob ich die 6 ALTEN logs, die ich ja laut deiner anweisung von weiter oben im thread bereits erstellt aber noch nicht gepostet hatte, hier reinstellen soll - oder NEUE machen. (denn da ich nicht weiss, wozu die dinger gut sind, erschliesst sich mir die entsprechende antworts-logik nicht automatisch..

und: wann soll ich eigentl. die systemwiederherstellung wieder aktivieren?

gruss!

#10 ich sehe keine 6 logs von datfindbat und selbst wenn du sie schon mal gepostet haben solltest,- will ich, dass du die datfindbat neu anwendest. - und die neuen logs hier postest.
__________
MfG Sabina

rund um die PC-Sicherheit

#11

Zitat

Sabina postete
ich sehe keine 6 logs von datfindbat und selbst wenn du sie schon mal gepostet haben solltest,..

ich schrieb ja auch:

Zitat

..ob ich die 6 ALTEN logs, die ich ja laut deiner anweisung von weiter oben im thread bereits erstellt aber noch nicht gepostet hatte,..

jedenfalls: ok - mach' ich.

#12 na dann los klicke einfach die datfindbat neu an
__________
MfG Sabina

rund um die PC-Sicherheit

#13 so, geht endl. weiter - wurde vorhin unterbrochen.
musste übrigens kaspersky deinstallieren, da panda nach über 3 std. immernoch nicht aufhörte, die ganzen kaspersky-lab-dateien zu scannen; hoffe, die deinstall-entscheidung war ok.

hier der auszug v. panda-report:

Incident Status Location

Adware:adware/superspider Not disinfected i:\windows\system32\a.exe

Dialer:dialer.su Not disinfected hkey_local_machine\software\microsoft\windows\currentversion\uninstall\Switch

Potentially unwanted tool:Application/Processor Not disinfected I:\Dokumente und Einstellungen\Naiad\Desktop\allaple-removaltools\SDFix.zip[SDFix.exe][SDFix\apps\Process.exe]

Potentially unwanted tool:Application/Processor Not disinfected I:\SDFix\apps\Process.exe

Virus:HTML/Instancob.A Disinfected I:\WINDOWS\Help\ciquery.htm
Virus:HTML/Instancob.A Disinfected I:\WINDOWS\Help\ixqlang.htm
Virus:HTML/Instancob.A Disinfected I:\WINDOWS\Help\migwiz.htm
Virus:HTML/Instancob.A Disinfected I:\WINDOWS\Help\migwiz2.htm
Virus:HTML/Instancob.A Disinfected I:\WINDOWS\system32\oobe\setup\timezone.htm
Virus:HTML/Instancob.A Disinfected I:\WINDOWS\system32\oobe\setup\username.htm
Virus:HTML/Instancob.A Disinfected I:\WINDOWS\system32\oobe\setup\welcome.htm

... (wieder nur ein auszug der liste, da 870 solcher vireneinträge..)


datfindbat-logs:

1. system32.txt

Volume in Laufwerk I: hat keine Bezeichnung.
Volumeseriennummer: 8015-7042

Verzeichnis von I:\WINDOWS\system32

22.03.2007 20:29 2.550 Uninstall.ico
22.03.2007 20:29 1.406 Help.ico
22.03.2007 20:29 30.590 pavas.ico
22.03.2007 13:32 0 asfiles.txt
20.03.2007 23:06 2.953 CONFIG.NT
20.03.2007 22:36 9.728 Thumbs.db
19.03.2007 02:50 305.318 perfh009.dat
19.03.2007 02:50 37.760 perfc009.dat
19.03.2007 02:50 309.810 perfh007.dat
19.03.2007 02:50 45.672 perfc007.dat
19.03.2007 02:50 705.468 PerfStringBackup.INI
19.03.2007 02:13 115.712 a.exe
18.03.2007 12:39 2.206 wpa.dbl
14.03.2007 22:30 9.132 jupdate-1.5.0_10-b03.log
09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
09.11.2006 11:15 176.264 FNTCACHE.DAT
25.10.2006 19:15 65.536 QuickTimeVR.qtx
25.10.2006 19:15 49.152 QuickTime.qts

2. systemtemp.txt

Volume in Laufwerk I: hat keine Bezeichnung.
Volumeseriennummer: 8015-7042

Verzeichnis von I:\DOKUME~1\Naiad\LOKALE~1\Temp

22.03.2007 21:26 512 ~DF29BA.tmp
22.03.2007 21:25 512 ~DFA826.tmp
22.03.2007 21:25 512 ~DFA60E.tmp
22.03.2007 21:25 512 ~DFA2FC.tmp
22.03.2007 20:43 18.024 GlaukaCommDll.log
22.03.2007 20:20 56.468 caevents.log
21.03.2007 20:01 835.160 IMT2B.xml
21.03.2007 20:01 426 IMT2A.xml
21.03.2007 20:01 2.036 IMT29.xml
21.03.2007 20:01 835.160 IMT28.xml
21.03.2007 20:01 426 IMT27.xml
21.03.2007 20:01 2.036 IMT26.xml
21.03.2007 20:00 835.160 IMT25.xml
21.03.2007 20:00 426 IMT24.xml
21.03.2007 20:00 2.036 IMT23.xml
21.03.2007 19:59 835.160 IMT20.xml
21.03.2007 19:59 426 IMT1F.xml
21.03.2007 19:59 2.036 IMT1E.xml
21.03.2007 10:13 0 WER6.tmp
21.03.2007 01:55 2.476.706 kl-install-2007-03-21-01-53-35.log
21.03.2007 01:54 0 kleaner.log
21 Datei(en) 5.903.734 Bytes
0 Verzeichnis(se), 4.735.234.048 Bytes frei

3. windows.txt

Volume in Laufwerk I: hat keine Bezeichnung.
Volumeseriennummer: 8015-7042

Verzeichnis von I:\WINDOWS

22.03.2007 21:25 13.746 ModemLog_Acer Modem 56 Surf USB.txt
22.03.2007 20:29 32 pavsig.txt
22.03.2007 20:23 0 0.log
22.03.2007 20:23 2.048 bootstat.dat
22.03.2007 20:22 32.622 SchedLgU.Txt
22.03.2007 17:31 33.526 setupapi.log
22.03.2007 13:31 561 win.ini
21.03.2007 21:24 216 wiadebug.log
21.03.2007 20:46 50 wiaservc.log
21.03.2007 20:45 0 Sti_Trace.log
19.03.2007 12:12 202 NeroDigital.ini
19.03.2007 00:03 4.161 ODBCINST.INI
19.03.2007 00:01 480 ODBC.INI
28.02.2007 02:29 20 crackpdf.INI
16.01.2007 01:02 167 wininit.ini
29.12.2006 14:05 13.510 mozver.dat
01.12.2006 00:18 1.937 CDPlayer.INI
12.08.2006 01:04 335 nsreg.dat
12.08.2006 01:04 87.184 NSUninst.exe
12.08.2006 01:04

4. temp.txt

Volume in Laufwerk I: hat keine Bezeichnung.
Volumeseriennummer: 8015-7042

Verzeichnis von I:\WINDOWS\Temp

22.03.2007 20:23 16.384 Perflib_Perfdata_4fc.dat
22.03.2007 17:20 16.384 Perflib_Perfdata_594.dat
22.03.2007 11:51 16.384 Perflib_Perfdata_590.dat
21.03.2007 19:09 16.384 Perflib_Perfdata_58c.dat
21.03.2007 13:17 16.384 Perflib_Perfdata_584.dat
21.03.2007 10:20 16.384 Perflib_Perfdata_588.dat
21.03.2007 02:00 16.384 Perflib_Perfdata_704.dat
21.03.2007 01:56 0 43.tmp
21.03.2007 01:56 0 44.tmp
21.03.2007 01:56 0 45.tmp
21.03.2007 01:56 0 46.tmp
21.03.2007 01:56 0 47.tmp
21.03.2007 01:56 0 42.tmp
21.03.2007 01:56 0 41.tmp
21.03.2007 01:56 0 40.tmp
21.03.2007 01:56 0 3F.tmp
21.03.2007 01:56 0 3E.tmp
21.03.2007 01:56 0 3D.tmp
21.03.2007 01:56 0 3C.tmp
20.03.2007 23:11 16.384 Perflib_Perfdata_508.dat
20 Datei(en) 131.072 Bytes
0 Verzeichnis(se), 4.735.225.856 Bytes frei

5. down.txt

Volume in Laufwerk I: hat keine Bezeichnung.
Volumeseriennummer: 8015-7042

Verzeichnis von I:\WINDOWS\Downloaded Program Files

24.08.2006 08:28 141.424 asinst.dll
22.08.2006 09:06 537 asinst.inf
08.08.2006 11:45 576 kavwebscan.inf
23.03.2005 17:37 65 desktop.ini
16.02.2005 15:15 401.408 isusweb.dll
08.12.2003 13:58 3.759 swflash.inf
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
10 Datei(en) 770.812 Bytes
0 Verzeichnis(se), 4.735.217.664 Bytes frei

6. i.txt

Volume in Laufwerk I: hat keine Bezeichnung.
Volumeseriennummer: 8015-7042

Verzeichnis von I:\

22.03.2007 21:29 0 sys.txt
22.03.2007 21:28 783 down.txt
22.03.2007 21:27 1.251 tmp.txt
22.03.2007 21:26 4.187 system.txt
22.03.2007 21:26 1.275 systemtemp.txt
22.03.2007 21:24 98.184 system32.txt
22.03.2007 20:23 792.723.456 pagefile.sys
21.03.2007 22:14 193 boot.ini
20.03.2007 23:10 3.972 avenger.txt
20.03.2007 22:54 836 i.txt
20.03.2007 22:51 836 c.txt
20.03.2007 22:47 3.988 windows.txt
19.03.2007 00:35 4.002 debug.log
29.08.2002 00:05 235.296 ntldr
28.08.2002 20:08 47.580 NTDETECT.COM
18.08.2001 20:00 4.952 bootfont.bin
16 Datei(en) 793.130.791 Bytes
0 Verzeichnis(se), 4.735.197.184 Bytes frei


wieso waren da schon wieder 870 infizierte dateien? wo kam dieses Schei... plötzl. her?! beim ersten sophos-scan war es noch nicht da..

#14 Avenger

Zitat

Files to delete:
I:\WINDOWS\system32\a.exe
I:\WINDOWS\Temp\43.tmp
I:\WINDOWS\Temp\44.tmp
I:\WINDOWS\Temp\45.tmp
I:\WINDOWS\Temp\46.tmp
I:\WINDOWS\Temp\47.tmp
I:\WINDOWS\Temp\42.tmp
I:\WINDOWS\Temp\41.tmp
I:\WINDOWS\Temp\40.tmp
I:\WINDOWS\Temp\3F.tmp
I:\WINDOWS\Temp\3E.tmp
I:\WINDOWS\Temp\3D.tmp
I:\WINDOWS\Temp\3C.tmp

»»
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

-----------------------------------------------------------------

scanne noch mal mit panda « berichte
http://virus-protect.org/panda_online.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 avanger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cxnewnec

*******************

Script file located at: \??\I:\WINDOWS\yrwbbhxm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at I:\Avenger

*******************

Beginning to process script file:

File I:\WINDOWS\system32\a.exe deleted successfully.
File I:\WINDOWS\Temp\43.tmp deleted successfully.
File I:\WINDOWS\Temp\44.tmp deleted successfully.
File I:\WINDOWS\Temp\45.tmp deleted successfully.
File I:\WINDOWS\Temp\46.tmp deleted successfully.
File I:\WINDOWS\Temp\47.tmp deleted successfully.
File I:\WINDOWS\Temp\42.tmp deleted successfully.
File I:\WINDOWS\Temp\41.tmp deleted successfully.
File I:\WINDOWS\Temp\40.tmp deleted successfully.
File I:\WINDOWS\Temp\3F.tmp deleted successfully.
File I:\WINDOWS\Temp\3E.tmp deleted successfully.
File I:\WINDOWS\Temp\3D.tmp deleted successfully.
File I:\WINDOWS\Temp\3C.tmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
------------------


report runthisbat:

------------------
SDFix: Version 1.73

Run by Administrator - 23.03.2007 - 11:59:08,39

Microsoft Windows XP [Version 5.1.2600]

Running From: I:\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found...




ADS Check:

I:\WINDOWS\system32
No streams found.


Final Check:

Remaining Services:
------------------




Remaining Files:
---------------


Checking For Files with Hidden Attributes :

I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\arts&music\foto info\b p c - berlin-photo.com - berliner fotografen portal_dateien\Thumbs.db
I:\Programme\Corel\Graphics10\Draw\Skripts\Sonstige\scpext.dll
I:\Programme\Picasa2\setup.exe
I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL0005.tmp
I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL0690.tmp
I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL1412.tmp
I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL2004.tmp
I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL2530.tmp
I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL2600.tmp
I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL3041.tmp
I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL3146.tmp
I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL3408.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0003.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0115.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0242.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0279.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0307.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0377.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0386.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0483.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0751.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0880.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL1050.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL1216.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL1372.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL1763.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL2020.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL2154.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL2223.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL2599.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL2819.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3046.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3139.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3279.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3337.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3398.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3430.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3517.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3653.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3891.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL4096.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL0039.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL0060.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL0259.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL0471.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL0639.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL0995.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL1232.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL1450.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL1541.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL1593.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL1907.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL2062.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL2105.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL3038.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL3151.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL3803.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL4062.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2C\~WRL0001.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2C\~WRL0004.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\alter rechner\a - job coaching\joachim\skript kopie 3.3.05\~WRL0497.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\alter rechner\a - job coaching\joachim\skript kopie 3.3.05\~WRL0688.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\alter rechner\a - job coaching\joachim\skript kopie 3.3.05\~WRL1414.tmp
I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\alter rechner\a - job coaching\joachim\skript kopie 3.3.05\~WRL3757.tmp
I:\RECYCLER\S-1-5-21-776561741-1482476501-725345543-1003\Di9.tmp
I:\WINDOWS\LastGood.Tmp\INF\oem25.inf
I:\WINDOWS\LastGood.Tmp\INF\oem25.PNF
I:\WINDOWS\LastGood.Tmp\INF\oem26.inf
I:\WINDOWS\LastGood.Tmp\INF\oem26.PNF
I:\WINDOWS\LastGood.Tmp\INF\oem27.inf
I:\WINDOWS\LastGood.Tmp\INF\oem27.PNF
I:\WINDOWS\LastGood.Tmp\INF\oem28.inf
I:\WINDOWS\LastGood.Tmp\INF\oem28.PNF
I:\WINDOWS\LastGood.Tmp\INF\oem29.inf
I:\WINDOWS\LastGood.Tmp\INF\oem29.PNF

Finished
---------------

panda mache ich später, muss jetzt erstmal dringend weg.

grüsse!