Wurm: Win32.Warezov

Thema ist geschlossen!
Thema ist geschlossen!
#0
19.04.2007, 21:36
...neu hier

Beiträge: 7
#1 Hallo!

Ich habe mir den o.g. Wurm über ICQ eingefangen und bitte dringends um Hilfe. Ich bin auf diesem Gebiet nicht gerade bewandert, aber den LogFile habe ich schon mal:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:36:13, on 19.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\G DATA PowerPDF\Xpmail.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\G DATA InternetSecurity\AVK\Avk.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Installler\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [PrintPackDispatcher] "C:\Programme\G DATA PowerPDF\Xpmail.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WLConfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O20 - AppInit_DLLs: wmplmspo.dll
O20 - Winlogon Notify: crypmapi - C:\WINDOWS\system32\crypmapi.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

--
End of file - 7707 bytes


Vielen Dank schon mal... MFG Jan
Seitenanfang Seitenende
19.04.2007, 21:53
Moderator

Beiträge: 7805
#2 Ein Combofix Report und eine Datfindbat liste waeren hier hilfreich.
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.04.2007, 17:08
...neu hier

Themenstarter

Beiträge: 7
#3 Hier der Combofix:

"Admin" - 07-04-29 16:55:34 Service Pack 2
ComboFix 07-04-25.4V - Running from: "C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Installler\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll
C:\DOKUME~1\Admin\Desktop.\internet explorer.lnk
C:\install.log
C:\WINDOWS\system32\drivers\npf.sys


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\NPF
-------\LEGACY_NPF


((((((((((((((((((((((((((((((( Files Created from 2007-03-28 to 2007-04-29 ))))))))))))))))))))))))))))))))))


2007-03-29 20:54 24,576 --a------ C:\WINDOWS\system32\wmplmspo.dll
2007-03-28 17:01 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-29 16:54 -------- d-------- C:\Programme\wlan quick-starter
2007-04-11 11:52 -------- d-------- C:\Programme\trillian
2007-04-11 11:47 74996 --a------ C:\WINDOWS\system32\perfc007.dat
2007-04-11 11:47 415470 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-13 22:48 -------- d-------- C:\Programme\icqlite
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-03-07 20:58 -------- d-------- C:\Programme\google
2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll
2007-01-28 19:05 262144 --a------ C:\WINDOWS\system32\default_user_class.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{0124123D-61B4-456f-AF86-78C53A0790C5} C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SideWinderTrayV4"="C:\\PROGRA~1\\MICROS~4\\GAMECO~1\\Common\\SWTrayV4.exe"
"Omnipage"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe"
"Logitech Utility"="Logi_MwX.Exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb05.exe"
"mmtask"="C:\\Programme\\Musicmatch\\Musicmatch Jukebox\\mmtask.exe"
"PrintPackDispatcher"="\"C:\\Programme\\G DATA PowerPDF\\Xpmail.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"routcnf"="C:\\Programme\\DeTeWe\\TA 33 USB\\routcnf.exe"
"Arcor Online"=""
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"WLConfig"="\"C:\\Programme\\WLAN Monitor\\wlconfig.exe\" -autostart"
"AVKTray"="\"C:\\Programme\\G DATA InternetSecurity\\AVKTray\\AVKTray.exe\""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypmapi

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="wmplmspo.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9086236e-c631-11db-81d9-004063c2839e}]
Shell\AutoRun\command C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Shell\Open(&0)\command J:\Recycled\ctfmon.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ec90a3e9-3eff-11d9-bbcd-ef36be8640a1}]
Shell\AutoRun\command J:\RunGame.exe

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-29 17:05:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-29 17:06:36
C:\ComboFix-quarantined-files.txt ... 07-04-29 17:06
Seitenanfang Seitenende
29.04.2007, 17:12
Moderator

Beiträge: 7805
#4 Diese DAteien solltest du im abgesicherten Modus umbenennen:
C:\WINDOWS\system32\wmplmspo.dll
C:\WINDOWS\system32\drivers\mouhid.sys

und nach einem neustart bei Jotti/VT testen.

Diese EIntraege bitte noch fixen:
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O20 - AppInit_DLLs: wmplmspo.dll
O20 - Winlogon Notify: crypmapi - C:\WINDOWS\system32\crypmapi.dll (file missing)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.04.2007, 17:17
...neu hier

Themenstarter

Beiträge: 7
#5 und hier die datfindbat liste:

system 32:

Verzeichnis von C:\WINDOWS\system32

29.04.2007 16:53 2.206 wpa.dbl
11.04.2007 11:47 401.064 perfh009.dat
11.04.2007 11:47 62.344 perfc009.dat
11.04.2007 11:47 415.470 perfh007.dat
11.04.2007 11:47 74.996 perfc007.dat
11.04.2007 11:47 966.250 PerfStringBackup.INI
04.04.2007 17:59 287.704 FNTCACHE.DAT
02.04.2007 14:21 428.032 swreg.exe
29.03.2007 20:54 24.576 wmplmspo.dll
17.03.2007 15:44 293.376 winsrv.dll
09.03.2007 12:24 123.392 xpsp3res.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 22:36 12.619.736 MRT.exe
28.02.2007 18:02 2.059.904 ntkrnlpa.exe
28.02.2007 18:02 2.182.656 ntoskrnl.exe
15.02.2007 10:47 122.142 TZLog.log
05.02.2007 22:18 185.856 upnphost.dll
29.01.2007 10:58 60.416 tzchange.exe
28.01.2007 19:05 1.024 default_user_class.dat.LOG
28.01.2007 19:05 262.144 default_user_class.dat
23.01.2007 21:30 546.304 hhctrl.ocx
12.01.2007 22:51 4.348 d3d9caps.dat
12.01.2007 10:27 458.752 msfeeds.dll
12.01.2007 10:27 6.054.400 ieframe.dll
12.01.2007 10:27 132.608 extmgr.dll
12.01.2007 10:27 232.960 webcheck.dll
12.01.2007 10:27 3.580.416 mshtml.dll
12.01.2007 10:27 670.720 mstime.dll
12.01.2007 10:27 27.136 jsproxy.dll
12.01.2007 10:27 51.712 msfeedsbs.dll
12.01.2007 10:27 1.149.952 urlmon.dll
12.01.2007 10:27 822.784 wininet.dll
12.01.2007 10:27 477.696 mshtmled.dll
10.01.2007 18:42 1.040.384 ieframe.dll.mui
08.01.2007 20:04 105.984 url.dll
08.01.2007 20:04 102.400 occache.dll
08.01.2007 20:03 193.024 msrating.dll
08.01.2007 20:02 1.823.744 inetcpl.cpl
08.01.2007 20:02 266.752 iertutil.dll
08.01.2007 20:02 44.544 iernonce.dll
08.01.2007 20:02 230.400 ieaksie.dll
08.01.2007 20:02 384.000 iedkcs32.dll
08.01.2007 20:02 153.088 ieakeng.dll
08.01.2007 20:02 383.488 ieapfltr.dll
08.01.2007 20:02 161.792 ieakui.dll
08.01.2007 20:01 17.408 corpol.dll
08.01.2007 20:00 124.928 advpack.dll
08.01.2007 19:08 56.832 ie4uinit.exe
08.01.2007 19:08 13.824 ieudinit.exe

systemtemp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B0C4-C298

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp

29.04.2007 16:55 16.384 Perflib_Perfdata_87c.dat
29.04.2007 16:55 16.384 Perflib_Perfdata_888.dat
29.04.2007 16:54 16.384 Perflib_Perfdata_a3c.dat
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 73.972.080.640 Bytes frei


system:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B0C4-C298

Verzeichnis von C:\WINDOWS

29.04.2007 16:53 1.692.671 WindowsUpdate.log
29.04.2007 16:53 159 wiadebug.log
29.04.2007 16:53 50 wiaservc.log
29.04.2007 16:52 0 0.log
29.04.2007 16:52 2.048 bootstat.dat
29.04.2007 16:51 32.540 SchedLgU.Txt
29.04.2007 16:45 783.325 setupapi.log
21.04.2007 03:52 86.528 catchme.exe
19.04.2007 21:43 118.254 iis6.log
19.04.2007 21:43 259.707 comsetup.log
19.04.2007 21:43 1.374 imsins.log
19.04.2007 21:43 292.199 tsoc.log
19.04.2007 21:43 42.091 ocmsn.log
19.04.2007 21:43 156.943 ntdtcsetup.log
19.04.2007 21:43 13.967 KB931784.log
19.04.2007 21:43 373.734 ocgen.log
19.04.2007 21:43 38.069 msgsocm.log
19.04.2007 21:43 746.553 FaxSetup.log
19.04.2007 21:43 1.374 imsins.BAK
19.04.2007 21:43 12.286 KB931261.log
19.04.2007 21:43 12.792 KB930178.log
19.04.2007 21:43 67.067 updspapi.log
19.04.2007 21:43 12.491 KB932168.log
19.04.2007 20:28 1.077.218 ntbtlog.txt
11.04.2007 17:54 32.768 AdrBook.pab
04.04.2007 15:51 12.436 KB925902.log
28.03.2007 17:01 192.672 setupact.log
15.03.2007 21:52 12.057 KB929338.log
08.03.2007 22:41 52.744 wmsetup.log
08.03.2007 20:41 1.678 Wudf01000Inst.log
08.03.2007 20:35 396 wmsetup10.log
08.03.2007 20:33 116 NeroDigital.ini
18.02.2007 10:53 46 hmview.ini
17.02.2007 20:55 1.334 KB829558.log
17.02.2007 20:55 32.523 KB893803v2.log
15.02.2007 10:50 20.077 KB927779.log
15.02.2007 10:49 17.054 KB927802.log
15.02.2007 10:49 16.736 KB928255.log
15.02.2007 10:48 13.226 KB924667.log
15.02.2007 10:47 25.748 KB931836.log
15.02.2007 10:47 15.495 KB926436.log
15.02.2007 10:46 10.543 KB928090-IE7.log
15.02.2007 10:46 11.886 KB918118.log
15.02.2007 10:45 10.604 KB928843.log
01.02.2007 13:26 25.601 CSTBox.INI
28.01.2007 18:18 1.281 KB910998.log
28.01.2007 18:18 2.274 KB902344.log
28.01.2007 18:18 1.219 KB891122.log
21.01.2007 15:53 1.574 ATIWDM.LOG
21.01.2007 15:26 16 wininit.ini
21.01.2007 12:20 737.280 iun6002.exe
16.01.2007 23:04 0 nsreg.dat
11.01.2007 20:53 3.614 KB929969.log

tmp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B0C4-C298

Verzeichnis von C:\WINDOWS\Temp

29.04.2007 16:55 0 AVP82.tmp
29.04.2007 16:55 2.988.455 AVP81.tmp
29.04.2007 16:53 0 JETD30F.tmp
29.04.2007 16:53 0 JETD225.tmp
29.04.2007 16:53 0 JETD188.tmp
29.04.2007 16:53 0 JETB843.tmp
6 Datei(en) 2.988.455 Bytes
0 Verzeichnis(se), 73.972.043.776 Bytes frei


down

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B0C4-C298

Verzeichnis von C:\WINDOWS\Downloaded Program Files

01.07.2004 12:32 65 desktop.ini
07.03.2003 12:25 114.600 IDropDEU.dll
14.02.2003 11:34 114.848 IDropENU.dll
14.02.2003 11:32 283.296 IDrop.ocx
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
25.07.2002 17:05 172.032 isusweb.dll
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
9 Datei(en) 907.884 Bytes
0 Verzeichnis(se), 73.972.043.776 Bytes frei


Ich hoffe ich habe jetzt alles!

Noch ein paar Infos:

Betriebssystem Windows XP Home
Virenprogramm: GData Internetsecurity 2007

Das Virenprogramm hat den Wurm in einigen Dateien des system32 Ordners entdeckt und sie auch entfernt. Im Überprüfungsprotokoll habe ich dann aber auch gesehen, dass er sich zu dem im System Volume Information Ordner befindet. Aus einem anderen Forum habe ich erfahren, dass ich deswegen die Systemwiederherstellung ausschalten sollte. Das habe ich auch gemacht.
Seitdem meldet mir GData nur noch, dass versucht wird auf ein infizierte Datei zuzugreifen ("C:\WINDOWS\system32\wmplmspo.dll"). Da die Datei permanent von irgendeinem Prozess verwendet wird, kann ich sie nicht löschen. Lediglich den Zugriff kann ich verweigern.
So, das ist alles, was ich dazu sagen kann.

Vielen Dank schon mal
Dieser Beitrag wurde am 29.04.2007 um 17:25 Uhr von hankjerdin editiert.
Seitenanfang Seitenende
29.04.2007, 17:25
Moderator

Beiträge: 7805
#6 Wie gesagt, mache das, was ich dir empfohlen habe.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.04.2007, 17:34
...neu hier

Themenstarter

Beiträge: 7
#7 Noch eine blöde Frage,

was bedeutet fixen und wie mache ich das?
Seitenanfang Seitenende
29.04.2007, 17:44
Moderator

Beiträge: 7805
#8 Hijackthis starten und scan only waehlen. Dann kannst du vor den entsprechenden Eintraegen ein Kaestchen anhaken und dann fix checked druecken
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.04.2007, 18:27
...neu hier

Themenstarter

Beiträge: 7
#9 So,

Die Einträge sind gefixt und die Dateien umbenannt. Die mouhid.sys Datei ist virenfrei, die andere Datei kann ich irgendwie nicht hochladen. Aber wenn ich meinen Scanner drüberlaufen lasse kommt halt der o.g. Wurm bei raus.
Seitenanfang Seitenende
29.04.2007, 19:04
Moderator

Beiträge: 7805
#10 Also Datei loeschen. Die mouhid.sys lasse noch umbenannt in dem Ordner, und schau, ob alles noch fehlerfrei funktioniert.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.04.2007, 22:56
...neu hier

Themenstarter

Beiträge: 7
#11 Super!!!

Vielen, vielen lieben Dank!

Der Drops ist gelutscht!

MFG Jan
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: