gibt es da noch hilfe? |
||
---|---|---|
#0
| ||
29.12.2003, 07:58
...neu hier
Beiträge: 10 |
||
|
||
29.12.2003, 08:23
Moderator
Beiträge: 7805 |
#2
Du bist infiziert mit einem #SDBOT, einem Backdoor Afcore und einem Coolwebsearch Hijacker.
Den Afcore wirst du so los(tippe das unter Start/Ausfuehren ein): rundll32 C:\WINDOWS\System32:qvcvoql.uninstall Den Coolwebsearch mit Hilfe diese Anleitung: http://www.merijn.org/cwschronicles.html bzw. dieser Datei: http://www.spywareinfo.com/~merijn/junk/CWShredder.exe Dann neu starten und bitte das "fix"en: R3 - URLSearchHook: ViewSource Class - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\Dokumente und Einstellungen\Daki9\Anwendungsdaten\winshow\winshow.dll F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\System32.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\System32.exe O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\Dokumente und Einstellungen\Daki9\Anwendungsdaten\winshow\winshow.dll O2 - BHO: winlink module - {6CC1C91A-AE8B-4373-A5B4-28BA1851E39A} - C:\Dokumente und Einstellungen\Daki9\Anwendungsdaten\winlink\winlink.dll O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - (no file) O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe O4 - HKLM\..\Run: [wedrv] C:\WINDOWS\System32\Msdxhex.exe O4 - HKLM\..\Run: [qvcvoql] rundll32 C:\WINDOWS\System32:qvcvoql.dll,Init 1 O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [wedrv] C:\WINDOWS\System32\Msdxhex.exe O4 - HKLM\..\RunOnce: [*qvcvoql] rundll32 C:\WINDOWS\System32:qvcvoql.dll,Init 1 O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE Danach ein neues Log posten und dein Windows updaten(www.windowsupdate.com) Wahlweise koenntest du deinen Rechner aber auch komplett neu aufsetzen, denn es ist doch arg viel "boeses" auf deinem Rechner, von dem man nicht weiss, was es schon alles angerichtet hat. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.12.2003, 09:10
...neu hier
Themenstarter Beiträge: 10 |
#3
ich möchte mich erstmal herzlich bedanken für die schnelle antwort .. hab das alles gemacht .. nun schaut es so aus
----------- Logfile of HijackThis v1.97.7 Scan saved at 09:01:21, on 29.12.2003 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\System32.exe C:\Programme\DelFin\PromulGate\PgMonitr.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\scvhost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Dokumente und Einstellungen\Daki9\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing) O4 - HKLM\..\Run: [wedrv] C:\WINDOWS\System32\Msdxhex.exe O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKLM\..\RunOnce: [*qvcvoql] rundll32 C:\WINDOWS\System32:qvcvoql.dll,Init 1 O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab ------------------ die eine zeile ist aber noch immer da |
|
|
||
29.12.2003, 09:21
Moderator
Beiträge: 7805 |
#4
Sieht schon besser aus, aber das muss noch raus:
O4 - HKLM\..\Run: [wedrv] C:\WINDOWS\System32\Msdxhex.exe O4 - HKLM\..\RunOnce: [*qvcvoql] rundll32 C:\WINDOWS\System32:qvcvoql.dll,Init 1 O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing) Da gibt es noch eine scvhost.exe in deinem Systemverzeichniss, die geloescht werden muss( im abgesicherten Modus) und ich habe oben was falsch geschrieben, du musst rundll32 C:\WINDOWS\System32:qvcvoql.dll,UNINSTALL tippen(oben stand ein . anstatt , ) Da ist auch noch eine taskapp.exe im system32 Verzeichniss, bitte mal hier testen: http://www.kaspersky.com/remoteviruschk.html Adaware und Spybot sind auch noch zu empfehlen! __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 29.12.2003 um 09:23 Uhr von raman editiert.
|
|
|
||
29.12.2003, 09:38
...neu hier
Themenstarter Beiträge: 10 |
#5
folgendes problem, wenn ich..
rundll32 C:\WINDOWS\System32:qvcvoql.dll,uninstall eingebe taucht ein fehler auf UNISTALL FEHLT Dieser Beitrag wurde am 29.12.2003 um 09:40 Uhr von Daki9 editiert.
|
|
|
||
29.12.2003, 10:01
Moderator
Beiträge: 7805 |
#6
Da muss ich mir nochmal was einfallen lassen. Weisst du zufaellig, ob deine WIndowspartition ntfs oder FAT32 formatiert ist?
Wenn du Glueck hast, ist es afcore.l-r, den kannst du mit diesem Tool reinigen: ftp://ftp.kaspersky.com/utils/clrav.com . Sag, wenn es was geholfen hat. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.12.2003, 10:04
...neu hier
Themenstarter Beiträge: 10 |
#7
ist auf FAT32 , hab trotzdem dieses tool versucht, kein erfolg
|
|
|
||
29.12.2003, 10:38
Moderator
Beiträge: 7805 |
#8
Versuchen wir mal Trick 17: Oeffne ein Dosfenster (start/Ausfuehren/ und da cmd eingeben). Dann in das system32 Verzeichniss wechseln mit cd\windows\system32 .
Jetzt mit Hilfe des Taskmanagers den Prozess explorer.exe beenden( nicht wundern, wenn dann so einiges vom Bildschirm verschwindet), dann "ren qvcvoql.dll *.lld" ohne die " eingeben. Den Taskmanager nochmal starten(wenn er nicht noch da ist) und unter "Anwendungen", "Neuer Task..." "explorer" eingeben und schauen, was passiert! Es waere nett, wenn du mir die qvcvoql.dll ( oder qvcvoql.lld) schicken koenntest. An virus@protecus.de oder an meine aus dem Profil. Wenn du weisst, wie man mit einer Win98 Startdisk umgeht und fit in DOS bist, kannst du es auch damit machen. __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 29.12.2003 um 10:39 Uhr von raman editiert.
|
|
|
||
29.12.2003, 10:58
...neu hier
Themenstarter Beiträge: 10 |
#9
hmm .. hab das alles gemacht .. er konnte die angegebene datei nicht finden
hab da ein patch installiert .. da ich die scvhost.exe im abgesichertem modus gelöscht habe und dann auch versucht qvcvoql.dll datei zu löschen , wer weiß obs geklappt hat -- wenn ich im system32 ordner nach der datei suche finde ich sie nicht, hab wieder neuen scan gemacht, da taucht sie auf Dieser Beitrag wurde am 29.12.2003 um 11:07 Uhr von Daki9 editiert.
|
|
|
||
29.12.2003, 11:05
Moderator
Beiträge: 7805 |
#10
Das sollte bei Afcore leider kein Erfolg haben, wenn der Explorer Task aktiv ist, laesst sich die Datei nicht loeschen. Und den Explorer Task gibt es auch im abgesicherten Modus.
Wenn die Datei noch nicht weg sein Sollte, gib mal in der Dosbox im Verzeichniss system32 "attrib qvcvoql.dll" ein und schau, ob sie angezeigt wird. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.12.2003, 11:09
...neu hier
Themenstarter Beiträge: 10 |
#11
nein, findet nichts
|
|
|
||
29.12.2003, 11:28
Moderator
Beiträge: 7805 |
#12
Hm, Nutze mal RAV http://www.bul-online.de/av/onlinescan.html , der sollte ihn finden koennen. Wenn er nachhakt, was er mit der Datei machen soll, dann den Explorer Task killen und dann umbennen lassen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.12.2003, 11:55
...neu hier
Themenstarter Beiträge: 10 |
#13
das ist herausgekommen:
---- Statistics Scanned files: 22617 Scanned directories: 1566 Scanned archives: 448 Size of the scanned files: 2744253373 Packed files: 902 Known viruses found: 91 Virus bodies: 6 Suspicious files: 0 Disinfected files: 0 Deleted files: 0 Renamed files: 0 Copied files: 0 I/O errors: 0 Warnings: 0 Corrupted files: 0 New files: 75247 Mail files: 533 Found viruses File: C:\WINDOWS\sCache32\2 Find MP3 8.2.0.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\AC3-MP3 converter.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\ACDSee 5.5b.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\ACDSee Classic 2.79.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Ad-aware 6.5 (new).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Adobe Acrobat Reader 5.6.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Adobe PhotoShop 7.1 crack.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\All Editor 3.0b.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\AOL Instant Messenger 6.1.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Auction Sentry (new).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\AudioLabel CD Labeler 3.0 (+crack).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Battlefied1942 Pack4 (crack+bloodpatch).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\BearShare 5.1.1.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\C&C Generals Pack2 (new patch).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Complete UK Music Database 4.2.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\DirectDVD 4.9.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\DivX Bundle 6.2.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\DivX edit (new).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\DivX Video Bundle 5.5.1.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Download Accelerator Plus 6.3.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\DvD Rip guide (+tools) st0rm.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Dynamite Downloads.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Easy CD Creator Software Update.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Find 1.0.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\FlashFXP (keygen).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\FreeRip 4.30.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Genie Stream 3.2.4.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\GetRight 5.5 + crack.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Global DiVX Player 2.0.1.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Gothic 2 (m-patch).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Grokster 2.0.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Hacker Tutorial (by ph3Akz).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Half-Life keygen (+ogc hack).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\HL keys (working).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\I.G.I. 2 (new crack).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\ICQ Lite beta (b2253).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\ICQ Pro 2003a beta (b4600).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\iMesh 4.1 beta.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\iSnipeIt 5.0c.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\James Bond 007 Nightfire crack.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Kazaa Media Desktop 2.5.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Kazaa Skins 1.8.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\KaZooM MP3 Kazaa Accelerator 2.5.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Medal Of Honor (Allied Assault) crack.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Microangelo 6.0b.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\mIRC 6.x addon patch.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\mIRC s3th war-script.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Morpheus 2.6.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\MP3 cut pro 3.0.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\MSN Messenger 5.5.10.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Need for Speed 6 (new cars + crack).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\NeoNapster 3.92.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Nero Burning ROM 5.8.2.4.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Network Cable + ADSL Speed 2.0 (beta).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\New Nvidia (geForce) drivers (beta).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Nimo Codec Pack 9.0 (stable).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Operation Flashpoint (bloopatch).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Patch Creator 3.5a.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\PhotoShow 3.1.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Pop-Up Stopper 4.0 (beta).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Ps2 to Pc tutorial (+tool).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\QuickTime 7.2 (new).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Raven Shield 5.32 crack.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\RealJukebox Basic 2.8.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\RealOne Free Player 2.8.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\RemoteSpy 1.5.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Sim City 4 crack.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Splinter Cell crack.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\TitJiggle (flash game).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Trillian 0.8 + plugins.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\UniversalFlood (4.8b).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Unreal2 (2.8) crack.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\UT2003 multi-crack (new).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Warcraft3 battle.net(2.5) crack.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Window Washer 4.8.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\WinMX 3.5.1.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\WinRAR 3.8.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\WinZip 8.3b (crack).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\WinZip 9.0 SR-1.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\Wippit 2.1 (beta).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\WS_FTP LE 6.0.exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\sCache32\XViD bundle (codec+tutorial).exe Virus: Win32/HLLW.SdDrop.C Status: Infected File: C:\WINDOWS\system32\audio.exe Virus: TrojanDownloader:Win32/Brok Status: Infected File: C:\WINDOWS\system32\scvhost.exe Virus: Win32/HLLW.Gaobot.BQ Status: Infected File: C:\WINDOWS\system32\scvhost.exe.poly Virus: Win32/HLLW.Gaobot.BQ Status: Infected File: C:\WINDOWS\system32\svchos1.exe->(UPXW) Virus: Win32/HLLW.Gaobot Status: Infected File: C:\WINDOWS\system32\svchos1.exe.poly->(UPXW) Virus: Win32/HLLW.Gaobot Status: Infected File: C:\WINDOWS\system32\System32.exe Virus: Backdoor:IRC/SdBot Status: Infected File: C:\WINDOWS\system32\taskapp.exe Virus: Win32/Sober.C@mm Status: Infected File: C:\WINDOWS\system32\winhlpp32.exe->(UPXW) Virus: Win32/HLLW.Gaobot Status: Infected File: C:\WINDOWS\system32\xms32.exe Virus: Win32/HLLW.SdDrop.C Status: Infected |
|
|
||
29.12.2003, 12:06
Moderator
Beiträge: 7805 |
#14
Soviel zu Norton Antivirus!
Wenn du dich mit dem Gedanken anfreunden kannst, dann Rechner "platt" machen, wenn nicht, dann das Verzeichniss C:\WINDOWS\sCache32 loeschen und alle anderen Dateinamen, die als infiziert gemeldet werden. Das klappt aber nur im abgesicherten Modus. Aber ich wuerde den Rechner komplett neu aufsetzen. Eigene Daten(Dokumente, Emaildatenbank(die auch noch infiziert sein kann) usw sichern, schauen, das das Backup( Extern auf CD oder aehnlichem) nicht defekt ist und mit Hilfe der WindowsXP CD den Rechner /Festplatte formatieren und neu installieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.12.2003, 12:12
...neu hier
Themenstarter Beiträge: 10 |
#15
ah
raman ich danke dir aber trotzdem für den ganzen aufwand, super das es so hilfsbereite leute wie dich gibt auf ein neues |
|
|
||
ich hab schon alles mögliche versucht, scheint ein backdoor virus zu sein, versteckt sich anscheinend im system32 (svchost.exe) .. hab schon tausende von posts gelesen und alles mögliche versucht um den virus loszuwerden, nichts hab funkt. .. angesicherter modus, datei umbenenen, patchs, anti virus programme, usw. .. nichts hat geholfen
--------------
Logfile of HijackThis v1.97.7
Scan saved at 07:49:04, on 29.12.2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\System32.exe
C:\Programme\DelFin\PromulGate\PgMonitr.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\Msdxhex.exe
C:\WINDOWS\System32\taskapp.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Dokumente und Einstellungen\Daki9\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search-click.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-click.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search-click.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search-click.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search-click.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.008i.com/search.html
R3 - URLSearchHook: ViewSource Class - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\Dokumente und Einstellungen\Daki9\Anwendungsdaten\winshow\winshow.dll
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\System32.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\System32.exe
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\Dokumente und Einstellungen\Daki9\Anwendungsdaten\winshow\winshow.dll
O2 - BHO: winlink module - {6CC1C91A-AE8B-4373-A5B4-28BA1851E39A} - C:\Dokumente und Einstellungen\Daki9\Anwendungsdaten\winlink\winlink.dll
O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [wedrv] C:\WINDOWS\System32\Msdxhex.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [qvcvoql] rundll32 C:\WINDOWS\System32:qvcvoql.dll,Init 1
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [wedrv] C:\WINDOWS\System32\Msdxhex.exe
O4 - HKLM\..\RunOnce: [*qvcvoql] rundll32 C:\WINDOWS\System32:qvcvoql.dll,Init 1
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
---------------------------------
mal ein einblick
diese zeile macht mir sorgen
O4 - HKLM\..\Run: [qvcvoql] rundll32 C:\WINDOWS\System32:qvcvoql.dll,Init
die datei qvcvoql.dll ist auch im temp ordner zu finden, aber auch nicht zu enfernen genau so wie übers abgesicherte modus (regredit) .. wenn ich sie entferne tut sie sich wieder herstellen
... ich hoffe das mir da jemand weiter helfen kann
mfg