Hallo,
könnt ihr bitte folgenden Log überprüfen:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\system32\netclnb.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\w32usb2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\qwghp.exe
C:\WINDOWS\System32\svxhost.exe
C:\WINDOWS\System32\wuamagr32.exe
C:\WINDOWS\System32\scrgrd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\StarOffice6.0\program\soffice.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Heinz\Desktop\hijackthis\a.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\defender.exe"
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\cuhtha.exe
O4 - HKLM\..\Run: [0utlook Express] qwghp.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\maoazxf.exe
O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [0utlook Express] qwghp.exe
O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [0utlook Express] qwghp.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\RunServices: [0utlook Express] qwghp.exe
O4 - HKCU\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
O4 - Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
Danke im Voraus^^
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Bitte überprüfen !!
5 Beiträge • Seite 1 von 1
von miezmutz am 21.11.2004, 19:31
Hallo Fussballkatz,
ein klarer Fall für nikita, folge einfach so genau wie möglich den Anweisungen, dann bekommt ihr die Kiste schon wieder flott...
ich drück dir die Daumen...
ein klarer Fall für nikita, folge einfach so genau wie möglich den Anweisungen, dann bekommt ihr die Kiste schon wieder flott...
ich drück dir die Daumen...
- miezmutz
- Moderator
- Beiträge: 2411
- Registriert: 19.07.2004, 13:04
- Wohnort: Rendsburg
von Nikita am 22.11.2004, 13:08
Hallo@Fussballkatz
Koenntest du bitte immer in deinem Thread posten
http://www.informationsarchiv.net/foren ... lkatz.html
http://www.informationsarchiv.net/foren ... lkatz.html
Meiner Meinung nach solltest du den PC neu formatieren...er was sauber und nun das -------
Deaktiviere die Wiederherstellung, deinstalliere komplett den Symantec (das ist wichtig...sonst geht dein PC "in die Knie" , lade:
#Testversion "Antivirus Personal 5.0"
http://www.computerbase.de/downloads/so ... nti-virus/
Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)]
Gehe in den abgesicherten Modus und scanne.
mfg
Nikita
Koenntest du bitte immer in deinem Thread posten
http://www.informationsarchiv.net/foren ... lkatz.html
http://www.informationsarchiv.net/foren ... lkatz.html
Meiner Meinung nach solltest du den PC neu formatieren...er was sauber und nun das -------
Deaktiviere die Wiederherstellung, deinstalliere komplett den Symantec (das ist wichtig...sonst geht dein PC "in die Knie" , lade:
#Testversion "Antivirus Personal 5.0"
http://www.computerbase.de/downloads/so ... nti-virus/
Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)]
Gehe in den abgesicherten Modus und scanne.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Fussballkatz am 22.11.2004, 13:32
nikita hat geschrieben:Hallo@Fussballkatz
Koenntest du bitte immer in deinem Thread posten
http://www.informationsarchiv.net/foren ... lkatz.html
http://www.informationsarchiv.net/foren ... lkatz.html
Meiner Meinung nach solltest du den PC neu formatieren...er was sauber und nun das -------
Deaktiviere die Wiederherstellung, deinstalliere komplett den Symantec (das ist wichtig...sonst geht dein PC "in die Knie" , lade:
#Testversion "Antivirus Personal 5.0"
http://www.computerbase.de/downloads/so ... nti-virus/
Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)]
Gehe in den abgesicherten Modus und scanne.
mfg
Nikita
Nikita das ist nicht mein PC, sondern der PC meines Opas. Der bekommt jetzt nicht mal mehr den Task Manager auf. Biite hilf mir^^
Mein PC ist doch jetzt sauber !
- Fussballkatz
- Beiträge: 27
- Registriert: 21.10.2004, 18:07
von Nikita am 22.11.2004, 13:48
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
suche einen
Dienst namens "Microsoft Update" mit dem Anzeigenamen "Microsoft Windows Update". und DEAKTIVIERE ihn
............................................................................................................................................
Gehe in die Registry
Start<Ausfuehren<regedit
loesche rechts in der Registry alle Eintraege mit:
<0utlook Express = "qwghp.exe"
HKLM\SOFTWARE\Microsoft\Ole\0utlook Express = "qwghp.exe"
HKCU\Software\Microsoft\OLE\0utlook Express = "qwghp.exe"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\0utlook Express = "qwghp.exe"
HKCU\SYSTEM\CurrentControlSet\Control\Lsa\0utlook Express = "qwghp.exe"
HKLM\SYSTEM\ControlSet001\Control\Lsa\0utlook Express = "qwghp.exe"
#aendern:
HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous = 1 -->aendere in 0
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = 1 -->aendere in 0
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N" --aendere in Y
#Loesche rechts in der Registry folgende Eintraege:
<Microsoft Windows Update = svshost.exe
<Microsoft Update = wuamagr32.exe
<[System Update] C:\WINDOWS\System32\cuhtha.exe
<[Microsoft Restore] scrgrd.exe
<[Win32 USB2.0 Driver] w32usb2.exe
<[0utlook Express] qwghp.exe
<netclnb.exe
<[System Update] C:\WINDOWS\System32\cuhtha.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Korgo-Wurm "U"
#[HKLM\Software\Microsoft\Wireless]
loesch falls es vorhanden ist:
"ID" = "<zufällige_Buchstabenfolge>"
"Client"
<zufällige_Buchstabenfolge> steht für eine Zufallszeichenfolge, z. B. "kunzwpofkkgtruihr".
schliesse die Registry
-------------------------------------------------------------------------------------------------------
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\cuhtha.exe
O4 - HKLM\..\Run: [0utlook Express] qwghp.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\maoazxf.exe [Korgo-Wurm]
O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe [W32/Rbot-CT]
O4 - HKLM\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunServices: [0utlook Express] qwghp.exe [W32/Rbot-CC]
O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\Run: [0utlook Express] qwghp.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\RunServices: [0utlook Express] qwghp.exe
O4 - HKCU\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
PC neustarten
Removaltool:(korgo-Wurm )
http://www.bitdefender.com/html/virusin ... 1&v_id=274
#CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden
Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen
Loesche im abgesicherten Modus:
C:\WINDOWS\System32\qwghp.exe
C:\WINDOWS\System32\svxhost.exe
C:\WINDOWS\System32\wuamagr32.exe
C:\WINDOWS\System32\w32usb2.exe
C:\WINDOWS\system32\netclnb.exe
C:\WINDOWS\System32\scrgrd.exe
C:\WINDOWS\System32\qwghp.exe
C:\WINDOWS\System32\maoazxf.exe
C:\WINDOWS\System32\cuhtha.exe
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterpr ... ll_pre.php
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www.my-etrust.com/products/pests ... pscanca%20
-------------------------------------------------------------------------------------------------------------------
<Das eScan AV Toolkit (mwav.exe) herunterladen, öffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.
- folgende Hacken gesetzt:
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory
---------------------------------
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten,
This malware exploits known vulnerabilities in Windows. Download and install the fix patches from the following Web pages:
* Microsoft Security Bulletin MS01-059
* Microsoft Security Bulletin MS02-061
* Microsoft Security Bulletin MS03-026
* Microsoft Security Bulletin MS03-007
* Microsoft Security Bulletin MS04-011
http://www.trendmicro.com/vinfo/virusen ... _SPYBOT.OE
aktive Prozesse anzeigen:
Start->Ausführen->reinschreiben : cmd -->DOS öffnet sich
reinkopieren:
C:\prozesse.txt
der TextEditor oeffnet sich -> mit rechtem Mausklick abkopieren:
Image Name PID Session Name Session# Mem Usage--> poste das , zusammen mit dem neuen Log vom HijackThis und den infizierten Dateien vom eScan
========================= ====== ================ ======== ============
mfg
Nikita
*
http://www.sophos.de/virusinfo/analyses/w32rbotct.html
*
http://www.sophos.de/virusinfo/analyses/w32rbotcc.html
+
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
suche einen
Dienst namens "Microsoft Update" mit dem Anzeigenamen "Microsoft Windows Update". und DEAKTIVIERE ihn
............................................................................................................................................
Gehe in die Registry
Start<Ausfuehren<regedit
loesche rechts in der Registry alle Eintraege mit:
<0utlook Express = "qwghp.exe"
HKLM\SOFTWARE\Microsoft\Ole\0utlook Express = "qwghp.exe"
HKCU\Software\Microsoft\OLE\0utlook Express = "qwghp.exe"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\0utlook Express = "qwghp.exe"
HKCU\SYSTEM\CurrentControlSet\Control\Lsa\0utlook Express = "qwghp.exe"
HKLM\SYSTEM\ControlSet001\Control\Lsa\0utlook Express = "qwghp.exe"
#aendern:
HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous = 1 -->aendere in 0
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = 1 -->aendere in 0
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N" --aendere in Y
#Loesche rechts in der Registry folgende Eintraege:
<Microsoft Windows Update = svshost.exe
<Microsoft Update = wuamagr32.exe
<[System Update] C:\WINDOWS\System32\cuhtha.exe
<[Microsoft Restore] scrgrd.exe
<[Win32 USB2.0 Driver] w32usb2.exe
<[0utlook Express] qwghp.exe
<netclnb.exe
<[System Update] C:\WINDOWS\System32\cuhtha.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Korgo-Wurm "U"
#[HKLM\Software\Microsoft\Wireless]
loesch falls es vorhanden ist:
"ID" = "<zufällige_Buchstabenfolge>"
"Client"
<zufällige_Buchstabenfolge> steht für eine Zufallszeichenfolge, z. B. "kunzwpofkkgtruihr".
schliesse die Registry
-------------------------------------------------------------------------------------------------------
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\cuhtha.exe
O4 - HKLM\..\Run: [0utlook Express] qwghp.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\maoazxf.exe [Korgo-Wurm]
O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe [W32/Rbot-CT]
O4 - HKLM\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunServices: [0utlook Express] qwghp.exe [W32/Rbot-CC]
O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\Run: [0utlook Express] qwghp.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\RunServices: [0utlook Express] qwghp.exe
O4 - HKCU\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
PC neustarten
Removaltool:(korgo-Wurm )
http://www.bitdefender.com/html/virusin ... 1&v_id=274
#CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden
Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen
Loesche im abgesicherten Modus:
C:\WINDOWS\System32\qwghp.exe
C:\WINDOWS\System32\svxhost.exe
C:\WINDOWS\System32\wuamagr32.exe
C:\WINDOWS\System32\w32usb2.exe
C:\WINDOWS\system32\netclnb.exe
C:\WINDOWS\System32\scrgrd.exe
C:\WINDOWS\System32\qwghp.exe
C:\WINDOWS\System32\maoazxf.exe
C:\WINDOWS\System32\cuhtha.exe
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterpr ... ll_pre.php
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www.my-etrust.com/products/pests ... pscanca%20
-------------------------------------------------------------------------------------------------------------------
<Das eScan AV Toolkit (mwav.exe) herunterladen, öffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.
- folgende Hacken gesetzt:
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory
---------------------------------
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten,
This malware exploits known vulnerabilities in Windows. Download and install the fix patches from the following Web pages:
* Microsoft Security Bulletin MS01-059
* Microsoft Security Bulletin MS02-061
* Microsoft Security Bulletin MS03-026
* Microsoft Security Bulletin MS03-007
* Microsoft Security Bulletin MS04-011
http://www.trendmicro.com/vinfo/virusen ... _SPYBOT.OE
aktive Prozesse anzeigen:
Start->Ausführen->reinschreiben : cmd -->DOS öffnet sich
reinkopieren:
C:\prozesse.txt
der TextEditor oeffnet sich -> mit rechtem Mausklick abkopieren:
Image Name PID Session Name Session# Mem Usage--> poste das , zusammen mit dem neuen Log vom HijackThis und den infizierten Dateien vom eScan
========================= ====== ================ ======== ============
mfg
Nikita
*
http://www.sophos.de/virusinfo/analyses/w32rbotct.html
*
http://www.sophos.de/virusinfo/analyses/w32rbotcc.html
+
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
5 Beiträge • Seite 1 von 1
Ähnliche Themen
| HILFE ALLE MEINE ORDNERBERECHTIGUNG SIND WEG HILFE BITTE Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
brauche BITTE mal ganz dringend hilfe!!! Forum: Software-Hilfe Autor: blue-sky Antworten: |
USB Hub tot?? Bitte um hilfe!! Forum: Hardware-Hilfe Autor: Ponny2 Antworten: |
CRC- Check bitte dringend Hilfe Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
pc geht garnicht erst an! bitte dringend um hilfe! Forum: Hardware-Hilfe Autor: nicbar Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste