Informationsarchiv.net > Foren-Übersicht > Computerprobleme > Online- und PC-Sicherheit
Warum kostenlos registrieren?

Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.

Login


drefir.e (wurm)

Warnungen vor Sicherheitslücken und Hilfe beim Enfernen von Viren, Würmern und Trojanern.
Thema gesperrt

drefir.e (wurm)

Beitragvon Stephaldo am 30.06.2006, 22:00

Hallo liebe Forenuser,

mir verschlug es gestern die Sprache, als sich sämtliche Funktionen meines Computers weigerten das zu machen, was ich möchte.

Am morgen wollte ich ein wenig Musik von meiner externen Festplatte hören, aber es ging nicht (benutze Winamp), aufgrund der wenigen Zeit die ich hatte verschob ich die Fehlersuche auf den Nachmittag.. ich machte wieder den PC an und es ging wieder nicht.. die Dateien meiner externen Festplatte waren allesamt da, hatten aber eine Größe von 0kb!! :O Mein Messenger-Programm konnte ich plötzlich auch nicht mehr ausführen. Mein Outlook-Express lief noch, ich las meine Mails des Tages, auf einmal kam eine neue Mail und ich öffnete den betreffenden Ordner, und dort wurde dann sinngemäß geschrieben "Keine mails in dieser Ansicht verfügbar" oder so.. auf jeden Fall war der Ordner plötzlich leer und alle anderen auch... nach einem Neustart war dann Desktophintergrund sowie alle Verknüpfungen gelöscht.. besser gesagt: es ging nix, da alles eine Größe von 0kb hat...
Danach hab ich meine externe Platte, die ja als erstes muckte an den Zweitcomputer angeschlossen (von dem ich grad schriebe) und die Viruskontrolle, die ich wegen schlimmster Geräusche, bereits nach 1% abbrach, brachte mir 52 mal die Meldung, dass Dateien mit dem Wurm drefir.e infiziert sind.
Habe bisher probiert es mit Stinger zu machen, aber dieses Programm ist nicht in der lage drefir.e zu finden und konnte dementsprechend auch nichts machen.

Ich hoffe daher, dass ihr mir mit diesem (für mich schwerwiegendem Problem) helfen könnt, sodass ich meine Daten, die ja noch vorhanden sind (bloß halt 0kb groß sind ;) ) doch wieder verwendbar werden. Vielleicht, hat ja einer von euch einen Tipp, der mir helfen könnte - ich bedanke mich schonmal im Voraus!

MfG,
Stepan Wensel
Stephaldo
 
Beiträge: 11
Registriert: 24.09.2004, 19:57
Nach oben

Beitragvon Nikita am 01.07.2006, 14:09

Hijackthis -

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Stephaldo am 02.07.2006, 15:41

Hallo, danke für deine Antwort - habe die von dir genannten Schritte nun getan und hier die Ergebnisse:

System32
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC8D-F3B1

Verzeichnis von C:\WINDOWS\system32

02.07.2006 14:49 26.682 nvapps.xml
02.07.2006 14:49 63.395 LVCOMSX.LOG
02.07.2006 14:49 12.598 wpa.dbl
30.06.2006 23:39 401.084 perfh009.dat
30.06.2006 23:39 61.292 perfc009.dat
30.06.2006 23:39 412.330 perfh007.dat
30.06.2006 23:39 72.282 perfc007.dat
30.06.2006 23:39 958.896 PerfStringBackup.INI
29.06.2006 22:00 329.096 FNTCACHE.DAT
09.06.2006 03:19 5.967.776 MRT.exe
02.06.2006 13:39 579.888 LegitCheckControl.dll
02.06.2006 13:39 286.000 WgaTray.exe
02.06.2006 13:39 402.736 WgaLogon.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
27.05.2006 12:40 43.520 CmdLineExt03.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 61.440 pxhpinst.exe
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
29.04.2006 06:07 5.533.696 wmp.dll
18.04.2006 21:49 29.208 p2phraph.dll
18.04.2006 21:49 12.621 nvsdda32.dll

Temp
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC8D-F3B1

Verzeichnis von C:\DOKUME~1\STEPHA~1\LOKALE~1\Temp

02.07.2006 14:49 206 jusched.log
1 Datei(en) 206 Bytes
0 Verzeichnis(se), 13.889.384.448 Bytes frei

Windows
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC8D-F3B1

Verzeichnis von C:\WINDOWS

02.07.2006 14:49 31.918 SchedLgU.Txt
02.07.2006 14:00 1.269.195 WindowsUpdate.log
02.07.2006 13:51 0 0.log
02.07.2006 13:51 159 wiadebug.log
02.07.2006 13:51 50 wiaservc.log
02.07.2006 13:51 2.048 bootstat.dat
30.06.2006 23:46 854 win.ini
30.06.2006 23:46 253 system.ini
30.06.2006 16:41 188.256 setupapi.log
29.06.2006 21:48 400 ODBC.INI
29.06.2006 20:38 54.156 QTFont.qfn
29.06.2006 16:31 49 NeroDigital.ini
25.06.2006 15:02 122.198 wmsetup.log
19.06.2006 17:30 1.409 QTFont.for
17.06.2006 11:21 2.614 hpdj5600.ini
17.06.2006 11:21 448.943 hpdj5600.his
16.06.2006 13:29 31.657 spupdsvc.log
16.06.2006 09:40 58.019 iis6.log
16.06.2006 09:40 137.465 comsetup.log
16.06.2006 09:40 83.074 ntdtcsetup.log
16.06.2006 09:40 153.737 tsoc.log
16.06.2006 09:40 1.374 imsins.log
16.06.2006 09:40 21.565 ocmsn.log
16.06.2006 09:40 14.847 KB917734.log
16.06.2006 09:40 200.737 ocgen.log
16.06.2006 09:40 19.768 msgsocm.log
16.06.2006 09:40 380.022 FaxSetup.log
16.06.2006 09:37 1.374 imsins.BAK
16.06.2006 09:37 15.820 KB918439.log
16.06.2006 09:37 16.436 KB917344.log
16.06.2006 09:37 22.947 updspapi.log
16.06.2006 09:37 15.402 KB917953.log
16.06.2006 09:36 15.438 KB911280.log
16.06.2006 09:36 18.570 KB916281.log
16.06.2006 09:35 11.705 KB914389.log
09.06.2006 21:40 2 Twain001.Mtx
09.06.2006 21:40 217 TWAIN.LOG
09.06.2006 21:40 156 Twunk001.MTX
09.06.2006 21:33 1.452 COM+.log
09.06.2006 21:04 0 Twunk002.MTX
09.06.2006 20:40 3.724 dahotfix.log
09.06.2006 20:40 19.558 dasetup.log
08.06.2006 18:17 34.061 WgaNotify.log
08.06.2006 18:15 37.936 KB913580.log
08.06.2006 18:15 37.494 KB908531.log
08.06.2006 18:15 38.064 KB900485.log
08.06.2006 18:15 32.738 KB911565.log
08.06.2006 18:14 36.654 KB911562.log
08.06.2006 18:14 38.693 KB912812.log
08.06.2006 18:14 31.098 KB911567.log
08.06.2006 18:14 22.950 KB913446.log
08.06.2006 18:14 25.491 KB911564.log
08.06.2006 18:13 29.657 KB911927.log
08.06.2006 18:13 29.724 KB912919.log
08.06.2006 18:13 29.035 KB908519.log
08.06.2006 18:13 28.837 KB904706.log
08.06.2006 18:13 22.800 KB910437.log
08.06.2006 18:13 29.194 KB896424.log
08.06.2006 18:13 29.382 KB900725.log
08.06.2006 18:12 26.866 KB905749.log
08.06.2006 18:12 26.341 KB905414.log
08.06.2006 18:12 25.526 KB901017.log
08.06.2006 18:12 29.872 KB902400.log
08.06.2006 17:58 21.970 KB894391.log
08.06.2006 17:58 20.152 KB896423.log
08.06.2006 17:58 19.637 KB899587.log
08.06.2006 17:58 19.133 KB899591.log
08.06.2006 17:58 19.251 KB893756.log
08.06.2006 17:58 18.731 KB896358.log
08.06.2006 17:58 19.551 KB890859.log
08.06.2006 17:58 15.929 KB901214.log
08.06.2006 17:58 14.974 KB896428.log
08.06.2006 17:57 15.304 KB896422.log
08.06.2006 17:57 15.782 KB890046.log
08.06.2006 17:57 14.799 KB885250.log
08.06.2006 17:57 14.863 KB885835.log
08.06.2006 17:57 14.222 KB887742.log
08.06.2006 17:57 13.680 KB888113.log
08.06.2006 17:57 13.664 KB891781.log
08.06.2006 17:57 13.822 KB887472.log
08.06.2006 17:57 13.067 KB888302.log
08.06.2006 17:57 12.584 KB885836.log
08.06.2006 17:57 8.843 KB886185.log
08.06.2006 17:56 12.578 KB873339.log
08.06.2006 17:56 6.375 KB885884.log
07.06.2006 23:07 9.726 WGA.log
07.06.2006 23:06 7.190 KB898461.log
07.06.2006 23:06 10.384 KB893803v2.log
07.06.2006 23:06 1.033.947 setupapi.log.0.old
26.05.2006 00:29 316.640 WMSysPr9.prx
10.05.2006 15:31 2.049.078 Mozilla Wallpaper.bmp
20.04.2006 22:01 114 Videodeluxe.INI
30.03.2006 14:51 460 wmsetup10.log

C
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC8D-F3B1

Verzeichnis von C:\

02.07.2006 15:20 0 sys.txt
02.07.2006 15:19 10.214 system.txt
02.07.2006 15:15 295 systemtemp.txt
02.07.2006 15:15 118.114 system32.txt
02.07.2006 13:51 402.653.184 pagefile.sys
30.06.2006 23:46 211 boot.ini
29.06.2006 21:47 0 CONFIG.SYS
29.06.2006 21:47 0 bac2.exe
29.06.2006 21:47 0 bac.exe
29.06.2006 21:47 0 AUTOEXEC.BAT
29.06.2006 21:47 0 AntiVirScan.exe
29.06.2006 16:37 0 LogiSetup.log
29.06.2006 16:37 0 INSTALL.LOG
29.06.2006 16:37 0 hook.log
29.06.2006 16:37 0 hpfr5600.log
29.06.2006 16:37 0 list
20.04.2006 17:49 162.304 UNWISE.EXE

HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 15:36:07, on 02.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190_U~1\w0svc.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NVATray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\0190_U~1\WARN0190.EXE
C:\Programme\DIGStream\digstream.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\MOZILLA\MOZILLA.EXE
C:\Dokumente und Einstellungen\StephanWensel\Desktop\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [0190/0900 Warner präsentiert von AOL] C:\PROGRA~1\0190_U~1\WARN0190.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [DIGStream] C:\Programme\DIGStream\digstream.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [MOD] C:\Programme\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: Adobe Gamma.lnk = ?
O4 - Startup: OpenOffice.org 2.0.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5bLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5bLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9713829218
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190_U~1\w0svc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - D:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - D:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Stephaldo
 
Beiträge: 11
Registriert: 24.09.2004, 19:57
Nach oben

Beitragvon Nikita am 02.07.2006, 18:34

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_POWERMANAGER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PowerManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager

Files to delete:
C:\bac2.exe
C:\bac.exe
C:\AntiVirScan.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint


2.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

3.
Oeffne den Texteditor (Notepad) und kopiere diesen Text rein.
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. abspeichern als: 018.bat
Doppeltklicken und kopiere den Text ab, der angezeigt wird.

regedit /e c:\key4.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter"
start notepad.exe c:\key4.txt
exit
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Stephaldo am 03.07.2006, 08:42

Guten Morgen!

1. Avenger
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gbeowynb

*******************

Script file located at: \??\C:\Program Files\ablvhkpx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_POWERMANAGER not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_POWERMANAGER failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_POWERMANAGER
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PowerManager not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PowerManager failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PowerManager
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager
Status: 0xc0000034

File C:\bac2.exe deleted successfully.
File C:\bac.exe deleted successfully.
File C:\AntiVirScan.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

2. F-Secure Online Scanner Next Generation Beta
Scanning Report
Sunday, July 02, 2006 20:03:26 - 08:33:11

Computer name: STEPHAN
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\
Result: 9 malware found
Email-Worm.Win32.Drefir.e (virus)

* C:\WINDOWS\SYSTEM32\SYSDREFIWV2.EXE (Renamed & Submitted)

Stealth_drive (hidden item)

* D:

Stealth_file (hidden item)

* C:\SCCFG.SYS (Submitted)

Tracking Cookie (spyware)

* System (Disinfected)
* System

Trojan-Downloader.Win32.Swizzor.fg (virus)

* C:\DOKUMENTE UND EINSTELLUNGEN\STEPHANWENSEL\DESKTOP\BACKUPS\BACKUP-20060630-223108-308.DLL (Renamed & Submitted)
* C:\DOKUMENTE UND EINSTELLUNGEN\STEPHANWENSEL\ANWENDUNGSDATEN\WMA16BAGS\BORELONG.EXE (Renamed)

WhenU (spyware)

* System (Disinfected)

WhenU.WeatherCast (spyware)

* System (Disinfected)

Statistics
Scanned:

* Files: 45570
* System: 5548
* Not scanned: 2

Actions:

* Disinfected: 3
* Renamed: 3
* Deleted: 0
* None: 3
* Submitted: 3

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

Options
Scanning engines:

* F-Secure AVP: 6.0.171, 2006-07-01
* F-Secure Blacklight: 1.0.31, 0000-00-00
* F-Secure Libra: 2.4.1, 2006-06-30
* F-Secure Orion: 1.2.37, 2006-06-30
* F-Secure Pegasus: 1.19.0, 2006-05-14
* F-Secure Draco: 1.0.35, 0259-24-212

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
* Use Advanced heuristics

3. 018.bat
ging leider nicht, habe die datei so wie du satest gespeichert doch beim ausführen erschien nur kurz ein fenster, dass sich dann sofort wieder schloss - dort stehen 3 Zeilen (irgendwas mit "Der Befehl.." in der 2. Zeile)
Stephaldo
 
Beiträge: 11
Registriert: 24.09.2004, 19:57
Nach oben

Beitragvon Nikita am 03.07.2006, 20:02

1.
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

2.
dr.web
http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefunden hat. Dazu unter Start - Ausfuehren
%userprofile%\doctorweb\cureit.log
eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

oder:

Unter Menüpunkt Ansicht bei Dr. Web kann der Prüfbericht gespeichert werden als .txt Datei ablegen und dann abkopieren.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Stephaldo am 04.07.2006, 15:08

1. Look
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC8D-F3B1

Verzeichnis von C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten

24.01.2006 22:39 <DIR> ACDSYS~1 ACD Systems
18.12.2005 23:09 <DIR> Adobe
29.06.2006 21:54 0 AdobeDLM.log
29.12.2004 18:25 <DIR> AdobeUM
03.11.2004 19:20 <DIR> Ahead
18.10.2004 21:55 <DIR> AOL
20.05.2006 23:19 <DIR> AXIS2C~1 axis2curb
29.06.2006 21:54 0 dm.ini
04.02.2005 14:36 <DIR> FotoWire
29.06.2006 21:54 0 GDIPFO~1.DAT GDIPFONTCACHEV1.DAT
15.07.2005 00:33 <DIR> Google
19.04.2005 14:42 <DIR> Help
26.10.2004 20:06 <DIR> ICQ
18.10.2004 20:03 <DIR> ICQLite
18.10.2004 17:00 <DIR> IDENTI~1 Identities
19.10.2004 11:11 <DIR> INTERT~1 InterTrust
26.08.2005 22:39 <DIR> MACROM~1 Macromedia
08.11.2004 14:42 <DIR> Miranda
18.10.2004 18:15 <DIR> Mozilla
22.06.2006 20:57 <DIR> MSN6
03.01.2005 18:59 <DIR> NETPUM~1 NetPumper
29.06.2006 16:21 <DIR> OPENOF~1.ORG OpenOffice.org2
09.06.2006 21:04 <DIR> PUBLIS~1 Publish Providers
20.12.2004 15:18 <DIR> SmartFTP
09.06.2006 21:51 <DIR> Sony
25.11.2004 18:37 <DIR> Sun
18.10.2004 20:19 <DIR> Symantec
18.10.2004 18:15 <DIR> Talkback
19.04.2005 13:15 <DIR> vlc
03.07.2006 08:30 <DIR> WMA16B~1 Wma16Bags
19.10.2004 23:53 <DIR> Xara
18.10.2004 21:51 <DIR> YOU'VE~1 You've Got Pictures Screensaver
3 Datei(en) 0 Bytes
29 Verzeichnis(se), 14.057.246.720 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC8D-F3B1

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

24.01.2006 22:27 <DIR> ACDSYS~1 ACD Systems
28.11.2005 18:35 <DIR> Adobe
28.11.2005 18:49 <DIR> ADOBES~1 Adobe Systems
18.10.2004 21:55 <DIR> AOL
16.11.2004 16:03 <DIR> CYBERL~1 CyberLink
03.07.2006 20:54 <DIR> DIGSTR~1 DIGStream
20.05.2006 23:18 <DIR> FORDON~1 fordonlineatomsave
10.03.2006 15:31 <DIR> MACROM~1 Macromedia
26.12.2004 00:20 <DIR> MSN6
27.12.2004 00:50 <DIR> QUICKT~1 QuickTime
09.06.2006 20:39 <DIR> Sony
02.07.2006 19:17 <DIR> Symantec
18.10.2004 21:50 <DIR> VIEWPO~1 Viewpoint
08.06.2006 17:37 <DIR> WINDOW~1 Windows Genuine Advantage
0 Datei(en) 0 Bytes
14 Verzeichnis(se), 14.057.246.720 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC8D-F3B1

Verzeichnis von C:\WINDOWS\tasks

03.07.2006 21:00 286 A0D9686A915F1F02.job
18.08.2001 12:00 65 desktop.ini
03.07.2006 14:53 6 SA.DAT
3 Datei(en) 357 Bytes
0 Verzeichnis(se), 14.057.246.720 Bytes frei


2. Dr.Web
backup-20060630-222946-513.dll;C:\Dokumente und Einstellungen\StephanWensel\Desktop\backups;Adware.Bho;;
backup-20060630-223108-537.dll;C:\Dokumente und Einstellungen\StephanWensel\Desktop\backups;Trojan.DownLoader.6588;Gelöscht.;
Folder Lock.exe\data001;C:\Programme\Folder Lock\Folder Lock.exe;Trojan.NtRootKit.131;;
Folder Lock.exe;C:\Programme\Folder Lock;Archiv enthält infizierte Objekte;Verschoben.;
A0182135.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLW.Bacteria;Gelöscht.;
A0182136.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLW.Bacteria;Gelöscht.;
A0182137.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLW.Bacteria;Gelöscht.;
A0182164.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0182165.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0182610.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Trojan.Swizzor;Gelöscht.;
A0183749.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Adware.Bho;;
A0183750.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLW.Bacteria;Gelöscht.;
A0183751.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Trojan.MulDrop.3278;Gelöscht.;
A0183752.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Trojan.MulDrop.3278;Gelöscht.;
A0183756.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Trojan.MulDrop.3278;Gelöscht.;
A0203753.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP259;Win32.HLLM.Dref;Gelöscht.;
A0203756.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP259;Adware.ClockSync;;
A0203758.dll;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP259;Adware.SaveNow;;
A0203760.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP259;Adware.SaveNow;;
A0203761.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP259;Adware.SaveNow;;
A0203762.exe\data004;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP259\A0203762.exe;Adware.SaveNow;;
A0203762.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP259;Archiv enthält infizierte Objekte;Verschoben.;
A0203781.sys;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP259;Trojan.NtRootKit.131;Gelöscht.;
A0203783.dll;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP259;Trojan.DownLoader.6588;Gelöscht.;
A0203833.exe\data001;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP259\A0203833.exe;Trojan.NtRootKit.131;;
A0203833.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP259;Archiv enthält infizierte Objekte;Verschoben.;
nvsdda32.dll;C:\WINDOWS\system32;Trojan.DownLoader.6588;Gelöscht.;
p2phraph.dll;C:\WINDOWS\system32;Adware.Bho;;
suppdll.dll;C:\WINDOWS\system32;Trojan.NtRootKit.131;Gelöscht.;
SYSDREFIWV2.0XE;C:\WINDOWS\system32;Win32.HLLM.Dref;Gelöscht.;
A0171525.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Trojan.MulDrop.3278;Gelöscht.;
A0171642.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Trojan.LopAd;Gelöscht.;
A0176137.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176152.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Adware.Bho;;
A0176194.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLW.Bacteria;Gelöscht.;
A0176195.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLW.Bacteria;Gelöscht.;
A0176196.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLW.Bacteria;Gelöscht.;
A0176197.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLW.Bacteria;Gelöscht.;
A0176199.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176200.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176201.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176202.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176203.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176204.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176205.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176206.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176207.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176208.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176209.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176210.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176211.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176212.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176213.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176214.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176215.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176216.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176217.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176218.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176219.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176220.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176221.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176222.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176223.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176224.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0176225.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLW.Bacteria;Gelöscht.;
A0176226.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLW.Bacteria;Gelöscht.;
A0176227.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Trojan.MulDrop.3278;Gelöscht.;
A0176228.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Adware.Bho;;
A0176229.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Adware.Bho;;
A0176230.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Trojan.MulDrop.3278;Gelöscht.;
A0176231.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Adware.Bho;;
A0182087.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0182088.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0182089.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0182090.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0182091.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0182093.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0182094.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0182095.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0182096.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Win32.HLLM.Dref;Gelöscht.;
A0182098.exe;D:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP253;Trojan.MulDrop.3278;Gelöscht.;
Stephaldo
 
Beiträge: 11
Registriert: 24.09.2004, 19:57
Nach oben

Beitragvon Nikita am 05.07.2006, 01:30

Email-Worm.Win32.Drefir
http://virus-protect.org/virus/sysdrefiwv2.html

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
loeschen (im abgesicherten modus)

C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fordonlineatomsave

3.
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:
%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h A0D9686A915F1F02.job
del AE7357DE9184C886.job


- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

4.
Counterspy
scanne, stelle alles auf "remove" und poste den scanreport
http://virus-protect.org/counterspy.html

5.
dann scanne noch einmal mit dr.web und berichte
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Stephaldo am 06.07.2006, 08:18

Counterspy
Spyware Scan Details
Start Date: 05.07.2006 23:08:04
End Date: 06.07.2006 00:09:08
Total Time: 1 hrs 1 mins 4 secs

Detected spyware

AntiLeech Plugin Adware more information...
Details: Plugin is an Ad-Ware software which enables the broadcasting of advertisements, and execution of e-commerce and other internet related services on the user-interface of the software.
Status: Deleted

Infected files detected
c:\programme\anti-leech\alie_1.0.1.9\al2np.dll
c:\programme\anti-leech\alie_1.0.1.9\alhlp.exe
c:\programme\anti-leech\alie_1.0.1.9\alie.dll
c:\programme\anti-leech\alie_1.0.1.9\alie.inf
c:\programme\anti-leech\alie_1.0.1.9\iesetup2.exe
c:\programme\anti-leech\alie_1.0.2.2\al2np.dll
c:\programme\anti-leech\alie_1.0.2.2\alhlp.exe
c:\programme\anti-leech\alie_1.0.2.2\alie.dll
c:\programme\anti-leech\alie_1.0.2.2\alie.inf
c:\programme\anti-leech\alie_1.0.2.2\iesetup2.exe
c:\programme\anti-leech\alnn\al2np.dll
c:\programme\anti-leech\alnn\alhlp.exe
c:\programme\anti-leech\alnn\npalnn.dll
c:\programme\anti-leech\alnn\setup2.exe
C:\Programme\mozilla\plugins\al2np.dll
C:\Programme\mozilla\plugins\alhlp.exe
C:\Programme\mozilla\plugins\ALIE_1.0.1.9\al2np.dll
C:\Programme\mozilla\plugins\ALIE_1.0.1.9\alhlp.exe

Infected registry entries detected
HKEY_CURRENT_USER\Software\Anti-Leech\Anti-Leech Plugin
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AntiLeech.ALIE.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AntiLeech.ALIE.1\CLSID {056738EE-E15C-11D6-B876-0050BF5D85C7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AntiLeech.ALIE.1 Anti-Leech Plug-in
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AntiLeech.ALIE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AntiLeech.ALIE\CLSID {056738EE-E15C-11D6-B876-0050BF5D85C7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AntiLeech.ALIE\CurVer AntiLeech.ALIE.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AntiLeech.ALIE Anti-Leech Plug-in
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\InprocServer32 C:\PROGRA~1\ANTI-L~1\ALIE_1~1.2\alie.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\InprocServer32 ThreadingModel Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\ProgID AntiLeech.ALIE.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\TypeLib {056738E1-E15C-11D6-B876-0050BF5D85C7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\VersionIndependentProgID AntiLeech.ALIE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7} Anti-Leech Plug-in
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/Anti-Leech Plugin,version=1.0.1.5\MimeTypes\application/x-al-package
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/Anti-Leech Plugin,version=1.0.1.5\MimeTypes\application/x-al-package Description Anti-Leech Package
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/Anti-Leech Plugin,version=1.0.1.5\MimeTypes\application/x-al-package Suffixes alp
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/Anti-Leech Plugin,version=1.0.1.5\Suffixes
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/Anti-Leech Plugin,version=1.0.1.5
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/Anti-Leech Plugin,version=1.0.1.5\MimeTypes\application/x-al-package Description Anti-Leech Package
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/Anti-Leech Plugin,version=1.0.1.5\MimeTypes\application/x-al-package Suffixes alp
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/Anti-Leech Plugin,version=1.0.1.5 Path C:\Dokumente und Einstellungen\StephanWensel\Desktop\Stephan\ALNN\npalnn.dll
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/Anti-Leech Plugin,version=1.0.1.5 Description Anti-Leech Plugin for Netscape, Mozilla, Opera
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/Anti-Leech Plugin,version=1.0.1.5 Version 1.0.1.5
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/Anti-Leech Plugin,version=1.0.1.5 Vendor Anti-Leech
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/Anti-Leech Plugin,version=1.0.1.5 ProductName Anti-Leech Plugin
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE DisplayName Anti-Leech Plugin for Internet Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE UninstallString C:\Programme\Anti-Leech\ALIE_1.0.2.2\iesetup2.exe uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN DisplayName Anti-Leech Plugin for Netscape, Mozilla, Opera
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN UninstallString C:\Programme\Anti-Leech\ALNN\setup2.exe -u


NetPumper Adware Bundler more information...
Details: Bundles with a number of adware components such as cydoor, Save!, ClockSync, and WhenU Toolbar.
Status: Ignored

Infected files detected
c:\dokumente und einstellungen\all users\startmenü\programme\netpumper\netpumper help.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\netpumper\netpumper.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\netpumper\readme.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\netpumper\shutdown netpumper.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\netpumper\uninstall netpumper.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\netpumper\anti-leech\install plugin for ms internet explorer.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\netpumper\anti-leech\install plugin for netscape, mozilla, opera.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\netpumper\anti-leech\license.lnk
c:\programme\netpumper\netpumper.exe
c:\programme\netpumper\npcdl.dll
d:\programme\netpumper\netpumpernnproxy.dll

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetPumperNNProxy.NetscapeInterface
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetPumperNNProxy.NetscapeInterface\CLSID {E19B133D-184E-4BBA-8A70-38489C9DD31B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetPumperNNProxy.NetscapeInterface NetscapeInterface Object
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type\application/x-netpumper-detector
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type\application/x-netpumper-detector Extension .xnpd
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetPumper.AddUrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetPumper.AddUrl\CLSID {1AA406AB-F581-42AB-B4D1-31D2E13819EF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetPumper.AddUrl AddUrl Object
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\free state 1
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\free pkid
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\free alid lemildi
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\free iid {8E10759E-D7B9-4E23-AA41-853F041AFDD4}
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro state 1
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro pkid lemildi
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro alid lemildi
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro iid {0C24C413-72AE-42C2-85FB-B69C612F4A54}
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper VersionInfo qUtugvKIWu93mMjoMlrHw7SuGnv00G6Lgm4XQUf3fIHPXguR-tkpMU22V0izWTdekkU0tVg4Y85YSnDMZ7ykF53Ln7f-fhu4j0ony8eRCXoFwrS9d6PiGR4JqU8EoEdslj3Dwcju40stxe+LtRMCtOpQpWKMJtVNYVo5wQ-UvWqxXhDKvCK+2Vfe5l08mn15E4nQaa-C4UQc
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper Application NetPumper
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper NEWVER http://cv.netpumper.com/
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Download with NetPumper
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Download with NetPumper D:\Programme\NetPumper\AddUrl.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Download with NetPumper contexts 243
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E19B133D-184E-4BBA-8A70-38489C9DD31B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E19B133D-184E-4BBA-8A70-38489C9DD31B}\InprocServer32 D:\Programme\NetPumper\NetPumperNNProxy.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E19B133D-184E-4BBA-8A70-38489C9DD31B}\InprocServer32 ThreadingModel Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E19B133D-184E-4BBA-8A70-38489C9DD31B}\ProgID NetPumperNNProxy.NetscapeInterface
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E19B133D-184E-4BBA-8A70-38489C9DD31B}\Typelib {F7258F6E-9F60-49C0-8C82-F0A0993D68E0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E19B133D-184E-4BBA-8A70-38489C9DD31B}\Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E19B133D-184E-4BBA-8A70-38489C9DD31B} NetscapeInterface Object
HKEY_CLASSES_ROOT\NetPumperNNProxy.NetscapeInterface
HKEY_CLASSES_ROOT\NetPumperNNProxy.NetscapeInterface\CLSID {E19B133D-184E-4BBA-8A70-38489C9DD31B}
HKEY_CLASSES_ROOT\NetPumperNNProxy.NetscapeInterface NetscapeInterface Object
HKEY_CLASSES_ROOT\clsid\{1AA406AB-F581-42AB-B4D1-31D2E13819EF}
HKEY_CLASSES_ROOT\clsid\{1AA406AB-F581-42AB-B4D1-31D2E13819EF}\LocalServer32 D:\Programme\NetPumper\NetPumper.exe /Automation
HKEY_CLASSES_ROOT\clsid\{1AA406AB-F581-42AB-B4D1-31D2E13819EF}\LocalServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{1AA406AB-F581-42AB-B4D1-31D2E13819EF}\ProgID NetPumper.AddUrl
HKEY_CLASSES_ROOT\clsid\{1AA406AB-F581-42AB-B4D1-31D2E13819EF}\Typelib {1145A909-A836-44B8-B03A-48D858B0F43E}
HKEY_CLASSES_ROOT\clsid\{1AA406AB-F581-42AB-B4D1-31D2E13819EF}\Version 1.2
HKEY_CLASSES_ROOT\clsid\{1AA406AB-F581-42AB-B4D1-31D2E13819EF} AddUrl Object
HKEY_CLASSES_ROOT\clsid\{E19B133D-184E-4BBA-8A70-38489C9DD31B}
HKEY_CLASSES_ROOT\clsid\{E19B133D-184E-4BBA-8A70-38489C9DD31B}\InprocServer32 D:\Programme\NetPumper\NetPumperNNProxy.dll
HKEY_CLASSES_ROOT\clsid\{E19B133D-184E-4BBA-8A70-38489C9DD31B}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{E19B133D-184E-4BBA-8A70-38489C9DD31B}\ProgID NetPumperNNProxy.NetscapeInterface
HKEY_CLASSES_ROOT\clsid\{E19B133D-184E-4BBA-8A70-38489C9DD31B}\Typelib {F7258F6E-9F60-49C0-8C82-F0A0993D68E0}
HKEY_CLASSES_ROOT\clsid\{E19B133D-184E-4BBA-8A70-38489C9DD31B}\Version 1.0
HKEY_CLASSES_ROOT\clsid\{E19B133D-184E-4BBA-8A70-38489C9DD31B} NetscapeInterface Object
HKEY_CLASSES_ROOT\NetPumper.AddUrl
HKEY_CLASSES_ROOT\NetPumper.AddUrl\CLSID {1AA406AB-F581-42AB-B4D1-31D2E13819EF}
HKEY_CLASSES_ROOT\NetPumper.AddUrl AddUrl Object
HKEY_CURRENT_USER\Software\NetPumper
HKEY_CURRENT_USER\Software\NetPumper\StephanWensel Field1 2103618047
HKEY_CURRENT_USER\Software\NetPumper\StephanWensel Field2 1662539204
HKEY_CURRENT_USER\Software\NetPumper\StephanWensel Field3 199691782
HKEY_CURRENT_USER\Software\NetPumper\StephanWensel Field4 1944369424
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AA406AB-F581-42AB-B4D1-31D2E13819EF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AA406AB-F581-42AB-B4D1-31D2E13819EF}\LocalServer32 D:\Programme\NetPumper\NetPumper.exe /Automation
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AA406AB-F581-42AB-B4D1-31D2E13819EF}\LocalServer32 ThreadingModel Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AA406AB-F581-42AB-B4D1-31D2E13819EF}\ProgID NetPumper.AddUrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AA406AB-F581-42AB-B4D1-31D2E13819EF}\Typelib {1145A909-A836-44B8-B03A-48D858B0F43E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AA406AB-F581-42AB-B4D1-31D2E13819EF}\Version 1.2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AA406AB-F581-42AB-B4D1-31D2E13819EF} AddUrl Object
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1145A909-A836-44B8-B03A-48D858B0F43E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1145A909-A836-44B8-B03A-48D858B0F43E}\1.2\0\win32 D:\Programme\NetPumper\NetPumper.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1145A909-A836-44B8-B03A-48D858B0F43E}\1.2\FLAGS 0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1145A909-A836-44B8-B03A-48D858B0F43E}\1.2\HELPDIR D:\Programme\NetPumper\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1145A909-A836-44B8-B03A-48D858B0F43E}\1.2 NetPumper Library
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\TypeLib {1145A909-A836-44B8-B03A-48D858B0F43E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\TypeLib Version 1.2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B} IAddUrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A9E33220-0B05-11D7-88D2-444553540000}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\TypeLib {1145A909-A836-44B8-B03A-48D858B0F43E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\TypeLib Version 1.2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A9E33220-0B05-11D7-88D2-444553540000} IAddPackage


WhenU.SaveNow Adware more information...
Details: an advertising application that displays pop-up advertising on the desktop in response to users' surfing behavior.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\whenusave
HKEY_LOCAL_MACHINE\software\whenusave\Partners\SYNC Partner NPUM0304
HKEY_LOCAL_MACHINE\software\whenusave\Partners\SYNC InstallTime 20050103175713
HKEY_LOCAL_MACHINE\software\whenusave\Partners\SYNC PartnerDesc ClockSync
HKEY_LOCAL_MACHINE\software\whenusave\Partners\SYNC PartnerFile C:\Programme\ClockSync\Sync.exe
HKEY_LOCAL_MACHINE\software\whenusave db_script_update 1002700854
HKEY_LOCAL_MACHINE\software\whenusave InstallDir C:\PROGRA~1\Save
HKEY_LOCAL_MACHINE\software\whenusave pats_url http://akapp.whenu.com/OffersDataGZ
HKEY_LOCAL_MACHINE\software\whenusave pat_chunks_url http://akapp.whenu.com/DataChunksGZ
HKEY_LOCAL_MACHINE\software\whenusave script_url http://app.whenu.com/Throttle?name=scri ... 1002700834
HKEY_LOCAL_MACHINE\software\whenusave update_url http://app.whenu.com/Throttle?name=Save4.06
HKEY_LOCAL_MACHINE\software\whenusave ver_url http://www.whenu.com/versions.html
HKEY_LOCAL_MACHINE\software\whenusave extra_url http://app.whenu.com/Throttle?name=Upda ... _1.04extra
HKEY_LOCAL_MACHINE\software\whenusave extraver_url http://www.whenudownloads.com/extraver.html
HKEY_LOCAL_MACHINE\software\whenusave ziptomsa_url http://akapp.whenu.com/ziptomsa
HKEY_LOCAL_MACHINE\software\whenusave InstallTime 20050103175712
HKEY_LOCAL_MACHINE\software\whenusave LastPartner
HKEY_LOCAL_MACHINE\software\whenusave zip
HKEY_LOCAL_MACHINE\software\whenusave TotalPartner 2
HKEY_LOCAL_MACHINE\software\whenusave newuser_rs Y
HKEY_LOCAL_MACHINE\software\whenusave Partner NPUM0304
HKEY_LOCAL_MACHINE\software\whenusave PartnerB SYNC
HKEY_LOCAL_MACHINE\software\whenusave PartnerDesc ClockSync
HKEY_LOCAL_MACHINE\software\whenusave FullDBTime 18652948
HKEY_LOCAL_MACHINE\software\whenusave HeartbeatTime 1151678150859
HKEY_LOCAL_MACHINE\software\whenusave brandskin_url http://offers.whenu.com/skin/
HKEY_LOCAL_MACHINE\software\whenusave brandstrip_rs 24
HKEY_LOCAL_MACHINE\software\whenusave brandstrip_url http://offers.whenu.com/save_brand3.html
HKEY_LOCAL_MACHINE\software\whenusave bstat_rs Y
HKEY_LOCAL_MACHINE\software\whenusave himp_url http://offers.whenu.com/himp/himp.db
HKEY_LOCAL_MACHINE\software\whenusave iptomsa_url http://app.whenu.com/Location
HKEY_LOCAL_MACHINE\software\whenusave maxPopups_rs 2
HKEY_LOCAL_MACHINE\software\whenusave timedDBUpdate_rs Y
HKEY_LOCAL_MACHINE\software\whenusave uninstalltag_rs O
HKEY_LOCAL_MACHINE\software\whenusave db_local_update 20060625093249
HKEY_LOCAL_MACHINE\software\whenusave MSA CUS
HKEY_LOCAL_MACHINE\software\whenusave TotalPopup 142;19188797;;;45545;2;0;0;95;95;21448
HKEY_LOCAL_MACHINE\software\whenusave Version 4.06
HKEY_LOCAL_MACHINE\software\whenusave UpdateTime 20060625113305
HKEY_LOCAL_MACHINE\software\whenusave SystemParam_rs dt=WhenU Save;q=;i=1
HKEY_LOCAL_MACHINE\software\whenusave acm_rs 1.04
HKEY_LOCAL_MACHINE\software\whenusave db_ver_update 20051208162128
HKEY_LOCAL_MACHINE\software\whenusave HeartbeatCount 162
HKEY_LOCAL_MACHINE\software\whenusave CM1_xend 2
HKEY_LOCAL_MACHINE\software\whenusave CM1_status END
HKEY_LOCAL_MACHINE\software\whenusave redir3p_url http://offers.whenu.com/skin/redirect3p.html
HKEY_LOCAL_MACHINE\software\whenusave db_stamp_rs 20060630125736
HKEY_LOCAL_MACHINE\software\whenusave db_server_update 20060630125736
HKEY_LOCAL_MACHINE\software\whenusave uninstall_cmd_rs /w /d"WhenU Save"
HKEY_LOCAL_MACHINE\software\whenusave fword_rs Y
HKEY_LOCAL_MACHINE\software\whenusave extraupdate_rs 20060630144000
HKEY_LOCAL_MACHINE\software\whenusave uninst_rs 4.008
HKEY_LOCAL_MACHINE\software\whenusave src_url http://offers.whenu.com/pop_up/
HKEY_LOCAL_MACHINE\software\whenusave dbc_chunks_rs 33
HKEY_LOCAL_MACHINE\software\whenusave\Partners\SYNC Partner NPUM0304
HKEY_LOCAL_MACHINE\software\whenusave\Partners\SYNC InstallTime 20050103175713
HKEY_LOCAL_MACHINE\software\whenusave\Partners\SYNC PartnerDesc ClockSync
HKEY_LOCAL_MACHINE\software\whenusave\Partners\SYNC PartnerFile C:\Programme\ClockSync\Sync.exe
HKEY_LOCAL_MACHINE\software\whenusave InstallDir C:\PROGRA~1\Save
HKEY_LOCAL_MACHINE\software\whenusave pats_url http://akapp.whenu.com/OffersDataGZ
HKEY_LOCAL_MACHINE\software\whenusave pat_chunks_url http://akapp.whenu.com/DataChunksGZ
HKEY_LOCAL_MACHINE\software\whenusave script_url http://app.whenu.com/Throttle?name=scri ... 1002700834
HKEY_LOCAL_MACHINE\software\whenusave update_url http://app.whenu.com/Throttle?name=Save4.06
HKEY_LOCAL_MACHINE\software\whenusave extra_url http://app.whenu.com/Throttle?name=Upda ... _1.04extra
HKEY_LOCAL_MACHINE\software\whenusave InstallTime 20050103175712
HKEY_LOCAL_MACHINE\software\whenusave LastPartner
HKEY_LOCAL_MACHINE\software\whenusave TotalPartner 2
HKEY_LOCAL_MACHINE\software\whenusave newuser_rs Y
HKEY_LOCAL_MACHINE\software\whenusave Partner NPUM0304
HKEY_LOCAL_MACHINE\software\whenusave PartnerB SYNC
HKEY_LOCAL_MACHINE\software\whenusave PartnerDesc ClockSync
HKEY_LOCAL_MACHINE\software\whenusave FullDBTime 18652948
HKEY_LOCAL_MACHINE\software\whenusave HeartbeatTime 1151678150859
HKEY_LOCAL_MACHINE\software\whenusave bstat_rs Y
HKEY_LOCAL_MACHINE\software\whenusave iptomsa_url http://app.whenu.com/Location
HKEY_LOCAL_MACHINE\software\whenusave maxPopups_rs 2
HKEY_LOCAL_MACHINE\software\whenusave timedDBUpdate_rs Y
HKEY_LOCAL_MACHINE\software\whenusave uninstalltag_rs O
HKEY_LOCAL_MACHINE\software\whenusave MSA CUS
HKEY_LOCAL_MACHINE\software\whenusave TotalPopup 142;19188797;;;45545;2;0;0;95;95;21448
HKEY_LOCAL_MACHINE\software\whenusave Version 4.06
HKEY_LOCAL_MACHINE\software\whenusave UpdateTime 20060625113305
HKEY_LOCAL_MACHINE\software\whenusave SystemParam_rs dt=WhenU Save;q=;i=1
HKEY_LOCAL_MACHINE\software\whenusave HeartbeatCount 162
HKEY_LOCAL_MACHINE\software\whenusave CM1_xend 2
HKEY_LOCAL_MACHINE\software\whenusave CM1_status END
HKEY_LOCAL_MACHINE\software\whenusave uninstall_cmd_rs /w /d"WhenU Save"
HKEY_LOCAL_MACHINE\software\whenusave fword_rs Y
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\SYNC
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\SYNC Partner NPUM0304
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\SYNC InstallTime 20050103175713
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\SYNC PartnerDesc ClockSync
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\SYNC PartnerFile C:\Programme\ClockSync\Sync.exe
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave msa
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave heartbeattime
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave himp_url
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave db_server_update
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave db_stamp_rs
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave brandskin_url
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave brandstrip_rs
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave brandstrip_url
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave timeddbupdate_rs
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave uninstalltag_rs
HKEY_CLASSES_ROOT\ACM.ACMFactory
HKEY_CLASSES_ROOT\ACM.ACMFactory\CLSID {A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}
HKEY_CLASSES_ROOT\ACM.ACMFactory\CurVer ACM.ACMFactory.1
HKEY_CLASSES_ROOT\ACM.ACMFactory ACMFactory Class
HKEY_CLASSES_ROOT\ACM.ACMFactory.1
HKEY_CLASSES_ROOT\ACM.ACMFactory.1\CLSID {A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}
HKEY_CLASSES_ROOT\ACM.ACMFactory.1 ACMFactory Class
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\InprocServer32 C:\PROGRA~1\Save\ACM.dll
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\ProgID ACM.ACMFactory.1
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\TypeLib {DF901432-1B9F-4F5B-9E56-301C553F9095}
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\VersionIndependentProgID ACM.ACMFactory
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD} ACMFactory Class
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD} AppID {127DF9B4-D75D-44A6-AF78-8C3A8CEB03DB}
HKEY_CLASSES_ROOT\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}
HKEY_CLASSES_ROOT\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}\1.0\0\win32 C:\PROGRA~1\Save\ACM.dll
HKEY_CLASSES_ROOT\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}\1.0\HELPDIR C:\PROGRA~1\Save\
HKEY_CLASSES_ROOT\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}\1.0 ACM 1.0 Type Library
HKEY_CLASSES_ROOT\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}
HKEY_CLASSES_ROOT\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}\TypeLib {DF901432-1B9F-4F5B-9E56-301C553F9095}
HKEY_CLASSES_ROOT\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0} IACMFactory
HKEY_CLASSES_ROOT\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}
HKEY_CLASSES_ROOT\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}\TypeLib {DF901432-1B9F-4F5B-9E56-301C553F9095}
HKEY_CLASSES_ROOT\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086} IFetchExtractor
HKEY_CLASSES_ROOT\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}
HKEY_CLASSES_ROOT\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}\TypeLib {DF901432-1B9F-4F5B-9E56-301C553F9095}
HKEY_CLASSES_ROOT\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842} IFetchData
HKEY_CLASSES_ROOT\AppID\{127DF9B4-D75D-44A6-AF78-8C3A8CEB03DB}
HKEY_CLASSES_ROOT\AppID\{127DF9B4-D75D-44A6-AF78-8C3A8CEB03DB} ACM
HKEY_CLASSES_ROOT\AppID\ACM.DLL
HKEY_CLASSES_ROOT\AppID\ACM.DLL AppID {127DF9B4-D75D-44A6-AF78-8C3A8CEB03DB}


WhenU.ClockSync Adware Bundler more information...
Details: ClockSync: a program that sits in the desktop tray and periodically synchronizes the local PC system clock with standard atomic clock time available online.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\SYNC
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\SYNC Partner NPUM0304
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\SYNC InstallTime 20050103175713
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\SYNC PartnerDesc ClockSync
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\SYNC PartnerFile C:\Programme\ClockSync\Sync.exe


Advertising.com Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\stephanwensel\cookies\stephanwensel@advertising[2].txt


Cok.PriceBandit Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\stephanwensel\cookies\stephanwensel@apmebf[1].txt


DoubleClick Cookie more information...
Details: DoubleClick is a popular ad serving network that uses spyware cookies, to target advertising.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\stephanwensel\cookies\stephanwensel@doubleclick[1].txt


Mediaplex.com Cookie more information...
Details: Cookie used to track cross site advertising with the Mediaplex and value Click advertising companies.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\stephanwensel\cookies\stephanwensel@mediaplex[2].txt


Radar Spy 1.0 Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\stephanwensel\cookies\stephanwensel@tradedoubler[2].txt


Dr. Web
A0182164.exe;C:\Dokumente und Einstellungen\StephanWensel\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0182165.exe;C:\Dokumente und Einstellungen\StephanWensel\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0203762.exe\data004;C:\Dokumente und Einstellungen\StephanWensel\DoctorWeb\Quarantine\A0203762.exe;Adware.SaveNow;;
A0203762.exe;C:\Dokumente und Einstellungen\StephanWensel\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.;
A0203833.exe\data001;C:\Dokumente und Einstellungen\StephanWensel\DoctorWeb\Quarantine\A0203833.exe;Trojan.NtRootKit.131;;
A0203833.exe;C:\Dokumente und Einstellungen\StephanWensel\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.;
Folder Lock.exe\data001;C:\Dokumente und Einstellungen\StephanWensel\DoctorWeb\Quarantine\Folder Lock.exe;Trojan.NtRootKit.131;;
Folder Lock.exe;C:\Dokumente und Einstellungen\StephanWensel\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.;
datenbank.mdb;C:\Programme\Sybex\EURO-Fahrschule 2004;möglicherweise SCRIPT.Virus;Nicht desinfizierbar.Gelöscht.;
A0203942.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP264;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0203943.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP264;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0203944.exe\data004;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP264\A0203944.exe;Adware.SaveNow;;
A0203944.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP264;Archiv enthält infizierte Objekte;Verschoben.;
A0203945.exe\data001;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP264\A0203945.exe;Trojan.NtRootKit.131;;
A0203945.exe;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP264;Archiv enthält infizierte Objekte;Verschoben.;
A0203946.exe\data001;C:\System Volume Information\_restore{6E54630B-AD37-42EC-AA8D-B4E95CDA2081}\RP264\A0203946.exe;Trojan.NtRootKit.131;;
Stephaldo
 
Beiträge: 11
Registriert: 24.09.2004, 19:57
Nach oben

Beitragvon Nikita am 06.07.2006, 11:41

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
/dann wieder aktivieren

2.
Counterspy killt immer nur einen Teil Dateien. Man muss also immer wieder den Quarantäne-Ordner von Counterspy leeren und wieder neu damit scannen, solange bis Counterspy nichts mehr findet.

3.
schau , ob alles vom Netpumper und C:\Programme\ClockSync vom System geloescht sind (falls nicht, desinstallieren, loeschen) und noch mal mit Dr.Web scannen.

4.
mache einen Olinescan mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Stephaldo am 10.07.2006, 19:45

- CounterSpy findet nichts mehr (seit dem 3. Durchlauf)

- Netpumper und ClockSync sind völlig weg (hab die Windows-Suche auch mal suchen lassen)

- Panda:


Incident Status Location

Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.advertising.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.as1.falkag.de/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.statcounter.com/]
Spyware:Cookie/QuestionMarket Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.questionmarket.com/]
Spyware:Cookie/Valueclick Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.valueclick.com/]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Zedo Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.zedo.com/]
Spyware:Cookie/Go Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.go.com/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.hitbox.com/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.ehg-dig.hitbox.com/]
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.casalemedia.com/]
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.fastclick.net/]
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[fe.lea.lycos.de/]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.atwola.com/]
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[statse.webtrendslive.com/]
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[statse.webtrendslive.com/S155358]
Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Firefox\Profiles\7gnrpxgk.default\cookies.txt[.com.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.atdmt.com/]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.advertising.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.2o7.net/]
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[fe.lea.lycos.de/]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/PointRoll Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.ads.pointroll.com/]
Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.xiti.com/]
Spyware:Cookie/Valueclick Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.valueclick.com/]
Spyware:Cookie/Zedo Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.zedo.com/]
Spyware:Cookie/QuestionMarket Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.questionmarket.com/]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.adtech.de/]
Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.statcounter.com/]
Spyware:Cookie/Go Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.go.com/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.hitbox.com/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Mozilla\Profiles\default\9m9aqfdu.slt\cookies.txt[.ehg-dig.hitbox.com/]
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Anwendungsdaten\Wma16Bags\BORELONG.0XE
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Cookies\stephanwensel@2o7[2].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Cookies\stephanwensel@adtech[2].txt
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Cookies\stephanwensel@advertising[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Cookies\stephanwensel@as1.falkag[2].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Cookies\stephanwensel@atwola[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Cookies\stephanwensel@doubleclick[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Cookies\stephanwensel@hitbox[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Cookies\stephanwensel@mediaplex[1].txt
Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Cookies\stephanwensel@xiti[1].txt
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\StephanWensel\Desktop\backups\BACKUP-20060630-223108-308.0LL
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\StephanWensel\DoctorWeb\Quarantine\A0182160.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\StephanWensel\DoctorWeb\Quarantine\A0182161.exe
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\StephanWensel\DoctorWeb\Quar