Computerhilfen.de
Hilfe und Tipps => Antivirus Sicherheit => Thema gestartet von: Sas am 19.12.06, 08:15:47
-
Ich hab mir einen ICQ Wurm eingefangen, der sich von selbst an die Mitgleider der Kontaktliste schickt. Er wir als WORM/Stration.Gen im /system32/ order angezeigt.
Ich hab ihn durch das klicken eines Links, den mir eine vertrauenswürdige Person geschickt hat, die sich den Wurm wohl auch eingefangen hat -.-
Nun komme ich kaum noch ins Internet, der PC läd kaum hoch bzw. nach dem Hochladen läd er alles bis auf die Taskleiste und dann passier gar nix mehr. Ich komme nicht ins Internet und nix.
Nun habe ich folgende Idee:
- abgesicherter Modus und dann den Virus löschen. Die Dateien in dem system32 ordner kenn ich.
Danach meine eigenen Dateien danach retten und die Festplatte zur Sicherheit formatieren.
Würde das was bringen oder gibts noch eine andere Lösung. Manchmal kommt mein PC doch weiter als zu dem oben genannten hänger und dann könnte ich rein theoretisch ein removaltool nutzen... aber welches? wie? wo?
AntiVir meldet dauernt den Virus, wenn es wieterkommt, aber klickt man auf "löschen" ist der Virus 1/2 Sekunde später wieder da, weil er sich selbst hochfährt oder so. -.-
-
Versuche es mal mit dem Removal Tool von Norman (ca. 2,2 MB), beachte dabei die Hinweise auf Webseite, Stichwort abgesicherter Modus von Windows.
http://www.norman.com/Virus/Virus_removal_tools/de
(Anmerkung: Auch wenn auf der Webseite die Malware “Stration“ nicht in der Liste aufgeführt ist, kann das Tool viele Varianten von diesen erkennen und entfernen)
Alternative:
AV Cleaner “Damage Cleanup“ von Trend Micro.
(Spezielles Entfernungstool für fast alle bekannten Viren - In englischer Sprache)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein, keine Installation notwendig!
a. Sysclean Package, ca. 3,3 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
b. Pattern, ca. 14,2 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php
Anschließend sollte um eine weitere mögliche Malwareinfizierung auszuschließen bzw. zuerkennen zur Kontrolle auch eine Überprüfung mit dem Freeware Online-Scanner von
F-Secure vorgenommen werden. Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer mit ActiveX und besitzen eine Reinigungsfunktion.
F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) sind in Englisch)
Wähle die Option “Vollständiger Systemscan“
Poste bitte auf jeden Fall die ausführlichen Berichte der Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) hier !
-
...
Wichtiger ergänzender Hinweis:
Um eine optimale Überprüfung mit den Tools von Norman und Trend zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk (http://www.computerhilfen.de/fachbegriffe-n-Netzwerk.html) und Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) trennen (Kabel ziehen!)
2. Die Systemwiederherstellung deaktivieren (Nur Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren
-
Ok... ich probiere es mal mit ersterem, da ich hier momentan in der Schule am computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) bin. Ich habe mir das Norman removaltool auf USB (http://www.computerhilfen.de/fachbegriffe-u-USB.html) Stick gezogen und schau, dass ich das hinkriege
-
Hat nichts funktioniert. Das Programm hat was anderes gefunden, aber nicht den Wurm, der momentan mein System lahmlegt....
Die Files /system32/slbipsch.pll und .exe und /system32/vb5dmpo.dll sind infiziert und müssen gelöscht werden. Antivir kann sie weder in Quarantäne verschieben noch Löschen, da sie ständig in Benutzung sind.
*brumm*
-
Hat nichts funktioniert. Das Programm hat was anderes gefunden, aber nicht den Wurm, der momentan mein System lahmlegt....
Was hat er gefunden ?
Für eine genaue Hilfe benötigen wir jede Informatioen die wir bekommen können!
OK,
die Malware ist zu Neu für das Tool von Norman,
sie wurde erst am 15.12. entdeckt.
http://www.symantec.com/security_response/writeup.jsp?docid=2006-121511-2140-99
Verwende das Programm Killbox um die folgenden Dateien zu löschen:
Download = http://www.bleepingcomputer.com/files/killbox.php
vb5dmpo.dll
slbipsch.pll
Achtung!
Vermutlich extestiert auch noch diese Datei:
C:\Windows\System32\slbipsch.exe
Sie muss ebenfalls gelöscht werden.
Unter Umständen befinden sogar noch weitere Dateien auf deinen PC die für Infektion verantwortlich sind.
Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html
Wie sieht es mit dem Tool von Trend aus ?
Führe auch einen HijackThis-Log zu Informationszwecken aus.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen und poste den Log.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip
Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
-
Hallo,
ich hatte gestern auch den Wurm stration.gen. Ich habe den PC im abgesicherten Modus gestartet und anschließend mit der Systemwiederherstellung (Start-Programme-Zubehör-Systemprogramme-Systemwiederherstellung) einen Wiederherstellungspunkt von einem Tag vorher wiederhergestellt. Voraussetzung ist natürlich, dass man Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP hat und die Systemwiederherstellung nicht deaktiviert hat. Anschließend startete der PC wieder normal und ich konnte mit AVIRA AntiVir alle betroffenen Dateien suchen und löschen. Es war keine Datei dabei, die wirklich zum Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) gehört, also: alle weg! Heute hat AntiVir nochmal welche im Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) System Volume Information gefunden, die ließen sich aber alle löschen. Viel Glück!
-
Hallo Sas,
Normen hat am 20.12. eine neue Version seines Removal Tools heraus gebracht,
dabei werden ca. 50 neue Varianten vom Worm “Stration“ erkannt und beseitigt.
Versuche es mal mit der neuen Version um die Malware zu beseitigen, ansonsten ist das erwähnt Tool von Trend eine gute Alternative.
-
Hallo!!!
Könnte den Kommentar von solarwind ohne zusätze unterschreiben.Hab mir den Wurm vorgestern eingefangen,dann im abg. Modus Systemwiederherstellung gemacht und Pc lief wieder.Gestern ist dann Anti Vir in genau den gleichen Dateien wie bei solarwind fündig geworden.Ließ sich aber alles löschen....Ich hoffe das die ganze SAche sich jetzt für mich erledigt hat!!!
-
Hier (http://www.icq-wurm.de.vu/) gibts eine gute Anleitung zum Entfernen des Wurms, hat bei mir auch geklappt. :)
-
Ich hab das gleich Problem, habe mir auch die Virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) eingefangen. Ich habe noch eine frage zu dem Norman Malware
Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) / Entferner.
Ich hab mir die Datei runtergeladen .. im abgesicherten Modus gestartet .. Programm ausgeführt und Scann durchlaufen laufenlassen. Hat auch gleich ein paar Viren entdeckt, nur weiß ich jetzt nicht wie ich diese entferne. Ist es möglich das ich mir erst eine Lizenz beschaffen muss um diese Funktion zu nutzen?
danke für die Tipps
-
Hallo JOJOD,
Normen sollte die Infektion automatisch bereinigt haben!
Auf dem Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) wurde eine Protokolldatei vom Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) abgelegt, poste diese bitte hier.
-
Hallo,
nach der Beseitigung des ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Wurm Stration.Gen habe ich nun festgestellt, dass die aktuell verfügbaren Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Updates zwar gesucht und gefunden sowie zu installieren versucht werden, die Installation aber nicht gelingt.
Nach der Initialisierung erscheint folgendes:
Installation wird initialisiert... Abgeschlossen!
Update für Office 2003 (KB907417) wird installiert (Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) 1 von 6)... Fehlgeschlagen!
Visio 2003 Service Pack 2 wird installiert (Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) 2 von 6)... Fehlgeschlagen!
OneNote 2003 Service Pack 2 wird installiert (Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) 3 von 6)...
usw....
Die beiden immer wieder in Foren genannten Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) Einträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
und
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
bestehen und bestanden bisher in meiner Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) nicht und das Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) hat bisher problemlos funktioniert. Eine Überprüfung auf 2 anderen Rechnern, die nicht vom Wurm befallen waren, hat die beiden Einträge ebenfalls nicht bestätigt. Es sollte also noch anderswo nach dem Fehler zu suchen sein, nur wo ?
Wäre super wenn Ihr mir da weiter helfen könnt und wie gesagt ging es bisher ohne die beiden Einträge.
Jürgen
-
Also bei mir steht fast das selbe drinn, also hat er anscheinend doch versucht zu säubern.
Ist ihm aber irgendwie nicht gelungen, dh es hat sich eigentlich nichts verändert. Virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) ist immernoch aufm rechner :/
Wenn ich den ein zweites mal durchlaufen lasse macht er genau das selbe wie beim ersten mal , das kann ja irgendwie nicht sein....
-
Also bei mir steht fast das selbe drinn, also hat er anscheinend doch versucht zu säubern.
Ist ihm aber irgendwie nicht gelungen, dh es hat sich eigentlich nichts verändert. Virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) ist immernoch aufm rechner :/
Wenn ich den ein zweites mal durchlaufen lasse macht er genau das selbe wie beim ersten mal , das kann ja irgendwie nicht sein....
Nein, das kann es nicht sein.
Normaler weiße arbeitet das Tool zuverlässig, nur leider hier nicht. Poste bitte trotzdem den Bericht Norman hier.
Wie sieht das Ergebnis mit der Alternative von Trend aus?
-
Manuelle Remove Anleitung für die Malware Stration, Alias Warezov.
Stand: 29.12.2006
Mit dem Tool “The Avenger“ können die Dateien und Einträge die für Infektion verantwortlich sind manuell gelöscht werden.
Eine gute Anleitung zum Tool und einen Downloadlink findet man hier:
http://virus-protect.org/artikel/tools/avenger.html
Der folgende Script muss komplett nach Avenger unter “View/edit script“ kopiert werden:
Files to delete:
%windir%\c6wsq6.reg
%windir%\cesm9q.reg
%windir%\eevmwk.reg
%windir%\ais32.exe
%windir%\cc1.exe
%windir%\cc2.exe
%windir%\cc3.exe
%windir%\cc4.exe
%windir%\cc5.exe
%windir%\chater.exe
%windir%\hv4e05.dll
%windir%\kheu93.dll
%windir%\md2icut9a2.dll
%windir%\msout.exe
%windir%\msupdtwiz.exe
%windir%\msupdtwiz.c
%windir%\msupdtwiz.s
%windir%\msupdtwiz.z
%windir%\msupdtwiz.dat
%windir%\semr8u8j8n.dll
%windir%\serrv.c
%windir%\serrv.exe
%windir%\serrv.wax
%windir%\serrv.dat
%windir%\serv.exe
%windir%\serv.wax
%windir%\smm126.exe
%windir%\sserrvv.exe
%windir%\sserrvv.wax
%windir%\sserrvv.c
%windir%\sserrvv.s
%windir%\sserrvv.z
%windir%\t2serv.dll
%windir%\t2serv.s
%windir%\t2serv.wax
%windir%\twain22.exe
%windir%\attcfg.tmp
%windir%\avistat.tmp
%windir%\concfg.tmp
%windir%\dbmdata.tmp
%windir%\egadata.tmp
%windir%\sc.tmp
%windir%\b6iqdkku.scf
%windir%\jw9ucgel.scf
%windir%\dqpdroc.ini
%windir%\brwmark.ini
%windir%\sc.xml1
%windir%\system32\actidmoc.exe
%windir%\system32\alerter.exe
%windir%\system32\atrconf.exe
%windir%\system32\attmgr32.dll
%windir%\system32\attprf32.dll
%windir%\system32\attstat.dll
%windir%\system32\audconf.exe
%windir%\system32\audmgr32.dll
%windir%\system32\audstat.dll
%windir%\system32\audprf32.dll
%windir%\system32\audperf.exe
%windir%\system32\brwconf.exe
%windir%\system32\brwmgr32.dll
%windir%\system32\brwperf.exe
%windir%\system32\brwprf32.dll
%windir%\system32\brwstat.dll
%windir%\system32\cfgd3d.dll
%windir%\system32\cfgmmprm.dll
%windir%\system32\confatt.dll
%windir%\system32\confaud.dll
%windir%\system32\confbrw.dll
%windir%\system32\confcon.dll
%windir%\system32\confega.dll
%windir%\system32\conmgr32.dll
%windir%\system32\conperf.exe
%windir%\system32\conprf32.dll
%windir%\system32\constat.dll
%windir%\system32\cp8xpqj.dll
%windir%\system32\cssewmpd
%windir%\system32\decconf.exe
%windir%\system32\dfssrasc.dll
%windir%\system32\dfssrasc.exe
%windir%\system32\diagisr.dll
%windir%\system32\diagd3d.dll
%windir%\system32\dmimmdt2.exe
%windir%\system32\dpugmswe.dll
%windir%\system32\dpvacdfv.dll
%windir%\system32\dssconf.exe
%windir%\system32\dxtmsft3.dll
%windir%\system32\e1.dll
%windir%\system32\egaavi.exe
%windir%\system32\egamgr32.dll
%windir%\system32\egastat.dll
%windir%\system32\egperf32.dll
%windir%\system32\evenncob.dll
%windir%\system32\fsxsh4.dll
%windir%\system32\gtmqf608r7.dll
%windir%\system32\hypewmv9.exe
%windir%\system32\ipsecmon.exe
%windir%\system32\ipsmwebh.exe
%windir%\system32\ipxpextm.exe
%windir%\system32\ipxwshel.exe
%windir%\system32\iuennwcf.dll
%windir%\system32\ixsswmas.exe
%windir%\system32\j2t3crh.dll
%windir%\system32\jgdwadsn.dll
%windir%\system32\jgdwadsn.exe
%windir%\system32\kbdfwshe.exe
%windir%\system32\lprmneth.dll
%windir%\system32\lprmneth.exe
%windir%\system32\mcd3mscm.dll
%windir%\system32\ml7swr.exe
%windir%\system32\mp4sglmf.dll
%windir%\system32\mqadscp3.exe
%windir%\system32\msihftpw.dll
%windir%\system32\msisnwcf.dll
%windir%\system32\msrdtscf.exe
%windir%\system32\mstsodbc.exe
%windir%\system32\narrwshr.dll
%windir%\system32\netfrtm.dll
%windir%\system32\offfmsre.dll
%windir%\system32\psapdani.dll
%windir%\system32\psbaavic.dll
%windir%\system32\psbamtxe.dll
%windir%\system32\regaufat.dll
%windir%\system32\rdpwmsjt.exe
%windir%\system32\rtutdmin.dll
%windir%\system32\samsusrr.dll
%windir%\system32\samsusrr.exe
%windir%\system32\scsm.exe
%windir%\system32\shsvmdim.dll
%windir%\system32\slbipsch.dll
%windir%\system32\slbipsch.exe
%windir%\system32\snmpmmcn.dll
%windir%\system32\statd3d.dll
%windir%\system32\sysshtic.dll
%windir%\system32\sysshtic.exe
%windir%\system32\trkwpipa.exe
%windir%\system32\tscfvjoy.dll
%windir%\system32\ujn6oqt.dll
%windir%\system32\ulibofff.exe
%windir%\system32\uregdeve.dll
%windir%\system32\uregdeve.exe
%windir%\system32\vb5dmspo.dll
%windir%\system32\vbscqdv.exe
%windir%\system32\vdshlicw.exe
%windir%\system32\vmhevnet.dll
%windir%\system32\vmhevnet.exe
%windir%\system32\w3sskbda.dll
%windir%\system32\winbpowr.exe
%windir%\system32\wmnecomc.dll
%windir%\system32\wmpcskdl.dll
%windir%\system32\wshtlprh.dll
%windir%\system32\wupstlnt.dll
%windir%\system32\xactcomr.exe
%windir%\system32\yapconf.exe
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\attmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\audmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\brwmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\conmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\decstat
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dfssrasc
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dssmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jgdwadsn
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lprmneth
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psbamtxe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\samsusrr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysshtic
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\uregdeve
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmhevnet
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|audiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brwdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|chater.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ciodiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|davctool
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|egdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ipxwshel
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mqadscp3
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|msupdtwiz
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|serv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sserrvv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|t2serv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ulibofff
###Ende### (Nicht mit kopieren nach Avenger !)
Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner F-Secure vorgenommen werden.
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) sind in Englisch)
Wähle dabei die Option “Vollständiger Systemscan“
-
Aktuelles Script was komplett nach Avenger unter “View/edit script“ kopiert werden muss:
Files to delete:
%windir%\c6wsq6.reg
%windir%\cesm9q.reg
%windir%\eevmwk.reg
%windir%\ais32.exe
%windir%\cc1.exe
%windir%\cc2.exe
%windir%\cc3.exe
%windir%\cc4.exe
%windir%\cc5.exe
%windir%\chater.exe
%windir%\hv4e05.dll
%windir%\kheu93.dll
%windir%\md2icut9a2.dll
%windir%\msout.exe
%windir%\msupdtwiz.exe
%windir%\msupdtwiz.c
%windir%\msupdtwiz.s
%windir%\msupdtwiz.z
%windir%\msupdtwiz.dat
%windir%\semr8u8j8n.dll
%windir%\serrv.c
%windir%\serrv.exe
%windir%\serrv.wax
%windir%\serrv.dat
%windir%\serv.exe
%windir%\serv.wax
%windir%\smm126.exe
%windir%\sserrvv.exe
%windir%\sserrvv.wax
%windir%\sserrvv.c
%windir%\sserrvv.s
%windir%\sserrvv.z
%windir%\t2serv.dll
%windir%\t2serv.s
%windir%\t2serv.wax
%windir%\twain22.exe
%windir%\attcfg.tmp
%windir%\avistat.tmp
%windir%\concfg.tmp
%windir%\dbmdata.tmp
%windir%\egadata.tmp
%windir%\sc.tmp
%windir%\b6iqdkku.scf
%windir%\jw9ucgel.scf
%windir%\dqpdroc.ini
%windir%\brwmark.ini
%windir%\sc.xml1
%Windir%\wupd32.s
%Windir%\wupd32.z
%Windir%\wupd32.dat
%Windir%\wupd32.exe
%Windir%\wupd32.wax
%windir%\system32\actidmoc.exe
%windir%\system32\alerter.exe
%windir%\system32\atrconf.exe
%windir%\system32\attmgr32.dll
%windir%\system32\attprf32.dll
%windir%\system32\attstat.dll
%windir%\system32\audconf.exe
%windir%\system32\audmgr32.dll
%windir%\system32\audstat.dll
%windir%\system32\audprf32.dll
%windir%\system32\audperf.exe
%windir%\system32\brwconf.exe
%windir%\system32\brwmgr32.dll
%windir%\system32\brwperf.exe
%windir%\system32\brwprf32.dll
%windir%\system32\brwstat.dll
%windir%\system32\cfgd3d.dll
%windir%\system32\cfgmmprm.dll
%windir%\system32\confatt.dll
%windir%\system32\confaud.dll
%windir%\system32\confbrw.dll
%windir%\system32\confcon.dll
%windir%\system32\confega.dll
%windir%\system32\conmgr32.dll
%windir%\system32\conperf.exe
%windir%\system32\conprf32.dll
%windir%\system32\constat.dll
%windir%\system32\cp8xpqj.dll
%windir%\system32\cssewmpd
%windir%\system32\decconf.exe
%windir%\system32\dfssrasc.dll
%windir%\system32\dfssrasc.exe
%windir%\system32\diagisr.dll
%windir%\system32\diagd3d.dll
%windir%\system32\dmimmdt2.exe
%windir%\system32\dpugmswe.dll
%windir%\system32\dpvacdfv.dll
%windir%\system32\dssconf.exe
%windir%\system32\dxtmsft3.dll
%windir%\system32\e1.dll
%windir%\system32\egaavi.exe
%windir%\system32\egamgr32.dll
%windir%\system32\egastat.dll
%windir%\system32\egperf32.dll
%windir%\system32\evenncob.dll
%windir%\system32\fsxsh4.dll
%windir%\system32\gtmqf608r7.dll
%windir%\system32\hypewmv9.exe
%windir%\system32\ipsecmon.exe
%windir%\system32\ipsmwebh.exe
%windir%\system32\ipxpextm.exe
%windir%\system32\ipxwshel.exe
%windir%\system32\iuennwcf.dll
%windir%\system32\ixsswmas.exe
%windir%\system32\j2t3crh.dll
%windir%\system32\jgdwadsn.dll
%windir%\system32\jgdwadsn.exe
%windir%\system32\kbdfwshe.exe
%windir%\system32\lprmneth.dll
%windir%\system32\lprmneth.exe
%windir%\system32\mcd3mscm.dll
%windir%\system32\ml7swr.exe
%windir%\system32\mp4sglmf.dll
%windir%\system32\mqadscp3.exe
%windir%\system32\msihftpw.dll
%windir%\system32\msisnwcf.dll
%windir%\system32\mspradme.exe
%windir%\system32\msrdtscf.exe
%windir%\system32\mstsodbc.exe
%windir%\system32\narrwshr.dll
%windir%\system32\netfrtm.dll
%windir%\system32\offfmsre.dll
%windir%\system32\psapdani.dll
%windir%\system32\psbaavic.dll
%windir%\system32\psbamtxe.dll
%windir%\system32\regaufat.dll
%windir%\system32\rdpwmsjt.exe
%windir%\system32\rtutdmin.dll
%windir%\system32\samsusrr.dll
%windir%\system32\samsusrr.exe
%windir%\system32\scsm.exe
%windir%\system32\shsvmdim.dll
%windir%\system32\slbipsch.dll
%windir%\system32\slbipsch.exe
%windir%\system32\snmpmmcn.dll
%windir%\system32\statd3d.dll
%windir%\system32\sysshtic.dll
%windir%\system32\sysshtic.exe
%windir%\system32\trkwpipa.exe
%windir%\system32\tscfvjoy.dll
%windir%\system32\ujn6oqt.dll
%windir%\system32\ulibofff.exe
%windir%\system32\uregdeve.dll
%windir%\system32\uregdeve.exe
%windir%\system32\vb5dmspo.dll
%windir%\system32\vbscqdv.exe
%windir%\system32\vdshlicw.exe
%windir%\system32\vmhevnet.dll
%windir%\system32\vmhevnet.exe
%windir%\system32\w3sskbda.dll
%windir%\system32\winbpowr.exe
%windir%\system32\wmnecomc.dll
%windir%\system32\wmpcskdl.dll
%windir%\system32\wshtlprh.dll
%windir%\system32\wupstlnt.dll
%windir%\system32\xactcomr.exe
%windir%\system32\yapconf.exe
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\attmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\audmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\brwmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\conmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\decstat
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dfssrasc
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dssmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jgdwadsn
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lprmneth
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psbamtxe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\samsusrr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysshtic
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\uregdeve
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmhevnet
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|audiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brwdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|chater.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ciodiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|davctool
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|egdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ipxwshel
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mqadscp3
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|msupdtwiz
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|serv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sserrvv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|t2serv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ulibofff
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|wupd32
-
Also das hier ist mein Log :
Norman Generic Fix
Copyright © 1990 - 2006, Norman ASA. Built 2006/12/20 06:40:47
Norman Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) Engine Version: 5.90.28
Nvcbin.def Version: 5.90.00, Date: 2006/12/20 06:40:47, Variants: 168190
Nvcmacro.def Version: 5.90.00, Date: 2006/05/30 15:17:46, Variants: 12
Running pre-scan cleanup routine:
Operating System: Microsoft Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP Professional 5.1.2600(Safe mode)
Logged on user: JACKY\Jo
Scan started: 24/12/2006 11:51:02
Scanning running processes and process memory...
Number of processes/threads found: 412
Number of processes/threads scanned: 412
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 0 minutes 07 seconds
Scanning file system...
C:\*.*
D:\*.*
D:\Games\Q3A\paintball\q3pbpak0.pk3/liquids/liquids/pool3d_5c.jpg (Error whilst scanning file)
D:\Games\Wolfenstein - Enemy Territory\etmain\fun_beach_final.pk3.tmp/sound/vo/fun_beach2/defend.wav (Error whilst scanning file)
D:\Games\Wolfenstein - Enemy Territory\etpro\watermark-monsterserver.pk3.tmp/watermark/monsterserver/ms.tga (Error whilst scanning file)
E:\*.*
F:\*.*
Running post-scan cleanup routine:
Number of files found: 152609
Number of archives unpacked: 1165
Number of files scanned: 152584
Number of files not scanned: 25
Number of files skipped due to exclude list: 6
Number of infections found: 0
Number of infected files repaired/deleted: 0
Total scanning time: 75 minutes 03 seconds
----------------------
Ich werde jetzt noch mal den Avenger teste, mal schauen ob ich damit mehr Erfolg habe...
-
Ich habe es mit dem Avenger schon oft probiert... klappt jedoch nicht!
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Fatal error: could not create new script file.
Error code: 1813
Error logged to errorlog.txt. Aborting now!
-
Hallo JOJOD,
laut dem Log vom Normen hast du keine Malwareinfektion mit ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Wurm Stration.Gen!
Zur Kontrolle kannst noch eine Überprüfung mit dem kostenlosen Online-Scanner von
F-Secure vornehmen. Er liefert für eine zweite Meinung gute Dienste:
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) sind in Englisch)
Wähle die Option “Vollständiger Systemscan“
-
Aktuelles Script zum Beitrag
http://www.computerhilfen.de/hilfen-5-143002-0.html#695955
was komplett nach Avenger unter “View/edit script“ kopiert werden muss:
Files to delete:
%windir%\\ais32.exe
%windir%\\attcfg.tmp
%windir%\\avistat.tmp
%windir%\\b6iqdkku.scf
%windir%\\brwmark.ini
%windir%\\c6wsq6.reg
%windir%\\cc1.exe
%windir%\\cc2.exe
%windir%\\cc3.exe
%windir%\\cc4.exe
%windir%\\cc5.exe
%windir%\\cesm9q.reg
%windir%\\chater.exe
%windir%\\concfg.tmp
%windir%\\cserv32.dat
%windir%\\cserv32.exe
%windir%\\cserv32.s
%windir%\\cserv32.wax
%windir%\\cservv32.dat
%windir%\\cservv32.wax
%windir%\\dbmdata.tmp
%windir%\\dqpdroc.ini
%windir%\\eevmwk.reg
%windir%\\egadata.tmp
%windir%\\hv4e05.dll
%windir%\\jw9ucgel.scf
%windir%\\kheu93.dll
%windir%\\md2icut9a2.dll
%windir%\\mdistat.tsv
%windir%\\msout.exe
%windir%\\msserrv32.dat
%windir%\\msserv.dat
%windir%\\msupdtwiz.c
%windir%\\msupdtwiz.dat
%windir%\\msupdtwiz.exe
%windir%\\msupdtwiz.s
%windir%\\msupdtwiz.z
%windir%\\mswiiz32.dat
%windir%\\mswiizz32.dat
%windir%\\mswiizz32.exe
%windir%\\sc.tmp
%windir%\\sc.xml1
%windir%\\semr8u8j8n.dll
%windir%\\serrv.c
%windir%\\serrv.dat
%windir%\\serrv.exe
%windir%\\serrv.s
%windir%\\serrv.wax
%windir%\\serv.exe
%windir%\\serv.wax
%windir%\\smm126.exe
%windir%\\sserrvv.c
%windir%\\sserrvv.exe
%windir%\\sserrvv.s
%windir%\\sserrvv.wax
%windir%\\sserrvv.z
%windir%\\t2serv.dll
%windir%\\t2serv.exe
%windir%\\t2serv.s
%windir%\\t2serv.wax
%windir%\\TSERV.DLL
%windir%\\TSERV.EXE
%windir%\\TSERV.S
%windir%\\TSERV.WAX
%windir%\\twain22.exe
%windir%\\wavstat.xml
%windir%\\wupd32.dat
%windir%\\wupd32.exe
%windir%\\wupd32.s
%windir%\\wupd32.wax
%windir%\\wupd32.z
%windir%\\system32\\actidmoc.exe
%windir%\\system32\\alerter.exe
%windir%\\system32\\atrconf.exe
%windir%\\system32\\attmgr32.dll
%windir%\\system32\\attprf32.dll
%windir%\\system32\\attstat.dll
%windir%\\system32\\audconf.exe
%windir%\\system32\\audmgr32.dll
%windir%\\system32\\audperf.exe
%windir%\\system32\\audprf32.dll
%windir%\\system32\\audstat.dll
%windir%\\system32\\brwconf.exe
%windir%\\system32\\brwmgr32.dll
%windir%\\system32\\brwperf.exe
%windir%\\system32\\brwprf32.dll
%windir%\\system32\\brwstat.dll
%windir%\\system32\\cdoskbdu.dll
%windir%\\system32\\cfgd3d.dll
%windir%\\system32\\cfgmmprm.dll
%windir%\\system32\\CMUT449C14B7.DLL
%windir%\\system32\\confatt.dll
%windir%\\system32\\confaud.dll
%windir%\\system32\\confbrw.dll
%windir%\\system32\\confcon.dll
%windir%\\system32\\confega.dll
%windir%\\system32\\conmgr32.dll
%windir%\\system32\\conperf.exe
%windir%\\system32\\conprf32.dll
%windir%\\system32\\constat.dll
%windir%\\system32\\cp8xpqj.dll
%windir%\\system32\\cssewmpd.exe
%windir%\\system32\\decconf.exe
%windir%\\system32\\dfssrasc.dll
%windir%\\system32\\dfssrasc.exe
%windir%\\system32\\diagd3d.dll
%windir%\\system32\\diagisr.dll
%windir%\\system32\\diagndis.dll
%windir%\\system32\\dmimmdt2.exe
%windir%\\system32\\dpugmswe.dll
%windir%\\system32\\dpvacdfv.dll
%windir%\\system32\\dssconf.exe
%windir%\\system32\\dxtmsft3.dll
%windir%\\system32\\e1.dll
%windir%\\system32\\egaavi.exe
%windir%\\system32\\egamgr32.dll
%windir%\\system32\\egastat.dll
%windir%\\system32\\egperf32.dll
%windir%\\system32\\evenncob.dll
%windir%\\system32\\feclipna.dll
%windir%\\system32\\feclipna.exe
%windir%\\system32\\fsusvcde.exe
%windir%\\system32\\fsxsh4.dll
%windir%\\system32\\gtmqf608r7.dll
%windir%\\system32\\HPZL449C14B7.EXE
%windir%\\system32\\hypewmv9.exe
%windir%\\system32\\icaacsrs.dll
%windir%\\system32\\ipsecmon.exe
%windir%\\system32\\ipsmwebh.exe
%windir%\\system32\\ipxpextm.exe
%windir%\\system32\\ipxwshel.exe
%windir%\\system32\\iuennwcf.dll
%windir%\\system32\\ixsswmas.exe
%windir%\\system32\\j2t3crh.dll
%windir%\\system32\\jgdwadsn.dll
%windir%\\system32\\jgdwadsn.exe
%windir%\\system32\\kbdfwshe.exe
%windir%\\system32\\llllllllll.exe
%windir%\\system32\\lprmneth.dll
%windir%\\system32\\lprmneth.exe
%windir%\\system32\\mcd3mscm.dll
%windir%\\system32\\ml7swr.exe
%windir%\\system32\\mp4sglmf.dll
%windir%\\system32\\mqadscp3.exe
%windir%\\system32\\mqoacdmo.dll
%windir%\\system32\\msihftpw.dll
%windir%\\system32\\msisnwcf.dll
%windir%\\system32\\MSJI449C14B7.DLL
%windir%\\system32\\mspradme.exe
%windir%\\system32\\msrdtscf.exe
%windir%\\system32\\mstle100.dll
%windir%\\system32\\mstsodbc.exe
%windir%\\system32\\narrwshr.dll
%windir%\\system32\\ndisconf.exe
%windir%\\system32\\netfrtm.dll
%windir%\\system32\\offfmsre.dll
%windir%\\system32\\p2psmsih.dll
%windir%\\system32\\psapdani.dll
%windir%\\system32\\psbaavic.dll
%windir%\\system32\\psbamtxe.dll
%windir%\\system32\\qdvtscf.dll
%windir%\\system32\\racpwow3.exe
%windir%\\system32\\ratendis.dll
%windir%\\system32\\rdpwmsjt.exe
%windir%\\system32\\regaufat.dll
%windir%\\system32\\rsmpmsim.exe
%windir%\\system32\\rtutdmin.dll
%windir%\\system32\\samsusrr.dll
%windir%\\system32\\samsusrr.exe
%windir%\\system32\\scsm.exe
%windir%\\system32\\shsvmdim.dll
%windir%\\system32\\slbipsch.dll
%windir%\\system32\\slbipsch.exe
%windir%\\system32\\snmpmmcn.dll
%windir%\\system32\\snmpmssw.exe
%windir%\\system32\\statd3d.dll
%windir%\\system32\\sysshtic.dll
%windir%\\system32\\sysshtic.exe
%windir%\\system32\\trkwpipa.exe
%windir%\\system32\\tscfvjoy.dll
%windir%\\system32\\TSERV.S
%windir%\\system32\\ujn6oqt.dll
%windir%\\system32\\ulibofff.exe
%windir%\\system32\\uregdeve.dll
%windir%\\system32\\uregdeve.exe
%windir%\\system32\\vb5dmspo.dll
%windir%\\system32\\vbscqdv.exe
%windir%\\system32\\vdshlicw.exe
%windir%\\system32\\vmhevnet.dll
%windir%\\system32\\vmhevnet.exe
%windir%\\system32\\w3sskbda.dll
%windir%\\system32\\winbpowr.exe
%windir%\\system32\\wmnecomc.dll
%windir%\\system32\\wmpcskdl.dll
%windir%\\system32\\wshtlprh.dll
%windir%\\system32\\wupstlnt.dll
%windir%\\system32\\xactcomr.exe
%windir%\\system32\\yapconf.exe
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) values to replace with dummy:
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows|AppInit_DLLs
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) keys to delete:
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\attmgr
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\audmgr
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\brwmgr
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\conmgr
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\decstat
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\dfssrasc
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\dssmgr
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\feclipna
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\jgdwadsn
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\lprmneth
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\psbamtxe
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\samsusrr
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\slbipsch
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\sysshtic
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\uregdeve
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\vmhevnet
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) values to delete:
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|audiag
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|brwdiag
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|chater.exe
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|ciodiag
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|cserv32
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|cservv32
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|davctool
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|egdiag
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|ipxwshel
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|mqadscp3
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|msserrv32
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|msserv
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|msupdtwiz
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|mswiiz32
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|mswiizz32
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|serrv
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|serv
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|sserrvv
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|t2serv
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|tserv
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|ulibofff
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|Wave
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run|wupd32
-
Teil 1:
Aktuelles Script; Stand 06.01.2007, zum Beitrag
http://www.computerhilfen.de/hilfen-5-143002-0.html#695955
was komplett nach Avenger unter “View/edit script“ kopiert werden muss.
Aufgrund der Größe des Scripts erfolgt dieser Post (http://www.computerhilfen.de/fachbegriffe-p-POST.html) über zwei Beiträge:
Beachtet, dass der vollständige Script nach Avenger kopiert wird !
###Anfang### (Nicht mitkopieren nach Avenger !)
Files to delete:
%windir%\\ais32.exe
%windir%\\attcfg.tmp
%windir%\\avistat.tmp
%windir%\\b6iqdkku.scf
%windir%\\brwmark.ini
%windir%\\c6wsq6.reg
%windir%\\CCSSERV.EXE
%windir%\\CCSSERV.S
%windir%\\CCSSERV.WAX
%windir%\\cc1.exe
%windir%\\cc2.exe
%windir%\\cc3.exe
%windir%\\cc4.exe
%windir%\\cc5.exe
%windir%\\cesm9q.reg
%windir%\\chater.exe
%windir%\\concfg.tmp
%windir%\\cserv32.dat
%windir%\\cserv32.exe
%windir%\\cserv32.s
%windir%\\cserv32.wax
%windir%\\cserv32.z
%windir%\\cservv32.dat
%windir%\\cservv32.exe
%windir%\\cservv32.wax
%windir%\\dbmdata.tmp
%windir%\\dqpdroc.ini
%windir%\\eevmwk.reg
%windir%\\egadata.tmp
%windir%\\hv4e05.dll
%windir%\\jw9ucgel.scf
%windir%\\kheu93.dll
%windir%\\md2icut9a2.dll
%windir%\\mdistat.tsv
%windir%\\msout.exe
%windir%\\msserrv32.dat
%windir%\\msserrv32.exe
%windir%\\msserv.dat
%windir%\\msupdtwiz.c
%windir%\\msupdtwiz.dat
%windir%\\msupdtwiz.exe
%windir%\\msupdtwiz.s
%windir%\\msupdtwiz.z
%windir%\\mswiiz32.dat
%windir%\\mswiizz32.dat
%windir%\\mswiizz32.exe
%windir%\\mswiz32.c
%windir%\\mswiz32.s
%windir%\\mswiz32.z
%windir%\\mswiz32.dat
%windir%\\mswiz32.exe
%windir%\\mswiz32.wax
%windir%\\rsmb.dll
%windir%\\rsmb.exe
%windir%\\rsmb.gfx
%windir%\\rsmb.wax
%windir%\\rsmb32.z
%windir%\\rsmb32.dll
%windir%\\rsmb32.gfx
%windir%\\rsmb32.exe
%windir%\\rsmb32.wax
%windir%\\rsmbx.z
%windir%\\rsmbx.dll
%windir%\\rsmbx.exe
%windir%\\rsmbx.gfx
%windir%\\rsmbx.wax
%windir%\\sc.tmp
%windir%\\sc.xml1
%windir%\\semr8u8j8n.dll
%windir%\\serrv.c
%windir%\\serrv.dat
%windir%\\serrv.exe
%windir%\\serrv.s
%windir%\\serrv.wax
%windir%\\serv.exe
%windir%\\serv.wax
%windir%\\svchost32.exe
%windir%\\svchost32.xml
%windir%\\smm126.exe
%windir%\\sserrvv.c
%windir%\\sserrvv.exe
%windir%\\sserrvv.s
%windir%\\sserrvv.wax
%windir%\\sserrvv.z
%windir%\\t2serv.dll
%windir%\\t2serv.exe
%windir%\\t2serv.s
%windir%\\t2serv.wax
%windir%\\tserv.dll
%windir%\\tserv.exe
%windir%\\tserv.s
%windir%\\tserv.wax
%windir%\\twain22.exe
%windir%\\wavstat.xml
%windir%\\wqpd32.dat
%windir%\\wqpd32.exe
%windir%\\wqpd32.c
%windir%\\wqpd32.s
%windir%\\wqpd32.wax
%windir%\\wqpd32.z
%windir%\\wupd32.dat
%windir%\\wupd32.exe
%windir%\\wupd32.s
%windir%\\wupd32.wax
%windir%\\wupd32.z
%windir%\\system32\\acac.dll
%windir%\\system32\\aclekern.dll
%windir%\\system32\\actidmoc.exe
%windir%\\system32\\actxippr.dll
%windir%\\system32\\alerter.exe
%windir%\\system32\\atrconf.exe
%windir%\\system32\\attmgr32.dll
%windir%\\system32\\attprf32.dll
%windir%\\system32\\attstat.dll
%windir%\\system32\\audconf.exe
%windir%\\system32\\audmgr32.dll
%windir%\\system32\\audperf.exe
%windir%\\system32\\audprf32.dll
%windir%\\system32\\audstat.dll
%windir%\\system32\\avifipxr.dll
%windir%\\system32\\brwconf.exe
%windir%\\system32\\brwmgr32.dll
%windir%\\system32\\brwperf.exe
%windir%\\system32\\brwprf32.dll
%windir%\\system32\\brwstat.dll
%windir%\\system32\\cdoskbdu.dll
%windir%\\system32\\cfgd3d.dll
%windir%\\system32\\cfgmmprm.dll
%windir%\\system32\\clicsaml.exe
%windir%\\system32\\CLICSAML.dll
%windir%\\system32\\cmut449c14b7.dll
%windir%\\system32\\comrkbdd.exe
%windir%\\system32\\confatt.dll
%windir%\\system32\\confaud.dll
%windir%\\system32\\confbrw.dll
%windir%\\system32\\confcon.dll
%windir%\\system32\\confega.dll
%windir%\\system32\\conmgr32.dll
%windir%\\system32\\conperf.exe
%windir%\\system32\\conprf32.dll
%windir%\\system32\\constat.dll
%windir%\\system32\\corpdpvv.exe
%windir%\\system32\\cp8xpqj.dll
%windir%\\system32\\cscdgcde.dll
%windir%\\system32\\cssewmpd
%windir%\\system32\\cssewmpd.exe
%windir%\\system32\\DAVCTOOL.DLL
%windir%\\system32\\DAVCTOOL.EXE
%windir%\\system32\\decconf.exe
%windir%\\system32\\dfssrasc.dll
%windir%\\system32\\dfssrasc.exe
%windir%\\system32\\diagd3d.dll
%windir%\\system32\\diagisr.dll
%windir%\\system32\\diagndis.dll
%windir%\\system32\\dmimmdt2.exe
%windir%\\system32\\dmstphot.exe
%windir%\\system32\\dpugmswe.dll
%windir%\\system32\\dpvacdfv.dll
%windir%\\system32\\dssconf.exe
%windir%\\system32\\dxtmsft3.dll
%windir%\\system32\\d3diusp1.dll
%windir%\\system32\\e1.dll
%windir%\\system32\\egaavi.exe
%windir%\\system32\\egamgr32.dll
%windir%\\system32\\egastat.dll
%windir%\\system32\\egperf32.dll
%windir%\\system32\\esenmqtr.dll
%windir%\\system32\\esenprfl.dll
%windir%\\system32\\evenncob.dll
%windir%\\system32\\feclipna.dll
%windir%\\system32\\feclipna.exe
%windir%\\system32\\fldrtsd3.dll
%windir%\\system32\\fsusvcde.exe
%windir%\\system32\\fsxsh4.dll
%windir%\\system32\\gtmqf608r7.dll
%windir%\\system32\\hhselz32.dll
%windir%\\system32\\hpzl449c14b7.exe
%windir%\\system32\\hypewmv9.exe
%windir%\\system32\\icaacsrs.dll
%windir%\\system32\\icmpdx3j.dll
%windir%\\system32\\IMESRDCH.EXE
%windir%\\system32\\IPNARDCH.DLL
%windir%\\system32\\ipsecmon.exe
%windir%\\system32\\ipsmwebh.exe
%windir%\\system32\\ipxpextm.exe
%windir%\\system32\\ipxwshel.exe
%windir%\\system32\\iuennwcf.dll
%windir%\\system32\\ixsswmas.exe
%windir%\\system32\\j2t3crh.dll
%windir%\\system32\\jgdwadsn.dll
%windir%\\system32\\jgdwadsn.exe
%windir%\\system32\\JGSDRPCN.EXE
%windir%\\system32\\JGSDRPCN.DLL
%windir%\\system32\\kbdfwshe.exe
%windir%\\system32\\kbdpkbdr.exe
%windir%\\system32\\lsaswdmi.dll
%windir%\\system32\\llllllllll.exe
%windir%\\system32\\lprmneth.dll
%windir%\\system32\\lprmneth.exe
%windir%\\system32\\mcd3mscm.dll
%windir%\\system32\\ml7swr.exe
%windir%\\system32\\mp4sglmf.dll
%windir%\\system32\\mqadscp3.exe
%windir%\\system32\\mqoacdmo.dll
%windir%\\system32\\mrhomghxqe.exe
%windir%\\system32\\MSEXCRED.EXE
%windir%\\system32\\mslsicwd.dll
%windir%\\system32\\msihftpw.dll
%windir%\\system32\\msisnwcf.dll
%windir%\\system32\\msji449c14b7.dll
%windir%\\system32\\mspradme.exe
%windir%\\system32\\MSNEPNGF.EXE
%windir%\\system32\\MSNSXOLE.DLL
%windir%\\system32\\MSNSXOLE.EXE
%windir%\\system32\\msrdtscf.exe
%windir%\\system32\\mstle100.dll
%windir%\\system32\\mstsodbc.exe
%windir%\\system32\\mtxlcomm.dll
%windir%\\system32\\narrwshr.dll
%windir%\\system32\\ndisconf.exe
%windir%\\system32\\netfrtm.dll
%windir%\\system32\\offfmsre.dll
%windir%\\system32\\p2psmsih.dll
%windir%\\system32\\psapdani.dll
%windir%\\system32\\psbaavic.dll
%windir%\\system32\\psbamtxe.dll
%windir%\\system32\\qdvtscf.dll
%windir%\\system32\\racpwow3.exe
%windir%\\system32\\ratendis.dll
%windir%\\system32\\rdpwmsjt.exe
%windir%\\system32\\regaufat.dll
%windir%\\system32\\rsmpmsim.exe
%windir%\\system32\\rtutdmin.dll
-
Teil 2:(Diese Zeile nicht mitkopieren nach Avenger !)
%windir%\system32\samsusrr.dll
%windir%\system32\samsusrr.exe
%windir%\system32\SCP3JGAW.DLL
%windir%\system32\scsm.exe
%windir%\system32\shsvmdim.dll
%windir%\system32\slbcslay.exe
%windir%\system32\slbipsch.dll
%windir%\system32\slbipsch.exe
%windir%\system32\slbrmqtr.exe
%windir%\system32\sisbmsxb.dll
%windir%\system32\snmpmmcn.dll
%windir%\system32\snmpmssw.exe
%windir%\system32\statd3d.dll
%windir%\system32\sysshtic.dll
%windir%\system32\sysshtic.exe
%windir%\system32\trkwpipa.exe
%windir%\system32\tscfvjoy.dll
%windir%\system32\tserv.s
%windir%\system32\ujn6oqt.dll
%windir%\system32\ulibofff.exe
%windir%\system32\uregdeve.dll
%windir%\system32\uregdeve.exe
%windir%\system32\vb5dmspo.dll
%windir%\system32\vbscqdv.exe
%windir%\system32\vdshlicw.exe
%windir%\system32\vmhevnet.dll
%windir%\system32\vmhevnet.exe
%windir%\system32\VNETSMME.DLL
%windir%\system32\w3sskbda.dll
%windir%\system32\winbpowr.exe
%windir%\system32\winftsap.dll
%windir%\system32\winftsap.exe
%windir%\system32\wmnecomc.dll
%windir%\system32\wmpcskdl.dll
%windir%\system32\wshnseri.exe
%windir%\system32\wshtlprh.dll
%windir%\system32\wupstlnt.dll
%windir%\system32\xactcomr.exe
%windir%\system32\yapconf.exe
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acac
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\attmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\audmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\brwmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\conmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\davctool
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\decstat
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dfssrasc
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dssmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\feclipna
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jgdwadsn
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jgsdrpcn
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lprmneth
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ msnsxole
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psbamtxe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\samsusrr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\slbipsch
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysshtic
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\uregdeve
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winftsap
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmhevnet
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|audiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brwdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ccsserv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|chater.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ciodiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cserv32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cservv32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|davctool
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dmstphot
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|egdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ipxwshel
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mqadscp3
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mspradme
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|msserrv32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|msserv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|msupdtwiz
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mswiiz32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mswiizz32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mswiz32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|rsmb
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|rsmbx
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|rsmb32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|serrv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|serv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|serrv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|slbrmqtr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sserrvv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|t2serv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|tserv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ulibofff
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Wave
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|wqpd32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|wupd32
###Ende### (Diese Zeile nicht mitkopieren !)
-
Teil 1:
Aktuelles Script; Stand 18.01.2007, zum Beitrag
http://www.computerhilfen.de/hilfen-5-143002-0.html#695955
Ergänzt um die Einträge der neuen Varianten die sich seit dem 14. bzw. 18. Januar stark verbreiten.
Aufgrund der Größe des Scripts erfolgt dieser Post (http://www.computerhilfen.de/fachbegriffe-p-POST.html) über zwei Beiträge:
Beachtet, dass der vollständige Script nach Avenger kopiert wird !:
###Anfang### (Diese Zeile nicht mitkopieren nach Avenger !)
Files to delete:
%windir%\\ais32.exe
%windir%\\attcfg.tmp
%windir%\\avistat.tmp
%windir%\\b6iqdkku.scf
%windir%\\brwmark.ini
%windir%\\c6wsq6.reg
%windir%\\CCSSERV.EXE
%windir%\\CCSSERV.S
%windir%\\CCSSERV.WAX
%windir%\\cc1.exe
%windir%\\cc2.exe
%windir%\\cc3.exe
%windir%\\cc4.exe
%windir%\\cc5.exe
%windir%\\cesm9q.reg
%windir%\\chater.exe
%windir%\\cknxj2wno.log
%windir%\\concfg.tmp
%windir%\\cserv32.dat
%windir%\\cserv32.exe
%windir%\\cserv32.s
%windir%\\cserv32.wax
%windir%\\cserv32.z
%windir%\\cservv32.dat
%windir%\\cservv32.exe
%windir%\\cservv32.wax
%windir%\\dbmdata.tmp
%windir%\\dqpdroc.ini
%windir%\\eevmwk.reg
%windir%\\egadata.tmp
%windir%\\ftg71cj1qx.dat
%windir%\\hv4e05.dll
%windir%\\jw9ucgel.scf
%windir%\\kheu93.dll
%windir%\\md2icut9a2.dll
%windir%\\mdistat.tsv
%windir%\\msout.exe
%windir%\\msserrv32.dat
%windir%\\msserrv32.exe
%windir%\\msserv.dat
%windir%\\msupdtwiz.c
%windir%\\msupdtwiz.dat
%windir%\\msupdtwiz.exe
%windir%\\msupdtwiz.s
%windir%\\msupdtwiz.z
%windir%\\mswiiz32.dat
%windir%\\mswiizz32.dat
%windir%\\mswiizz32.exe
%windir%\\mswiz32.c
%windir%\\mswiz32.s
%windir%\\mswiz32.z
%windir%\\mswiz32.dat
%windir%\\mswiz32.exe
%windir%\\mswiz32.wax
%windir%\\rsmb.dll
%windir%\\rsmb.exe
%windir%\\rsmb.gfx
%windir%\\rsmb.wax
%windir%\\rsmb32.z
%windir%\\rsmb32.dll
%windir%\\rsmb32.gfx
%windir%\\rsmb32.exe
%windir%\\rsmb32.wax
%windir%\\rsmbx.z
%windir%\\rsmbx.dll
%windir%\\rsmbx.exe
%windir%\\rsmbx.gfx
%windir%\\rsmbx.wax
%windir%\\sc.tmp
%windir%\\sc.xml1
%windir%\\semr8u8j8n.dll
%windir%\\serrv.c
%windir%\\serrv.dat
%windir%\\serrv.exe
%windir%\\serrv.s
%windir%\\serrv.wax
%windir%\\serv.exe
%windir%\\serv.wax
%windir%\\shost.dat
%windir%\\shost.exe
%windir%\\shost.wax
%windir%\\svchost32.exe
%windir%\\svchost32.xml
%windir%\\smm126.exe
%windir%\\sserrvv.c
%windir%\\sserrvv.exe
%windir%\\sserrvv.s
%windir%\\sserrvv.wax
%windir%\\sserrvv.z
%windir%\\t2serv.dll
%windir%\\t2serv.exe
%windir%\\t2serv.s
%windir%\\t2serv.wax
%windir%\\tpup.dat
%windir%\\tpup.exe
%windir%\\tpup.wax
%windir%\\tpup.z
%windir%\\tserv.dll
%windir%\\tserv.exe
%windir%\\tserv.s
%windir%\\tserv.wax
%windir%\\tsrv.dll
%windir%\\twain22.exe
%windir%\\wavstat.xml
%windir%\\wqpd32.dat
%windir%\\wqpd32.exe
%windir%\\wqpd32.c
%windir%\\wqpd32.s
%windir%\\wqpd32.wax
%windir%\\wqpd32.z
%windir%\\wupd32.dat
%windir%\\wupd32.exe
%windir%\\wupd32.s
%windir%\\wupd32.wax
%windir%\\wupd32.z
%windir%\\system32\\acac.dll
%windir%\\system32\\aclekern.dll
%windir%\\system32\\actidmoc.exe
%windir%\\system32\\actxippr.dll
%windir%\\system32\\alerter.exe
%windir%\\system32\\atrconf.exe
%windir%\\system32\\attmgr32.dll
%windir%\\system32\\attprf32.dll
%windir%\\system32\\attstat.dll
%windir%\\system32\\audconf.exe
%windir%\\system32\\audmgr32.dll
%windir%\\system32\\audperf.exe
%windir%\\system32\\audprf32.dll
%windir%\\system32\\audstat.dll
%windir%\\system32\\avifipxr.dll
%windir%\\system32\\brwconf.exe
%windir%\\system32\\brwmgr32.dll
%windir%\\system32\\brwperf.exe
%windir%\\system32\\brwprf32.dll
%windir%\\system32\\brwstat.dll
%windir%\\system32\\cdoskbdu.dll
%windir%\\system32\\cfgd3d.dll
%windir%\\system32\\cfgmmprm.dll
%windir%\\system32\\clicsaml.exe
%windir%\\system32\\CLICSAML.dll
%windir%\\system32\\cmut449c14b7.dll
%windir%\\system32\\comrkbdd.exe
%windir%\\system32\\confatt.dll
%windir%\\system32\\confaud.dll
%windir%\\system32\\confbrw.dll
%windir%\\system32\\confcon.dll
%windir%\\system32\\confega.dll
%windir%\\system32\\conmgr32.dll
%windir%\\system32\\conperf.exe
%windir%\\system32\\conprf32.dll
%windir%\\system32\\constat.dll
%windir%\\system32\\corpdpvv.exe
%windir%\\system32\\cp8xpqj.dll
%windir%\\system32\\cscdgcde.dll
%windir%\\system32\\cssewmpd
%windir%\\system32\\cssewmpd.exe
%windir%\\system32\\DAVCTOOL.DLL
%windir%\\system32\\DAVCTOOL.EXE
%windir%\\system32\\decconf.exe
%windir%\\system32\\dfssrasc.dll
%windir%\\system32\\dfssrasc.exe
%windir%\\system32\\diagd3d.dll
%windir%\\system32\\diagisr.dll
%windir%\\system32\\diagndis.dll
%windir%\\system32\\dmimmdt2.exe
%windir%\\system32\\dmstphot.exe
%windir%\\system32\\dpugmswe.dll
%windir%\\system32\\dpvacdfv.dll
%windir%\\system32\\dssconf.exe
%windir%\\system32\\dxtmsft3.dll
%windir%\\system32\\d3diusp1.dll
%windir%\\system32\\e1.dll
%windir%\\system32\\egaavi.exe
%windir%\\system32\\egamgr32.dll
%windir%\\system32\\egastat.dll
%windir%\\system32\\egperf32.dll
%windir%\\system32\\esenmqtr.dll
%windir%\\system32\\esenprfl.dll
%windir%\\system32\\evenncob.dll
%windir%\\system32\\feclipna.dll
%windir%\\system32\\feclipna.exe
%windir%\\system32\\fldrtsd3.dll
%windir%\\system32\\fsusvcde.exe
%windir%\\system32\\fsxsh4.dll
%windir%\\system32\\gtmqf608r7.dll
%windir%\\system32\\hhselz32.dll
%windir%\\system32\\hpzl449c14b7.exe
%windir%\\system32\\hypewmv9.exe
%windir%\\system32\\icaacsrs.dll
%windir%\\system32\\icmpdx3j.dll
%windir%\\system32\\IMESRDCH.EXE
%windir%\\system32\\IPNARDCH.DLL
%windir%\\system32\\ipsecmon.exe
%windir%\\system32\\ipsmwebh.exe
%windir%\\system32\\ipv6rasm.dll
%windir%\\system32\\ipv6rasm.exe
%windir%\\system32\\ipxpextm.exe
%windir%\\system32\\ipxwshel.exe
%windir%\\system32\\iuennwcf.dll
%windir%\\system32\\ixsswmas.exe
%windir%\\system32\\j2t3crh.dll
%windir%\\system32\\jgdwadsn.dll
%windir%\\system32\\jgdwadsn.exe
%windir%\\system32\\JGSDRPCN.EXE
%windir%\\system32\\JGSDRPCN.DLL
%windir%\\system32\\kbdfwshe.exe
%windir%\\system32\\kbdpkbdr.exe
%windir%\\system32\\lsaswdmi.dll
%windir%\\system32\\llllllllll.exe
%windir%\\system32\\lprmneth.dll
%windir%\\system32\\lprmneth.exe
%windir%\\system32\\mcd3mscm.dll
%windir%\\system32\\ml7swr.exe
%windir%\\system32\\mp4sglmf.dll
%windir%\\system32\\mqadscp3.exe
%windir%\\system32\\mqoacdmo.dll
%windir%\\system32\\mrhomghxqe.exe
%windir%\\system32\\MSEXCRED.EXE
%windir%\\system32\\mslsicwd.dll
%windir%\\system32\\msihftpw.dll
%windir%\\system32\\msisnwcf.dll
%windir%\\system32\\msji449c14b7.dll
%windir%\\system32\\mspradme.exe
%windir%\\system32\\MSNEPNGF.EXE
%windir%\\system32\\MSNSXOLE.DLL
%windir%\\system32\\MSNSXOLE.EXE
%windir%\\system32\\msrdtscf.exe
%windir%\\system32\\mstle100.dll
%windir%\\system32\\mstsodbc.exe
%windir%\\system32\\mtxlcomm.dll
%windir%\\system32\\narrwshr.dll
%windir%\\system32\\ndisconf.exe
%windir%\\system32\\netapicn.exe
%windir%\\system32\\netfrtm.dll
%windir%\\system32\\offfmsre.dll
%windir%\\system32\\p2psmsih.dll
%windir%\\system32\\psapdani.dll
%windir%\\system32\\psbaavic.dll
%windir%\\system32\\psbamtxe.dll
%windir%\\system32\\qdvtscf.dll
%windir%\\system32\\racpwow3.exe
%windir%\\system32\\ratendis.dll
%windir%\\system32\\rdpwmsjt.exe
%windir%\\system32\\regaufat.dll
%windir%\\system32\\rsmpmsim.exe
%windir%\\system32\\rtutdmin.dll
-
Teil 2:(Diese Zeile nicht mitkopieren nach Avenger !)
%windir%\system32\samsusrr.dll
%windir%\system32\samsusrr.exe
%windir%\system32\SCP3JGAW.DLL
%windir%\system32\scsm.exe
%windir%\system32\shsvmdim.dll
%windir%\system32\slbcslay.exe
%windir%\system32\slbipsch.dll
%windir%\system32\slbipsch.exe
%windir%\system32\slbrmqtr.exe
%windir%\system32\sisbmsxb.dll
%windir%\system32\snmpmmcn.dll
%windir%\system32\snmpmssw.exe
%windir%\system32\statd3d.dll
%windir%\system32\ssdprasa.dll
%windir%\system32\sysshtic.dll
%windir%\system32\sysshtic.exe
%windir%\system32\tlntqedw.dll
%windir%\system32\trkwpipa.exe
%windir%\system32\tscfvjoy.dll
%windir%\system32\tserv.s
%windir%\system32\txflcdfv.dll
%windir%\system32\ujn6oqt.dll
%windir%\system32\ulibofff.exe
%windir%\system32\uregdeve.dll
%windir%\system32\uregdeve.exe
%windir%\system32\vb5dmspo.dll
%windir%\system32\vbscqdv.exe
%windir%\system32\vdshlicw.exe
%windir%\system32\vdieasyc.exe
%windir%\system32\vmhevnet.dll
%windir%\system32\vmhevnet.exe
%windir%\system32\VNETSMME.DLL
%windir%\system32\w3sskbda.dll
%windir%\system32\winbpowr.exe
%windir%\system32\winftsap.dll
%windir%\system32\winftsap.exe
%windir%\system32\wmnecomc.dll
%windir%\system32\wmpcskdl.dll
%windir%\system32\wshnseri.exe
%windir%\system32\wshtlprh.dll
%windir%\system32\wupstlnt.dll
%windir%\system32\xactcomr.exe
%windir%\system32\yapconf.exe
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acac
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\attmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\audmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\brwmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\conmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\davctool
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\decstat
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dfssrasc
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dssmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\feclipna
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ipv6rasm
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jgdwadsn
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jgsdrpcn
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lprmneth
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ msnsxole
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psbamtxe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\samsusrr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\slbipsch
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysshtic
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\uregdeve
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winftsap
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmhevnet
Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|audiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brwdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ccsserv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|chater.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ciodiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cserv32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cservv32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|davctool
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dmstphot
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|egdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ipv6rasm
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ipxwshel
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mqadscp3
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mspradme
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|msserrv32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|msserv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|msupdtwiz
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mswiiz32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mswiizz32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mswiz32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|rsmb
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|rsmbx
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|rsmb32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|shost
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|serrv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|serv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|serrv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|slbrmqtr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sserrvv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|t2serv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|tpup
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|tserv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ulibofff
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Wave
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|wqpd32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|wupd32
###Ende### (Diese Zeile nicht mitkopieren !)
Zur Kontrolle sollte im Anschluss noch eine Überprüfung mit dem kostenlosen
Online-Scanner F-Secure vorgenommen werden.
http://support.f-secure.com/enu/home/ols.shtml
(Einige wenige Teile der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) sind in Englisch)
Wähle dabei die Option “Vollständiger Systemscan“
-
hey,ich habe leider keine Ahnung von Computern,also falls ihr mir helfen könnt bitte so leicht erklären wies nur geht.danke
Ich habe folgendes Problem.Hab mir wie schon viele andere den Virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) "Wurm Stration.Gen" über ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) eingefangen zumindest hat mir das AntiVir angezeigt.Das war vor 2 Tagen.Nunja..habe den Pc dann über , das wenn ich den pc runterfahre nicht wieder hochfahren kann.Zu meinem Pech war der Pc in der Nacht wohl überlastet und hat sich selbstständig herunter gefahren. :(Hab ihn dann gestern weider angemacht und das hat auch geklappt, obwohl er ziemlich lahm war!Hab jemanden gefragt (der sich ein wenig mit pcs auskennt) ob er den löschen kann.Der hat das dann nich geschafft.Hab ihn dann herunter gefahren, weil er sich nur noch aufgehängt hat.Naja nun kommt er nur noch bis zu meinem Hintergrundbild,also windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) kann nicht mehr geladen werden,woran liegt das?Die Virenmeldung zeigt mir dann immer "Worm/Stration.Gen" an das muss dann doch irgendwie etwas damit zu tun haben oder?Wie kann ich den löschen,damit ich meinen Pc wieder nutzen kann?Wenn ich normal bei AntiVir auf "In Quarantäne verschieben oder löschen" drücke ist die Warnung nach sehr kurzer Zeit wieder da.Also was könnte ich tun? ???
-
Versuche es mit dem Removal Tool von Norman (ca. 2,7 MB), beachte dabei die Hinweise auf Webseite, Stichwort abgesicherter Modus von Windows.
http://www.norman.com/Virus/Virus_removal_tools/de
(Anmerkung: Auch wenn auf der Webseite die Malware “Stration“ nicht in der Liste aufgeführt ist, kann das Tool viele Varianten von diesen erkennen und entfernen)
Alternative:
AV Cleaner “Damage Cleanup“ von Trend Micro.
(Spezielles Entfernungstool für fast alle bekannten Viren - In englischer Sprache)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein, keine Installation notwendig!
a. Sysclean Package, ca. 3,3 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
b. Pattern, ca. 14,2 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php
Um eine optimale Überprüfung mit den Tools von Norman und Trend zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk (http://www.computerhilfen.de/fachbegriffe-n-Netzwerk.html) und Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) trennen (Kabel ziehen!)
2. Die Systemwiederherstellung deaktivieren (Nur Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren
Ansonsten sollte die Anweisung aus dem Beitrag vom 18.01.07 mit Avenger umgesetzt werden.
http://www.computerhilfen.de/hilfen-5-143002-0.html#717010
-
Ich habe mir auch so einen Wurm eingefangen. Er wurde von ANTIVIR entdeckt, kann jedoch nicht beseitigt werden.
Merkmale: Nach einloggen ins Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) kommt eine Systemmeldung, die mir 60 sekunden Zeit gibt alle Systeme runterzufahren, da der Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) dann runtergefahren wird. Ich habe s schon nach den hier vorgegebenen Methoden probiert. erfolglos. Was kann ich machen? Bitte um schnelle Antwort.
Mfg Nicole
-
Hallo Nicole128,
führe einen HijackThis-Log zu Informationszwecken aus.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen und poste den Log.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip
Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
Weiter starte “datfindbat“
http://virus-protect.org/datfindbat.html
(Mit Downloadlink und Anweisung)
und kopiere den Inhalt der TXT-Dateien hier in einen Post, (http://www.computerhilfen.de/fachbegriffe-p-POST.html) aber nur jeweils die letzten 4 Wochen.
-
Hm Irgendwie blick ich da nicht durch habe den wurm schon etwas länger doch ich hoffe es ist nicht zu spät...
Ich hatte das auch schon mit der Systemwiederherstellung pobiert doch er hatmir nur gemeldet das die Wiederherstellung missglückt ist bitte helft mir,meinen Pc neu aufsetzten kann ich auch nicht da meine Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) cd im ..,. ist.
so blieb mir nichts anderes übrig und ich brannte alle wichtigen daten auf dvd (http://www.computerhilfen.de/fachbegriffe-d-DVD.html) weich ich keinen Ausweg sehe Helft mir bitte .Schickt mir bitte konkrete hinweise wie ich ihn wegbekomme per e-mail weil ich den link hier sowieso verliere...
ich BEdanke mich im voraus weil ich weis das ich es hier nur mit profis zutun habe oder? :o ??? :'(
DAber möchte ich meinen PC nicht verlieren...!
Hoffe auf baldige antwort(scheiß icq)könnt mich aber auch da adden und mir dort helfen
192-962-137
-
Hallo R!nH@D,
führe zuerst eine kompletten Überprüfung des Systems mit dem folgenden Freeware Malware-Scanner aus.
1. AV Cleaner “Damage Cleanup“ von Trend Micro.
(Spezielles Entfernungstool für fast alle bekannten Viren - In englischer Sprache)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein, keine Installation notwendig!
a. Sysclean Package, ca. 3,4 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
b. Pattern, ca. 14 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php
Um eine optimale Überprüfung zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk (http://www.computerhilfen.de/fachbegriffe-n-Netzwerk.html) und Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren
Poste bitte das ausführliche Scanergebnisse hier !
2. Weiter erstelle ein HijackThis-Log, es liefert steht’s wertvolle Informationen über den Zustand deines Systems und kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen und poste den Log.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip
Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493
-
Hallo,
habe mir ebenfalls diesen Wurm eingefangen. Mein Virenprogramm will ihn aber nicht löschen.Und in meinen Dateien kann ich den Wurm nirgends finden. Habe noch keine Probleme durch den Virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) auf meinem Pc bemerkt. Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) läuft auch super. Soll ich den Virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) jetzt einfach auf dem Pc lassen?!!?! Bitte helft mir, ich kenne mich da nicht so aus, hatte noch nie einen Wurm. :'(
Vielen Dank
-
Hallo J@n@,
bitte setze die Anweisung der über deinen Beitrag steht um.
http://www.computerhilfen.de/hilfen-5-143002-0.html#779214
-
Ich hab das selbe Problem wie Amysa, wen ich starte komm ich nicht weiter als bis zum Hintergrund und dann wird von antivir ständig eine virenmeldung angezeigt, in den abgesicherten Modus kann ich auch nichtmehr.
-
hi...hab mir auch den virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) eingefangen....mei pc is so langsam, dass es manchmal 5 min dauert bis sich was aufbaut..geschweige denn schließt! hab schon über 2000 würmer unter quarantäne
als erstes ne frage: verbreitet der sich sicher über mein icq-account weiter?
...ich hab irgendwie n problen mit euern ganzen tipps und links und ratschlägen :-\...z.B.:wie fährt man einen pc überhaupt im gesicherten modus hoch?...wie schaltet ma die systemwiederherstellung aus?...ich versteh zwar WAS ich machen muss...aber WIE???
wäre nett wenn ihr mir helfen könntet...eine 'anleitung für doofe' werden sich hier glaub ich meherere wunschen.. ;)
-
h´l`ne
Lade dir das kostenlose Antivirus Tool DrWeb.Cureit herunter:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Starte das Programm, selektiere dein Laufwerk C,führe einen Scan aus und beachte die Hinweise.
Poste das Ergebnis hier!
Weiter erstelle ein HijackThis-Log, es liefert steht’s wertvolle Informationen über den Zustand deines Systems und kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen und poste den Log.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip
Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493
-
hab mir das erste programm runtergeladen....wie selektiert man ein laulwerk und wes ist ein scan? ::)
-
Nachdem Dr.Web gestartet wurde führt das Programm eine Expressprüfung durch.
Ist die Erfolgt, kann im aktuellen Fenster mit einem einfachen Mausklick das Laufwerk C: ausgewählt werden, das gewählte Laufwerk ist jetzt mit einen roten Punkt gekennzeichnet. Alternativ kann auch der Button „Laufwerke markieren“ gewählt werden, dann werden automatisch alle Laufwerke ausgewählt. Beachte hier aber die hohe Scanzeit der Software.
Im Anschluss drücke Mitterechts den Button mit dem grünen Dreieck, damit wird die Überprüfung gestartet. Nach dem erfolgten Scan sollten alle Infizierten Objekte unter Quarantäne gestellt werden.
Poste auf jeden Fall den Scan Bericht hier!
-
hpsys32.exe;c:\xp-pro;Win32.HLLM.Limar;Gelöscht.;
confifc.dll;c:\xp-pro\system32;Win32.HLLM.Limar;Wird nach dem Neustart desinfiziert.;
dtkquoui.dll;c:\xp-pro\system32;Trojan.DownLoader.6588;Wird nach dem Neustart desinfiziert.;
e1.dll;c:\xp-pro\system32;Win32.HLLM.Limar;Wird nach dem Neustart desinfiziert.;
ifcmgr32.dll;c:\xp-pro\system32;Win32.HLLM.Limar;Wird nach dem Neustart desinfiziert.;
ifcstat.dll;c:\xp-pro\system32;Win32.HLLM.Limar;Wird nach dem Neustart desinfiziert.;
msjidpmo.dll;c:\xp-pro\system32;Win32.HLLM.Limar;Wird nach dem Neustart desinfiziert.;
msssmsda.dll;c:\xp-pro\system32;Win32.HLLM.Limar;Wird nach dem Neustart desinfiziert.;
msssmsda.exe;c:\xp-pro\system32;Win32.HLLM.Limar;Wird nach dem Neustart desinfiziert.;
-
hat die das automatisch in quarantäne gestellt oder muss ich das noch machen???
-
hat die das automatisch in quarantäne gestellt oder muss ich das noch machen???
Nach einen Neustart de PCs sollte Dr.Web die infizierten Dateien automatisch beseitigt haben.
Trotzdem wiederhole zur Sicherheit den Scan mit einer aktuellen Version von DrWeb.Cureit, da in den letzten Tagen sehr viele neue Varianten von Limar ( Stration/ Warezov ) verteilt wurden.
Beachte:
Um eine aktuelle Version von DrWeb.Cureit zu erhalten, muss das Tool vollständig neu herunter geladen werden!
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Poste wieder das Ergnis hier!
-
das hat 3 tage gedauert!
..aber ich hab vorhin wirklich wieder eine neue meldung bekommen..
wieso soll ich das ergebniss eigentlich posten...?
-
das hat 3 tage gedauert!
..aber ich hab vorhin wirklich wieder eine neue meldung bekommen..
wieso soll ich das ergebniss eigentlich posten...?
Was hat drei Tage gedauert, der Scan? - was ich nicht hoffe.
Scanne nur Laufwerk C:
Welche neue Meldung hast du bekommen?
Poste das Ergebnis damit wir einen Überblick für die Situation bekommen und um Missverständnisse vor zubeugen.
-
... eine Expressprüfung ist erst mal ausreichend !
-
ich hatte sonst nur den Worm/stration.gen und WORM/Warezov.HX.4...aber gestern hat antivir in einer virusmeldung Worm/stration.HP angezeigt...den hab ich unter quqrantäne gestellt..der kanm dann noch ein paar mal aber dann nich mehr..!
der bericht von drweb:
"gendel32.exe;C:\;Tool.Gendel;;"
"skinpack.exe;C:\Programme\ICQLite\Skin;Adware.Stud;;"
"A0056549.exe;C:\System Volume Information\_restore{DD96CE6A-6E0D-4B20-9ED0-B75EB85E0331}\RP352;möglicherweise DLOADER.Trojan;;"
"A0060322.exe;C:\System Volume Information\_restore{DD96CE6A-6E0D-4B20-9ED0-B75EB85E0331}\RP366;Adware.Stud;;"
"A0077841.dll;C:\System Volume Information\_restore{DD96CE6A-6E0D-4B20-9ED0-B75EB85E0331}\RP379;Trojan.DownLoader.6588;Gelöscht.;"
was soll ich mit den dateien machen, die drweb nicht dessinfiziert o. gelöscht hat?..soll ich die einfach manuell (über drweb) löschen?
-
...und was ist überhaupt adware?
-
...und was ist überhaupt adware?
bevor du hier fragst was das ist google doch mal.
http://de.wikipedia.org/wiki/Adware
Poste doch mal nen Hijackthis Log, um zu sehen ob der Wurm noch aktiv ist.
-
was ist ein hijackthis log ???....hab nix darüber bei wikipedia gefunden..
-
bei wikipedia findet man natürlich nicht alles^^
also ein Hijackthis Log ist das Log von dem Programm Hijackthis wenn du es richtig ausführst ;).
bebilderte Anleitung dazu:
http://www.computerhilfen.de/hilfen-17-120712-0.html
-
h´l`ne
Lösche per Hand die folgenden Dateien:
gendel32.exe (RiskWare)
und
skinpack.exe (Adware)
Der Rest aus dem Bericht von Dr.Web ist schon Geschichte und stellt keine Gefahr mehr da.
Aber setze folgendes noch um. (Aufwand – Mittel / Umsetzung –Einfach)
1. Antivir aktualisieren
2. Die Systemwiederherstellung deaktivieren (Nur Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. AntiVir starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren und poste das Ergebnis von Antivir!
Der Tipp mit dem HijackThis-Log ist sehr empfehlenswert und der Zeitaufwand ist gering.
Es liefert steht’s wertvolle Informationen über den Zustand deines Systems und kann das eine oder andere Problem auch lösen. Poste den Log hier und fixe nur nach Rücksprache!
-
Hallo ...
Jetzt habe ich auch noch so einen tollen Virus... (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) den WORM/Stration.Gen und unter anderem den WORM/Rbot.564665 ...
Ich habe anfangs alle paar min. ne warnungsmeldung von AntiVir bekommen und bei mir lief alles mind.3mal so lahm.
Nach dem ich dann eine Systemwiederherstellung gemacht habe hat er die "bösen" Dateien in Quarantäne geschickt jetzt läuft zwar alles wieder normal aber ich fühl mich niich ganz wohl was sollich nun tun ??? ich bitte um hilfe :-\
-
Logfile of HijackThis v1.99.1
Scan saved at 12:58:00, on 28.10.2007
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP SP2 (WinNT 5.01.2600)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v7.00 (7.00.6000.16544)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Norton Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Lars\Desktop\HijackThis.exe
Teil1
-
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) Search\dsWebAllow.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: XBTP01621 Class - {9EBBE90B-282E-4c39-8A7E-120749169F0F} - C:\PROGRA~1\BEARSH~2\MediaBar.dll
O2 - BHO: Norton Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\Ad Block (Bitte beachten: Unsere Regeln zu Werbeblockern! (http://www.computerhilfen.de/computerhilfen-netiquette.html#werbeblocker))ing\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Norton Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\Ad Block (Bitte beachten: Unsere Regeln zu Werbeblockern! (http://www.computerhilfen.de/computerhilfen-netiquette.html#werbeblocker))ing\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll
O3 - Toolbar: BearShare MediaBar - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Programme\BearShare MediaBar\MediaBar.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) Search\WindowsSearch.exe
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\msntb.dll/search.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: pgptmsau - C:\WINDOWS\system32\pgptmsau.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
Teil2
-
O23 - Service: AccSys WiFi Server (http://www.computerhilfen.de/fachbegriffe-s-Server.html) (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COM Host (http://www.computerhilfen.de/fachbegriffe-h-Host.html) (comHost) - Symantec Corporation - C:\Programme\Norton Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\comHost.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display (http://www.computerhilfen.de/fachbegriffe-d-Display.html) Driver (http://www.computerhilfen.de/fachbegriffe-d-Driver.html) Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Intel(R) PROSet/Wireless Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
So....ich habe versucht das Thema zu verfolgen...muss aber sagen das ich nicht allles verstanden habe!
Ich habe jetzt den Scan durchgeführt, und hier ist meine Liste!
Was das jetzt bringt weiß ich nicht!
Ich hoffe nur das hier jemand helfen kann?!
Danke
-
update dein antivir, dann lade dir spybot search & destroy, mache auch bei dem tool ein update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) und für leute die nie genug bekommen, auch noch "adware"(nicht unbedingt richtig geschrieben, trotzdem gratis und ganz nützlich) und auch hier wieder ein update. (http://www.computerhilfen.de/fachbegriffe-u-Update.html) dann trenne deinen rechner vom internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) (kabel ziehen) und lasse dann antivir laufen, dann mit spybot suchen und vernichten und dann auch noch immunisieren und zu guter letzt das gute geupdatete adware rüber jagen. danach pc neustarten und nochmals scannen.
-
Ich hab mir jetze nich alles angekuckt aber ich hab mir gestern auch eingefangen
schau mal das foto an :D *ttp://lustigere-bilder.net/fotoshow.php?foto=P IC024785085726032.JPG
das ist der link (http://www.computerhilfen.de/fachbegriffe-l-Link.html)
und der schickt dn die ganze zeit zu allen anderen kontakten und die haben derzeit auch schon einen was kann ich tun???
stefanoi
-
bei dem Namen hättest Du sofort abbrechen müssen !!
Der Link (http://www.computerhilfen.de/fachbegriffe-l-Link.html) sollte hier gelöscht werden !
-
http://www.computerhilfen.de/hilfen-17-328400-0.html
Schau das mal an !!!