Trojan.Proxy, inet20026, vxgamet3.exe, kernels8.exe, spoolsvv.exe, testtestt.exe

startseite Gastbuch Kontakt
Trojan.Proxy
Trojan.Proxy, inet20026, vxgamet3.exe

Trojan.Proxy, inet20026, vxgamet3.exe, kernels8.exe, spoolsvv.exe, testtestt.exe






Zitat: Habe seit neustem unten in der Taskleiste besagtes zeichen, welches mich darauf hinweisst, dass mein System infiziert ist und ich deren AntiSpyware Programm kaufen soll

HijackThis

C:\WINDOWS\inet20026\services.exe 
C:\WINDOWS\System32\7cf9402c.exe 
C:\Windows\xpupdate.exe 
C:\WINDOWS\inet20026\mm5.exe
C:\WINDOWS\inet20026\socks.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\inet20026\select.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\System32\dwwin.exe 

F3 - REG:win.ini: run=C:\WINDOWS\inet20026\services.exe

O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20026\3.03.00.dll
 
O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe 
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe 

O4 - HKLM\..\Run: [axis okay joy cash] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\
title draw axis okay\blahshow.exe
O4 - HKLM\..\Run: [7cf9402c.exe] C:\WINDOWS\System32\7cf9402c.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20026\services.exe
O4 - HKLM\..\Run: [ÿ_zsk_^lrg^ak]_htmzlc50inkrwksz_] c:\windows\system32\_zskwrkni05clzmth_]ka^grl^_.exe
O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\inet20026\socks.exe
O4 - HKLM\..\RunServices: [ÿ_zsk_^lrg^ak]_htmzlc50inkrwksz_] 
c:\windows\system32\_zskwrkni05clzmth_]ka^grl^_.exe 
O4 - HKCU\..\Run: [7cf9402c.exe] C:\Dokumente und Einstellungen\user\Lokale Einstellungen\
Anwendungsdaten\7cf9402c.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [ÿ_zsk_^lrg^ak]_htmzlc50inkrwksz_] c:\windows\system32\_zskwrkni05clzmth_]ka^grl^_.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20026\services.exe 

O17 - HKLM\System\CCS\Services\Tcpip\..\{36B54111-6037-4FE2-8CA2-60ED426774CD}: 
NameServer = 85.255.114.67,85.255.112.140
O17 - HKLM\System\CCS\Services\Tcpip\..\{77A37DF5-B7B4-48C4-B716-C8F50A6A3620}: 
NameServer = 85.255.114.67,85.255.112.140 

O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users
\Dokumente\Settings\artm_new.dll 

O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe  

datfindbat

C:\WINDOWS\System32\

06.07.2006 21:36 0 winrknj
06.07.2006 21:35 1.232 TheMatrixHasYou.exe
06.07.2006 21:35 20.992 _zskwrkni05CLZMTH_]KA^GRL^_.dll
06.07.2006 21:35 11.488 vxgamet3.exe
06.07.2006 21:35 3.072 vxgame4.exe
06.07.2006 21:35 15.203 vxgame1.exe
06.07.2006 21:35 15.546 vxgamet2.exe
06.07.2006 21:35 16 dlh9jkdq8.exe
06.07.2006 21:35 7.701 kernels8.exe
01.07.2006 19:39 26.705 spoolsvv.exe
01.07.2006 19:39 21.504 7cf9402c.exe
01.07.2006 19:39 11.488 testtestt.exe
01.07.2006 19:39 13.312 maxd641.exe
01.07.2006 19:39 7.482 dlh9jkdq7.exe
01.07.2006 19:39 7.482 dlh9jkdq6.exe
01.07.2006 19:39 6.630 dlh9jkdq5.exe
01.07.2006 19:39 17.894 dlh9jkdq2.exe
01.07.2006 19:38 2.518 dlh9jkdq1.exe
17.05.2006 13:20 5.064 stdole3.tlb
17.05.2006 12:36 5.632 simpole.tlb
17.05.2006 12:35 176.128 appmagr.dll
17.05.2006 12:35 9.872 atmclk.exe
17.05.2006 12:35 44.032 dcomcfg.exe
17.05.2006 12:34 35.341 regperf.exe 

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\WINDOWS\inet20026" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
notepad files.txt

Verzeichnis von C:\Dokumente und Einstellungen\User\Anwendungsdaten 

07.07.2006 00:11 0 Install.dat 
01.07.2006 20:11 -DIR- WIPEUP~1 Wipe Up 

Verzeichnis von C:\WINDOWS\inet20026

07.07.2006 13:49 4 1.txt
06.07.2006 23:51 31.232 3.03.00.dll
07.07.2006 13:49 11.776 alg.exe
07.07.2006 03:12 11.776 alg.exe.bak
07.07.2006 13:49 2.560 killer.exe
07.07.2006 03:12 2.560 killer.exe.bak
07.07.2006 13:49 16.896 mm.exe
07.07.2006 13:49 4 mm.pid
07.07.2006 03:12 16.896 mm5.exe
07.07.2006 03:02 16.896 mm5.exe.bak
07.07.2006 03:13 27.648 select.exe.bak
06.07.2006 21:35 13.312 services.exe
07.07.2006 13:49 37.888 socks.exe
07.07.2006 03:12 37.888 socks.exe.bak
07.07.2006 13:49 2 tmp.req
07.07.2006 13:48 13.312 winlogon.exe 

Verzeichnis von C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp 

07.07.2006 13:53 1.621 mpl2.tmp
07.07.2006 03:13 -DIR- msohtml
07.07.2006 03:26 -DIR- msohtml1 

Verzeichnis von C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten

01.07.2006 19:39 21.504 7cf9402c.exe 

--------------------------------------------------------------------

löschen:

C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\2 MPEG.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\bvfdyuvr.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\elasmxsq.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\etuyyyil.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\mfcd dupe road glue.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\Option Bird Locks.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\reiymjev.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\rylihvsn.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\zjqafyvp.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Wipe Up

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\blahshow.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\buildjugs.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\SoftBait.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\Stop site.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\tick grey.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll

C:\WINDOWS\inet20026\1.txt
C:\WINDOWS\inet20026\3.03.00.dll
C:\WINDOWS\inet20026\alg.exe
C:\WINDOWS\inet20026\alg.exe.bak
C:\WINDOWS\inet20026\killer.exe
C:\WINDOWS\inet20026\killer.exe.bak
C:\WINDOWS\inet20026\mm.exe
C:\WINDOWS\inet20026\mm.pid
C:\WINDOWS\inet20026\mm5.exe
C:\WINDOWS\inet20026\mm5.exe.bak
C:\WINDOWS\inet20026\select.exe.bak
C:\WINDOWS\inet20026\services.exe
C:\WINDOWS\inet20026\socks.exe
C:\WINDOWS\inet20026\socks.exe.bak
C:\WINDOWS\inet20026\tmp.req
C:\WINDOWS\inet20026\winlogon.exe

C:\WINDOWS\OEM.exe
C:\WINDOWS\0.log
C:\WINDOWS\xpupdate.exe
C:\WINDOWS\_MSRSTRT.EXE

C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\mpl2.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\msohtml
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\msohtml1
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\mpl33.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\mpl32.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\WER9.tmp

C:\WINDOWS\system32\winrknj
C:\WINDOWS\system32\TheMatrixHasYou.exe
C:\WINDOWS\system32\ _zskwrkni05CLZMTH_]KA^GRL^_.dll
c:\windows\system32\_zskwrkni05clzmth_]ka^grl^_.exe
C:\WINDOWS\system32\vxgamet3.exe
C:\WINDOWS\system32\vxgame4.exe
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\vxgamet2.exe
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\spoolsvv.exe
C:\WINDOWS\system32\7cf9402c.exe
C:\WINDOWS\system32\testtestt.exe
C:\WINDOWS\system32\maxd641.exe
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq5.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\dlh9jkdq1.exe
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\appmagr.dll
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\System32\hgqhp.exe
C:\WINDOWS\System32\dflnl.exe

C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Install.dat
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\7cf9402c.exe


smitfraudfix abarbeiten
http://virus-protect.org/artikel/tools/smitfrautfix.html


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\svchost.exe FOUND !



FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten

Dr.Web
http://virus-protect.org/cureit.html
C:\!Submit\_zskwrkni05CLZMTH_]KA^GRL^_.exe infiziert mit Trojan.Proxy.986 - gelöscht 
C:\WINDOWS\system32\_zskwrkni05CLZMTH_]KA^GRL^_.dll infiziert mit Trojan.Proxy.991 - gelöscht

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\
Content.IE5\EXG5CDEX\g2[1].txt infiziert mit BackDoor.IRC.Sdbot.374 - gelöscht 

C:\Programme\Mozilla Firefox\plugins\npclntax.dll ist ein Adware-Programm Adware.Zango 
C:\Programme\WinRAR\Dos.SFX>C:\WINDOWS\OEM.exe.bak infiziert mit Trojan.Spambot - gelöscht
C:\WINDOWS\inet20026\mm.exe.bak möglicherweise infiziert mit DLOADER.Trojan
C:\WINDOWS\system32\mousemm.exe infiziert mit BackDoor.IRC.Sdbot.374 - gelöscht 
C:\Programme\Mozilla Firefox\plugins\npclntax.dll
C:\WINDOWS\inet20026\mm.exe.bak
C:\Programme\C2Media
C:\WINDOWS\inet20026 


multiavtool
http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee


Sophos warnt: Wurm kommt als scheinbar harmloser Treiber daher

W32/Sdbot-ABQ enthält Funktionalität zum:

Nach Angaben von Sophos soll der Wurm sich als getarnte Treiberdatei auf den Rechner einschleichen, den Code aus dem Internet laden

O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe

+

C:\WINDOWS\system32\mousemm.exe

- Stehlen vertraulicher Daten, darunter System-Hardware-Informationen
- Durchführen von DDoS-Flooder-Attacken
- heimlichen Herunterladen, Installieren und Starten neuer Software
- Einfügen des Wurms in den Windows-Explorer-Prozess, um sich selbst zu verbergen.

Wenn er erstmals gestartet wird, kopiert sich W32/Sdbot-ABQ nach System\mousecrm.exe. 
Die Datei mousecrm.exe wird als neue Treibersystemdatei namens "mousecrm" mit dem Anzeigenamen
"Mouse Cursor Monitor" und dem Starttyp "Automatisch" registriert, 
damit sie beim Systemstart automatisch ausgeführt wird. An folgender Stelle werden 
Registrierungseinträge erzeugt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mousecrm

Der Wurm kann außerdem eine Protokolldatei in Windows\Debug\dcpromo.log erzeugen.


anderer PC

HijackThis

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll

O4 - HKLM\..\Run: [p2p networking] p2pnetworking.exe
O4 - HKLM\..\Run: [defender] C:\\dfndre_5.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrde_5.exe
O4 - HKLM\..\Run: [newname] C:\\nwnme_5.exe
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\Run: [Iwaa] "C:\WINDOWS\MCROSO~1\nslookup.exe" -vt yazb
O4 - HKCU\..\Run: [Soleos] C:\WINDOWS\M?crosoft\r?ndll32.exe
O4 - HKCU\..\Run: [zrki] C:\Programme\Gemeinsame Dateien\zrki\zrkim.exe

O4 - Global Startup: msconfig.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\tracert.dll
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\iestall.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmluYSBQaXNjaGtl\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe


Start -> Ausführen --> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableTaskMgr = den Schluessel loeschen
DisableRegistryTools -> den Schluessel loeschen

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.
Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

falls nicht:

Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile

stelle den CleanUp genauso ein, wie hier angegeben: (dann rechner neustarten)
http://virus-protect.org/cleanup.html


Look2Me-Destroyer V1.0.5
http://virus-protect.org/l2mfix.html

look2me

Look2Me-Destroyer V1.0.12
Infected! C:\WINDOWS\system32\l26o0cj3efo.dll
Infected! C:\WINDOWS\SYSTEM32\aFd.dll
Infected! C:\WINDOWS\SYSTEM32\cFbview.dll
Infected! C:\WINDOWS\SYSTEM32\CydbLangDE.dll
Infected! C:\WINDOWS\SYSTEM32\dbvenum.dll
Infected! C:\WINDOWS\SYSTEM32\folemgmt.dll
Infected! C:\WINDOWS\SYSTEM32\ktl4l73q1.dll
Infected! C:\WINDOWS\SYSTEM32\l26o0cj3efo.dll
Infected! C:\WINDOWS\SYSTEM32\q6nulg5916.dll
Infected! C:\WINDOWS\system32\guard.tmp

Avenger

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
Files to delete:
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\iestall.dll
C:\WINDOWS\system32\p2pnetworking.exe
C:\WINDOWS\SYSTEM32\guard.tmp
C:\WINDOWS\SYSTEM32\cFbview.dll
C:\WINDOWS\SYSTEM32\q6nulg5916.dll
C:\WINDOWS\SYSTEM32\CydbLangDE.dll
C:\WINDOWS\SYSTEM32\l26o0cj3efo.dll
C:\WINDOWS\SYSTEM32\dbvenum.dll
C:\WINDOWS\SYSTEM32\MWRMSG.DLL
C:\WINDOWS\SYSTEM32\REPCFGEX.DLL
C:\WINDOWS\SYSTEM32\ktl4l73q1.dll
C:\WINDOWS\SYSTEM32\folemgmt.dll
C:\WINDOWS\SYSTEM32\aFd.dll
C:\WINDOWS\SYSTEM32\stera.job
C:\WINDOWS\SYSTEM32\WPA.DBL
C:\WINDOWS\SYSTEM32\ktp8l77u1.dll
C:\WINDOWS\SYSTEM32\stera.log
C:\WINDOWS\SYSTEM32\wtssvit.exe
C:\WINDOWS\SYSTEM32\tracert.dll
C:\WINDOWS\SYSTEM32\atmtd.dll
C:\WINDOWS\SYSTEM32\atmtd.dll._
C:\WINDOWS\SYSTEM32\n.bat
C:\WINDWS\SYSTEM32\vbzip10.dll
C:\WINDOWS\SYSTEM32\dr.exe
C:\WINDOWS\SYSTEM32\mc-110-12-0000137.exe
C:\WINDOWS\SYSTEM32\taskkill.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\icont.exe
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk
C:\drsmartload849z.exe
C:\drsmartload46z.exe
C:\drsmartload45z.exe
C:\drsmartload849a.exe
C:\drsmartload849s.exe
C:\drsmartload46s.exe
C:\drsmartload45s.exe
C:\nwnmb_3.exe
C:\kybrdb_3.exe
C:\dfndrb_3.exe
C:\drsmartload1.exe
C:\dfndre_5.exe
C:\kybrde_5.exe
C:\nwnme_5.exe

Folders to delete: 
C:\Programme\Common Files\Companion Wizard
C:\Programme\WinAntiVirus Pro 2006
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
C:\Programme\TClock
C:\Programme\Network Monitor
C:\WINDOWS\TmluYSBQaXNjaGtl
C:\Programme\Gemeinsame Dateien\zrki
C:\Programme\ipwins
C:\Programme\ToolBar888
C:\Programme\Snowball Wars


Verzeichnis von C:\Programme\Gemeinsame Dateien
01.07.2006 16:54 -DIR- WinAntiVirus Pro 2006
13.07.2006 18:04 -DIR- zrki
12.07.2006 14:35 -DIR- {FC96C113-0958-1031-0731-030512200031}
01.07.2006 15:17 -DIR- InetGet


Verzeichnis von C:\Dokumente und Einstellungen\Username\Anwendungsdaten
01.07.2006 16:54 -DIR- WinAntiVirus Pro 2006


Verzeichnis von C:\Programme\Common Files
01.07.2006 16:56 -DIR- Companion Wizard


Verzeichnis von C:\WINDOWS\Temp
13.07.2006 14:36 -DIR- Aocr

Verzeichnis von C:\Programme
13.07.2006 18:04 -DIR- TClock
01.07.2006 15:59 -DIR- InetGet2
12.07.2006 14:53 -DIR- WinAntiVirus Pro 2006
12.07.2006 16:53 -DIR- Snowball Wars
13.07.2006 18:04 -DIR- Network Monitor
13.07.2006 18:04 -DIR- ToolBar888
13.07.2006 18:04 -DIR- ipwins

-----------------------------------------------------------------------------

scanne mit ewido
http://virus-protect.org/ewido.html

Counterspy - scanne, stelle alles auf remove
http://virus-protect.org/counterspy.html

Verzeichnis von C:\Programme\Gemeinsame Dateien\zrki

03.11.2005  16.896 zrkia.exe
02.07.2006  0 zrkia.lck
12.07.2006  -DIR- zrkid
02.07.2006  0 zrkil.lck
02.07.2006  0 zrkim.lck
02.07.2006   zrkim.exe

Verzeichnis von C:\Programme\ipwins

13.07.2006  3 count.dat
01.07.2006  57 data.dat
13.07.2006  12 date.dat
01.07.2006  20.855 s154.1.dat
12.07.2006  102 settings.dat
12.07.2006  12 settingsDate.dat
01.07.2006  34.717 Uninst.exe

Verzeichnis von C:\Programme\TClock

01.06.2005  48.128 tcdll.tclock
05.06.2006  172.032 tclock.exe
01.07.2006  170 tclock.ini
01.07.2006 tclock_install.exe 

Verzeichnis von C:\WINDOWS\SYSTEM32

13.07.2006 18:05 235.212 guard.tmp
13.07.2006 18:05 234.634 cFbview.dll
13.07.2006 18:04 234.272 q6nulg5916.dll
13.07.2006 17:58 234.272 CydbLangDE.dll
13.07.2006 17:58 234.634 l26o0cj3efo.dll
13.07.2006 16:59 236.165 dbvenum.dll
13.07.2006 14:40 234.272 MWRMSG.DLL
13.07.2006 14:29 236.165 REPCFGEX.DLL
13.07.2006 14:27 235.709 ktl4l73q1.dll
13.07.2006 14:18 234.272 folemgmt.dll
12.07.2006 14:53 236.165 aFd.dll
12.07.2006 14:41 2 stera.job
12.07.2006 14:32 1.170 WPA.DBL
02.07.2006 12:52 235.599 ktp8l77u1.dll
02.07.2006 12:36 2 stera.log
01.07.2006 15:43 2 wtssvit.exe
01.07.2006 15:43 81.920 tracert.dll
01.07.2006 15:19 687.592 atmtd.dll
01.07.2006 15:19 687.592 atmtd.dll._
01.07.2006 15:18 248 n.bat
01.07.2006 15:18 147.456 vbzip10.dll
01.07.2006 15:17 16.384 dr.exe
01.07.2006 15:16 39.920 mc-110-12-0000137.exe
01.07.2006 15:15 0 taskkill.exe

Verzeichnis von C:\WINDOWS

12.07.2006 14:35 0 keyboard1.dat
01.07.2006 16:57 533.398 setupapi.log
01.07.2006 16:52 42.736 icont.exe
01.07.2006 15:18 0 newname.dat
01.07.2006 15:18 40 teller2.chk

Verzeichnis von C:\

12.07.2006 14:36 20.480 drsmartload849z.exe
12.07.2006 14:35 20.480 drsmartload46z.exe
12.07.2006 14:35 20.480 drsmartload45z.exe
12.07.2006 14:35 20.480 drsmartload849a.exe
02.07.2006 12:41 16.384 drsmartload849s.exe
02.07.2006 12:40 16.384 drsmartload46s.exe
02.07.2006 12:40 16.384 drsmartload45s.exe
01.07.2006 15:18 28.672 nwnmb_3.exe
01.07.2006 15:18 28.672 kybrdb_3.exe
01.07.2006 15:18 90.112 dfndrb_3.exe
01.07.2006 15:17 65.536 drsmartload1.exe


Ewido

C:\avenger\backup.zip/avenger/icont.exe -> Adware.AdURL
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/asappsrv.dll -> Adware.CommAd 
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/command.exe -> Adware.CommAd 
C:\avenger\backup.zip/avenger/MWRMSG.DLL -> Adware.Look2Me 
C:\avenger\backup.zip/avenger/REPCFGEX.DLL -> Adware.Look2Me 
C:\avenger\backup.zip/avenger/tracert.dll -> Adware.PurityScan 
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/MyToolBar.dll 
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/p2pnetworking.exe -> Backdoor.IRCBot.qc
C:\avenger\backup.zip/avenger/kybrdb_3.exe -> Backdoor.VB.ary 
C:\avenger\backup.zip/avenger/dr.exe -> Downloader.Adload.ch 
C:\avenger\backup.zip/avenger/drsmartload45s.exe -> Downloader.Adload.ck 
C:\avenger\backup.zip/avenger/drsmartload46s.exe -> Downloader.Adload.ck 
C:\avenger\backup.zip/avenger/drsmartload849s.exe -> Downloader.Adload.ck 
C:\avenger\backup.zip/avenger/nwnmb_3.exe -> Downloader.Adload.cm 
C:\avenger\backup.zip/avenger/drsmartload45z.exe -> Downloader.Adload.cw 
C:\avenger\backup.zip/avenger/drsmartload46z.exe -> Downloader.Adload.cw 
C:\avenger\backup.zip/avenger/drsmartload849a.exe -> Downloader.Adload.cw 
C:\avenger\backup.zip/avenger/drsmartload849z.exe -> Downloader.Adload.cw
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/zrkim.exe -> Downloader.TSUpdate.n 
C:\avenger\backup.zip/avenger/dfndrb_3.exe -> Downloader.VB.afv : Mit Backup gesäubert 
C:\avenger\backup.zip/avenger/drsmartload1.exe -> Downloader.VB.agk : Mit Backup gesäubert 
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/nwnme_5.exe -> Downloader.VB.ahj 
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/dfndre_5.exe -> Hijacker.VB.nh 
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/kybrde_5.exe -> Hijacker.VB.nh
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a

C:\RECYCLER\S-1-5-21-1909509159-2596211564-312850982-1008\Dc5\zrkid\zrkic.dll -> Adware.TargetServer

C:\RECYCLER\S-1-5-21-1909509159-2596211564-312850982-1008\Dc5\zrkia.exe -> Downloader.TSUpdate.l
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\msconfig.exe -> Backdoor.IRCBot.qc
C:\WINDOWS\SYSTEM32\p2pnetworking.exe -> Backdoor.IRCBot.qc
C:\WINDOWS\Setup.exe -> Backdoor.IRCBot.qc
C:\z.rar/Setup.exe -> Backdoor.IRCBot.qc


C:\WINDOWS\M?crosoft\nslookup.exe -> Downloader.PurityScan.bx

Image: Puityscan

PurityScan

C:\Dokumente und Einstellungen\User\Shared\_\0day mp3s, quality albums.rar/Setup.exe -> Backdoor.IRCBot.qc
C:\Dokumente und Einstellungen\User\Shared\_\123 Audio Video Merger 1.00.rar/Setup.exe
C:\Dokumente und Einstellungen\User\Shared\_\18 Wheels of Steel Convoy Unlocker.rar/Setup.exe
uws. usw


C:\Dokumente und Einstellungen\User\Desktop\Neuer Ordner\ WinAntiVirusPro2006FreeInstall_de.exe -> Not-A-Virus.Downloader.Win32.WinFixer.f

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\ Profiles\4btkcsa7.default\Cache\E1AAA3E5d01 -> Not-A-Virus.Downloader.Win32.WinFixer.f


HKLM\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus
HKU\S-1-5-21-1909509159-2596211564-312850982-1008\Software\Microsoft\ Windows\CurrentVersion\Ext\Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus
HKU\S-1-5-21-1909509159-2596211564-312850982-1008\Software\Microsoft\ Windows\CurrentVersion\Ext\Stats\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} -> Adware.ZangoSearch

Verzeichnis von c:\dokumente und einstellungen\User

01.07.2006 15:24 -DIR- .limewire
12.07.2006 14:35 20.480 dr.exe
14.07.2006 15:01 -DIR- Eigene Dateien
01.07.2006 15:24 -DIR- Incomplete
12.07.2006 14:34 151.112 mc-110-12-0000137.exe
12.07.2006 14:36 248 n.bat
12.07.2006 14:34 32.768 setup.exe
01.07.2006 15:24 -DIR- Shared


C:\Programme\Gemeinsame Dateien\{FC96C113-0958-1031-0731-030512200031}\services.dll
C:\Programme\Gemeinsame Dateien\{FC96C113-0958-1031-0731-030512200031}\Update.exe
c:\dokumente und einstellungen\User\dr.exe
c:\dokumente und einstellungen\User\mc-110-12-0000137.exe
c:\dokumente und einstellungen\User\n.bat
c:\dokumente und einstellungen\User\setup.exe


c:\dokumente und einstellungen\User\n.bat

n.bat ist folgerdermaßen aufgebaut:

@Echo off
:S
Del setup.exe
If Exist setup.exe Goto S
:G
Del dr.exe
If Exist dr.exe Goto G
:H
Del mc-110-12-0000137.exe
If Exist mc-110-12-0000137.exe Goto H
:J
Del mc-110-12-0000140.exe
If Exist mc-110-12-0000140.exe Goto J
Del n.bat


arbeite die bfu ab..und mache auch den Scan mit Sophos
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html


anderer PC

C:\Programme\Common Files\svchostsys\svchostsys.exe
C:\DOKUME~1\User\ANWEND~1\YSTEM3~1\msconfig.exe
C:\WINDOWS\?ppPatch\??ool32.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\msconfig.exe
C:\Programme\TClock\TClock.exe
C:\dfndre_5.exe

C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}\Update.exe
R3 - URLSearchHook: (no name) - {F42E3E5A-F9EA-8865-983F-89BADC134F96} - C:\WINDOWS\system32\kzlr.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {133D13B2-CFBB-4CFC-8729-3EB13CFB4BCD} - C:\WINDOWS\system32\wpdtrbce.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O2 - BHO: (no name) - {F42E3E5A-F9EA-8865-983F-89BADC134F96} - C:\WINDOWS\system32\kzlr.dll

O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll

O4 - HKLM\..\Run: [p2p networking] p2pnetworking.exe
O4 - HKLM\..\Run: [defender] C:\\dfndre_5.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrde_5.exe
O4 - HKLM\..\Run: [newname] C:\\nwnme_5.exe
O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe
O4 - HKCU\..\Run: [sys_up1] C:\Programme\Common Files\svchostsys\svchostsys.exe
04 - HKCU\..\Run: [Bier] "C:\DOKUME~1\User\ANWEND~1\YSTEM3~1\msconfig.exe" -vt yazr
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\Run: [Mykxapp] C:\WINDOWS\?ppPatch\??ool32.exe

O4 - Global Startup: msconfig.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\scanregw.dll
O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\ghmf32.dll
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\dhnlobby.dll
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\epcapi.dll


C:\Dokumente und Einstellungen\User\Anwendungsdaten\?ystem32\msconfig.exe -> Trojan.PurityAd
C:\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe -> Trojan.Scapur.k
C:\Programme\Common Files\simtest\sysstall.exe -> Trojan.Zapchast.bl
C:\Programme\Snowball Wars\SnowballWars.exe -> Dropper.VB.mz
C:\nwnme_5.exe -> Downloader.VB.ahj
C:\Programme\Common Files\svchostsys\svchostupdate.exe -> Downloader.Small
C:\Programme\Common Files\svchostsys\svchostsys.exe -> Downloader.Small

C:\z.rar/Setup.exe -> Backdoor.IRCBot.qc
C:\WINDOWS\Setup.exe -> Backdoor.IRCBot.qc

C:\!KillBox\p2pnetworking.exe -> Backdoor.IRCBot.qc
C:\Programme\ToolBar888\MyToolBar.dll -> Adware.Softomate
C:\Dokumente und Einstellungen\User\Eigene Dateien\bestcasino.exe -> Adware.Casino

C:\Installer.exe -> Adware.Look2Me
C:\warebundle2.exe -> Adware.Look2Me
C:\warebundlenew.exe -> Adware.Look2Me
C:\!KillBox\scanregw.dll -> Adware.PurityScan
C:\!KillBox\wpdtrbce.dll -> Downloader.Small.cgu
C:\drsmartload45z.exe -> Downloader.Adload.cw
C:\drsmartload46z.exe -> Downloader.Adload.cw
C:\drsmartload849a.exe -> Downloader.Adload.cw
C:\drsmartload849z.exe -> Downloader.Adload.cw
C:\drsmartload1.exe -> Downloader.Adload.cy

Look2Me-Destroyer V1.0.5 abarbeiten
http://virus-protect.org/l2mfix.html

Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Scan started at 13.7.2006 17:56:05

Infected! C:\WINDOWS\system32\ghmf32.dll
Infected! C:\WINDOWS\system32\epcapi.dll
Infected! C:\WINDOWS\system32\dhnlobby.dll
Infected! C:\WINDOWS\system32\dhnlobby.dll
Infected! C:\WINDOWS\system32\epcapi.dll
Infected! C:\WINDOWS\system32\ghmf32.dll

Verzeichnis von C:\

13.07.2006 14:45 418.445 Mendoza1.exe
13.07.2006 14:43 40.960 kybrde_5.exe

Verzeichnis von C:\WINDOWS

13.07.2006 14:47 43 drsmartload2.dat
13.07.2006 14:43 0 keyboard1.dat
13.07.2006 14:43 0 newname.dat
13.07.2006 14:43 40 teller2.chk

Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

3.07.2006 16:58 260.883 b116.exe
13.07.2006 16:50 167.991 b122.exe

Verzeichnis von C:\WINDOWS\system32

13.07.2006 14:46 2 wnstssv.exe
13.07.2006 14:44 248 n.bat
13.07.2006 14:43 20.480 dr.exe
13.07.2006 14:43 151.112 mc-110-12-0000137.exe
13.07.2006 14:43 32.768 setup.exe.tmp
13.07.2006 14:43 0 taskkill.exe
13.07.2006 14:42 147.456 vbzip10.dll

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Programme\Snowball Wars" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Programme\ipwins" >>files.txt
dir "C:\Programme\ToolBar888" >>files.txt
dir "C:\Programme\TClock" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{440BD6F1-05FD-1031-0710-020827020031}" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\Totem Shared" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\uufi" >>files.txt
dir "C:\Programme\InetGet2" >>files.txt
dir "C:\Programme\Common Files\misc001" >>files.txt
dir "C:\Programme\Common Files\simtest" >>files.txt
dir "C:\Programme\Common Files\svchostsys" >>files.txt
notepad files.txt

C:\WINDOWS\system32\p2pnetworking.exe 
C:\WINDOWS\system32\wnstssv.exe
C:\WINDOWS\system32\n.bat
C:\WINDOWS\system32\dr.exe
C:\WINDOWS\system32\mc-110-12-0000137.exe
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\taskkill.exe
C:\WINDOWS\system32\vbzip10.dll

C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk 
C:\WINDOWS\Setup.exe -> Backdoor.IRCBot.qc

C:\Mendoza1.exe
C:\kybrde_5.exe 
C:\nwnme_5.exe
C:\z.rar/Setup.exe 
C:\drsmartload45z.exe 
C:\drsmartload46z.exe 
C:\drsmartload849a.exe 
C:\drsmartload849z.exe 
C:\drsmartload1.exe
C:\Installer.exe -> Adware.Look2Me 
C:\warebundle2.exe -> Adware.Look2Me 
C:\warebundlenew.exe -> Adware.Look2Me

C:\Programme\ToolBar888
C:\Programme\ToolBar888\MyToolBar.dll
C:\Programme\ToolBar888\Activate.exe
C:\Programme\ToolBar888\Uninst.exe 

C:\Programme\Snowball Wars
C:\Programme\Snowball Wars\License.txt
C:\Programme\Snowball Wars\uninstaller.exe 
C:\Programme\Snowball Wars\SnowballWars.exe

C:\Programme\ipwins
C:\Programme\ipwins\count.dat
C:\Programme\ipwins\data.dat
C:\Programme\ipwins\date.dat
C:\Programme\ipwins\settings.dat
C:\Programme\ipwins\settingsDate.dat
C:\Programme\ipwins\Uninst.exe 
C:\Programme\ipwins\s154.1.dat
C:\Programme\ipwins\s20c.1.dat
C:\Programme\ipwins\s3rc.1.dat 

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\
14.07.2006 14:44 275.119 b115.exe
11.07.2006 15:47 260.883 b116.exe
17.07.2006 10:36 188.158 b121.exe
11.07.2006 15:39 167.991 b122.exe 
17.07.2006 09:56 852.566 cmdinst.exe 

C:\Programme\TClock
C:\Programme\TClock\tcdll.tclock
C:\Programme\TClock\tclock.exe
C:\Programme\TClock\tclock.ini
C:\Programme\TClock\tclock_install.exe

c:\dokumente und einstellungen\User
c:\dokumente und einstellungen\User\dr.exe
c:\dokumente und einstellungen\User\mc-110-12-0000137.exe
c:\dokumente und einstellungen\User\n.bat
c:\dokumente und einstellungen\User\setup.exe 

C:\Programme\Common Files\simtest
C:\Programme\Common Files\simtest\svchostsys.bat
C:\Programme\Common Files\simtest\sysstall.exe
C:\Programme\Common Files\simtest\temp.txt 

C:\Programme\Gemeinsame Dateien\
C:\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe

C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}\services.dll
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}\Update.exe

C:\Programme\Common Files\svchostsys
C:\Programme\Common Files\svchostsys\ICSharpCode.SharpZipLib.dll
C:\Programme\Common Files\svchostsys\svchostsys.exe.config
C:\Programme\Common Files\svchostsys\svchostupdate.exe
C:\Programme\Common Files\svchostsys\svchostupdate.exe.config
C:\Programme\Common Files\svchostsys\Version.txt

Verzeichnis von C:\Programme\Common Files

13.07.2006 02:59 -DIR- misc001
13.07.2006 13:34 -DIR- simtest   --> C:\Programme\Common Files\simtest\sysstall.exe -> Trojan.Zapchast.bl
13.07.2006 13:34 -DIR- svchostsys

Verzeichnis von C:\Programme\Common Files\misc001
09.05.2006 16:53 310.122 Mendoza.exe 

Verzeichnis von C:\Programme\Common Files\simtest
21.04.2006  29 svchostsys.bat
13.07.2006  4 temp.txt
13.07.2006 sysstall.exe

Verzeichnis von C:\Programme\Common Files\svchostsys
21.08.2004 11:57 122.880 ICSharpCode.SharpZipLib.dll
20.04.2006 23:09 572 svchostsys.exe.config
20.04.2006 23:44 620 svchostupdate.exe.config
20.04.2006 23:47 3 Version.txt 

Verzeichnis von C:\Programme\ipwins
15.07.2006 18:13 3 count.dat
13.07.2006 16:50 48 data.dat
15.07.2006 17:25 12 date.dat
06.06.2006 16:22 159.744 ipwins.exe
13.07.2006 16:55 1.311 s2q8.dat
13.07.2006 18:15 1.269 sdo.1.dat
13.07.2006 16:50 102 settings.dat
13.07.2006 16:50 12 settingsDate.dat
13.07.2006 18:09 1.105 shs.1.dat
13.07.2006 17:56 21.467 sjg.1.dat
13.07.2006 16:50 34.717 Uninst.exe 

Verzeichnis von C:\Programme\ToolBar888
08.06.2006  45.056 Activate.exe
13.07.2006  34.950 Uninst.exe
13.07.2006  MyToolBar.dll

Verzeichnis von C:\Programme\TClock
01.06.2005 01:39 48.128 tcdll.tclock
05.06.2006 17:40 172.032 tclock.exe
13.07.2006 14:45 170 tclock.ini
10.07.2006 11:45 140.133 tclock_install.exe 

Verzeichnis von C:\Programme\InetGet2

--------------------------------------------- 

Verzeichnis von C:\Programme 
13.07.2006 17:01 -DIR- InetGet2 
15.07.2006 18:14 -DIR- ipwins 
13.07.2006 14:45 -DIR- Snowball Wars
13.07.2006 14:45 -DIR- TClock 
15.07.2006 00:35 -DIR- ToolBar888

Verzeichnis von C:\Dokumente und Einstellungen\Username\Anwendungsdaten 
13.07.2006 19:11 -DIR- ?ystem32  -> Purityscan

Verzeichnis von C:\Dokumente und Einstellungen\User
13.07.2006 17:29 248 n.bat
13.07.2006 17:28 32.768 setup.exe
25.11.2005 13:42 -DIR- Startmen 



anderer PC
Verzeichnis von C:\WINDOWS\system32
13.07.2006 19:19 2 wintsvtr.exe
13.07.2006 19:18 81.920 ping.dll
11.07.2006 15:04 3.120 118290.54
11.07.2006 12:18 687.592 atmtd.dll._
11.07.2006 12:18 687.592 atmtd.dll
10.07.2006 12:37 32.768 setup.exe.tmp
10.07.2006 12:21 62.464 bszip.dll
10.07.2006 12:21 0 cmd.com
10.07.2006 12:21 0 tasklist.com
10.07.2006 12:21 0 taskkill.com
10.07.2006 12:21 0 tracert.com
10.07.2006 12:21 0 regedit.com
10.07.2006 12:21 0 ping.com
10.07.2006 12:21 0 netstat.com 
28.06.2006 17:09 139.264 jike.dll 
13.04.2006 15:23 13 tr98s2n61c.dll
31.03.2006 14:33 15.529 dfrgsrv.exe 

Verzeichnis von C:\WINDOWS 
17.07.2006 09:48 0 keyboard1.dat
11.07.2006 15:04 3.120 118294.78
11.07.2006 15:04 3.833 PC Defender Antispyware Patch Log.txt
11.07.2006 14:42 659 Patch Patch Log.txt
10.07.2006 12:51 43 drsmartload2.dat
10.07.2006 12:51 9.958 MTE3NDI6ODoxNg.exe
10.07.2006 12:46 0 newname.dat
10.07.2006 12:45 40 teller2.chk 

Verzeichnis von C:\
17.07.2006 09:54 20.480 drsmartload849a3.exe
17.07.2006 09:53 20.480 drsmartload46a3.exe
17.07.2006 09:53 32.768 drsmartload1.exe
17.07.2006 09:53 20.480 drsmartload45a3.exe
17.07.2006 09:53 578.560 Installer2.exe
17.07.2006 09:53 578.560 warebundlenewer.exe
15.07.2006 12:09 20.480 drsmartload849a1.exe
15.07.2006 12:09 20.480 drsmartload46a1.exe
15.07.2006 12:09 20.480 drsmartload45a1.exe
13.07.2006 19:20 20.480 drsmartload849z.exe
13.07.2006 19:17 28.672 nwnmad_5.exe
13.07.2006 19:17 81.920 dfndrad_5.exe
13.07.2006 19:17 40.960 kybrdad_5.exe
12.07.2006 07:38 20.480 drsmartload46z.exe
12.07.2006 07:37 20.480 drsmartload45z.exe
11.07.2006 12:13 578.560 warebundle2.exe
11.07.2006 12:09 28.672 nwnme_5.exe
11.07.2006 12:09 40.960 kybrde_5.exe
11.07.2006 12:09 81.920 dfndre_5.exe
10.07.2006 12:51 253.777 Mendoza1.exe
10.07.2006 12:49 20.480 drsmartload849y.exe
10.07.2006 12:49 20.480 drsmartload46y.exe
10.07.2006 12:49 20.480 drsmartload45y.exe
10.07.2006 12:49 578.560 Installer.exe
10.07.2006 12:48 578.560 warebundlenew.exe
10.07.2006 12:47 151.112 mc-110-12-0000228.exe
10.07.2006 12:46 20.480 drsmartload849a.exe
10.07.2006 12:46 28.672 nwnmd_5.exe
10.07.2006 12:45 40.960 kybrdd_5.exe
10.07.2006 12:45 81.920 dfndrd_5.exe
23.03.2006 13:50 192 BcBtRmv.log
18.03.2006 18:35 16 mxfilerelatedcache.mxc2 

Verzeichnis von C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp 
14.07.2006 14:44 275.119 b115.exe
11.07.2006 15:47 260.883 b116.exe
17.07.2006 10:36 188.158 b121.exe
11.07.2006 15:39 167.991 b122.exe
17.07.2006 09:56 852.566 cmdinst.exe 

14.07.2006 12:57 -DIR- msohtml1
14.07.2006 16:39 -DIR- NamoWe 

Look2Me-Destroyer V1.0.5
http://virus-protect.org/l2mfix.html

Avenger

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Files to delete:
C:\drsmartload849a3.exe
C:\drsmartload46a3.exe
C:\drsmartload1.exe
C:\drsmartload45a3.exe
C:\Installer2.exe
C:\warebundlenewer.exe
C:\drsmartload849a1.exe
C:\drsmartload46a1.exe
C:\drsmartload45a1.exe
C:\drsmartload849z.exe
C:\nwnmad_5.exe
C:\dfndrad_5.exe
C:\kybrdad_5.exe
C:\drsmartload46z.exe
C:\drsmartload45z.exe
C:\warebundle2.exe
C:\nwnme_5.exe
C:\kybrde_5.exe
C:\dfndre_5.exe
C:\Mendoza1.exe
C:\drsmartload849y.exe
C:\drsmartload46y.exe
C:\drsmartload45y.exe
C:\Installer.exe
C:\warebundlenew.exe
C:\mc-110-12-0000228.exe
C:\drsmartload849a.exe
C:\nwnmd_5.exe
C:\kybrdd_5.exe
C:\dfndrd_5.exe
C:\BcBtRmv.log
C:\mxfilerelatedcache.mxc2
C:\z.rar/Setup.exe
C:\WINDOWS\Setup.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\118294.78
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\MTE3NDI6ODoxNg.exe
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\uninstall_nmon.vbs
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\b115.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\b116.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\b121.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\b122.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\cmdinst.exe
C:\WINDOWS\system32\wintsvtr.exe
C:\WINDOWS\system32\ping.dll
C:\WINDOWS\system32\118290.54
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\jike.dll
C:\WINDOWS\system32\tr98s2n61c.dll
C:\WINDOWS\system32\dfrgsrv.exe
C:\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe
C:\Dokumente und Einstellungen\%Username%\n.bat
C:\Dokumente und Einstellungen\%Username%\setup.exe
C:\Dokumente und Einstellungen\%Username%\dr.exe 
C:\Dokumente und Einstellungen\mc-110-12-0000137.exe

Folders to delete: 
C:\Programme\outlook
C:\WINDOWS\TGVvbmFyZGEgR3L8bmln
C:\Programme\Network Monitor
C:\Programme\TClock
C:\Programme\ToolBar888
C:\Programme\ipwins
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}
C:\Programme\Common Files\simtest
C:\Programme\Common Files\misc001
C:\Programme\Common Files\svchostsys

arbeite die bfu und sophos ab
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
http://virus-protect.org/artikel/bfu/winlog_bfu.html
http://virus-protect.org/artikel/bfu/zango_bfu.html


TuneUp(30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html

wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

scanne mit ewido
http://virus-protect.org/ewido.html



Verzeichnis von C:\Programme\SinEspias
19.11.2005 14:42 108 danger.txt
19.11.2005 14:42 76.288 safetyfilter.dll
19.11.2005 14:42 21.504 sfhelper.dll
19.11.2005 14:42 8.704 sporder.dll

Verzeichnis von C:\Programme\Snowball Wars
02.05.2006 17:56 16.929 License.txt

C:\Programme\Common Files\svchostsys\ICSharpCode.SharpZipLib.dll
C:\Programme\Common Files\svchostsys\svchostsys.exe.config
C:\Programme\Common Files\svchostsys\svchostupdate.exe.config
C:\Programme\Common Files\svchostsys\Version.txt
C:\Programme\Common Files\simtest\svchostsys.bat
C:\Programme\Common Files\simtest\temp.txt



anderer PC

Verzeichnis von C:\WINDOWS\system32

22.07.2006 19:20 540.672 hqghumea.dll
22.07.2006 18:51 71 i
21.07.2006 20:40 290.816 sucker.exe
21.07.2006 15:32 0 eraseme_12641.exe
21.07.2006 14:09 540.672 implib.dll
21.07.2006 13:48 0 eraseme_13003.exe

Verzeichnis von C:\

21.07.2006 14:10 32.768 nwnmed_7.exe
21.07.2006 14:10 28.672 kybrded_7.exe
21.07.2006 14:10 73.728 dfndred_7.exe
20.07.2006 19:41 15.360 iexplorer.exe
19.07.2006 13:47 25.391 winhire16.exe
15.07.2006 22:16 20.480 wksv.exe
15.07.2006 22:16 6.131 winpatch.exe
13.07.2006 19:30 28.672 nwnmad_5.exe
13.07.2006 19:29 81.920 dfndrad_5.exe
10.07.2006 22:25 227 woot.exe
28.05.2006 22:02 7.824 motrace.com

neuer Durchlauf


Verzeichnis von C:\WINDOWS\system32

24.07.2006 21:21 544.768 hqghumea.dll
24.07.2006 21:19 0 fswinsys.exe
24.07.2006 21:07 1.140.120 updates32.exe
24.07.2006 21:06 544.768 canary.dll
22.07.2006 17:54 40.973 hggdd.dll
22.07.2006 17:54 40.973 urqro.dll
22.07.2006 17:54 40.973 byxvw.dll
18.07.2006 23:42 552.960 msinfo32.exe
17.07.2006 15:53 688.128 install32.exe

Verzeichnis von C:\WINDOWS

24.07.2006 21:08 42 drsmartload2.dat
24.07.2006 21:08 0 newname.dat
24.07.2006 21:08 0 keyboard1.dat
24.07.2006 21:08 40 teller2.chk

Verzeichnis von C:\

24.07.2006 21:21 32.768 drsmartload.exe
24.07.2006 21:08 4.137 drsmartload46a7f.exe
24.07.2006 21:08 20.480 drsmartload45a7f.exe
24.07.2006 21:08 32.768 nwnmef_7.exe
24.07.2006 21:08 21.638 MTE3NDI6ODoxNg.exe
24.07.2006 21:08 4.118 stub_113_4_0_4_0newer.exe
24.07.2006 21:08 32.768 kybrdef_7.exe
24.07.2006 21:08 77.824 dfndref_7.exe

neuer Durchlauf

Verzeichnis von C:\WINDOWS\system32

27.07.2006 21:35 565.665 qrutv.ini
27.07.2006 21:33 67 x
27.07.2006 21:33 0 hqghumea.dll
27.07.2006 21:33 1.064 fnp25c27.sys
27.07.2006 21:22 563.943 qrutv.bak2
27.07.2006 21:20 61.440 fnp25c27.dll
27.07.2006 21:20 29.696 w002cb35.dll
24.07.2006 21:26 525.376 qrutv.bak1
24.07.2006 21:26 17.750 snmrohhl.exe
24.07.2006 21:26 573.492 vturq.dll
22.07.2006 17:54 40.973 iiige.dll

Verzeichnis von C:\WINDOWS

27.07.2006 21:21 185 em06y.ini
27.07.2006 21:21 376.832 876057.exe
27.07.2006 21:21 79.648 em.ocx - Adware-MediaMotor.dll

Verzeichnis von C:\

27.07.2006 21:21 4.137 drsmartload849a7i.exe
27.07.2006 21:20 20.480 drsmartload45a7i.exe
27.07.2006 21:20 517.168 ucmoreiex.exe
27.07.2006 21:20 2.560 ac3_0010.exe

neuer Durchlauf

Verzeichnis von C:\WINDOWS\system32

29.07.2006 18:30 209.492 stvut.ini
29.07.2006 18:29 540.672 hqghumea.dll
29.07.2006 16:01 130.558 ww32.exe
29.07.2006 16:01 138.700 mok32.exe
29.07.2006 16:00 540.672 implib.dll
29.07.2006 14:49 0 fswinsys.exe
29.07.2006 14:34 544.768 canary.dll
29.07.2006 14:26 205.918 stvut.bak1
29.07.2006 14:26 573.492 tuvts.dll
29.07.2006 14:15 0 TFTP980
22.07.2006 17:54 40.973 mllih.dll
22.06.2006 00:25 16.384 dotdr.exe

Verzeichnis von C:\WINDOWS

29.07.2006 15:08 185 em06y.ini
29.07.2006 15:08 0 keyboard1.dat
29.07.2006 15:08 40 teller2.chk
29.07.2006 15:08 0 newname.dat
29.07.2006 15:07 2 tempf.txt
29.07.2006 15:07 610 affbun.txt

Verzeichnis von C:\

29.07.2006 15:08 4.137 drsmartload46a7i.exe
29.07.2006 15:08 20.480 drsmartload45a7i.exe
29.07.2006 15:08 32.768 kybrdfg_7.exe
29.07.2006 15:08 32.768 nwnmfg_7.exe
29.07.2006 15:07 14.338 MTE3NDI6ODoxNg.exe



VundoFix
C:\windows\system32\vturq.dll
C:\windows\system32\qrutv.ini
C:\windows\system32\qrutv.bak1
C:\windows\system32\qrutv.bak2
C:\windows\system32\qrutv.tmp
C:\WINDOWS\system32\Drivers\DP.sys

Combofix

2006-07-29 18:29:04 540672 ( A.... ) "C:\WINDOWS\system32\hqghumea.dll"
2006-07-29 16:01:42 130558 ( A.... ) "C:\WINDOWS\system32\ww32.exe"
2006-07-29 16:01:36 138700 ( A.... ) "C:\WINDOWS\system32\mok32.exe"
2006-07-29 16:00:38 540672 ( ..SH. ) "C:\WINDOWS\system32\implib.dll"
2006-07-29 15:08:12 4137 ( A.... ) "C:\drsmartload46a7i.exe"
2006-07-29 15:08:10 20480 ( A.... ) "C:\drsmartload45a7i.exe"
2006-07-29 15:08:04 32768 ( A.... ) "C:\kybrdfg_7.exe"
2006-07-29 15:08:00 32768 ( A.... ) "C:\nwnmfg_7.exe"
2006-07-29 15:07:58 14338 ( A.... ) "C:\MTE3NDI6ODoxNg.exe"
2006-07-29 14:49:20 0 ( A.... ) "C:\WINDOWS\system32\fswinsys.exe"
2006-07-29 14:34:34 544768 ( ..SH. ) "C:\WINDOWS\system32\canary.dll"
2006-07-29 14:26:22 573492 ( ..SH. ) "C:\WINDOWS\system32\tuvts.dll"
2006-07-27 21:20:30 ( .D... ) "C:\Programme\TheSearchAccelerator"
2006-07-24 21:07:58 ( .D... ) "C:\Programme\ToolBar888"
2006-07-24 21:07:58 ( .D... ) "C:\Programme\Gemeinsame Dateien\{90692DEB-04DC-1031-1029-02110200002b}"
2006-07-22 17:54:46 40973 ( A.... ) "C:\WINDOWS\system32\mllih.dll"
2006-07-10 21:03:46 ( .D... ) "C:\Programme\Gemeinsame Dateien\{90692DEB-04DC-1031-1029-021102000031}"
2006-06-22 00:25:36 16384 ( A.... ) "C:\WINDOWS\system32\dotdr.exe"
2006-06-08 07:25:12 ( .D... ) "C:\Programme\TClock"
2006-06-07 22:08:18 ( .D... ) "C:\Programme\Common Files"
2006-06-04 22:23:48 ( .D... ) "C:\Programme\?racle"
2006-05-27 12:21:06 32177 ( ..SH. ) "C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe"
Ewido

Adware.Ucmore - TheSearchAccelerator

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UCmore
HKEY_LOCAL_MACHINE\SOFTWARE\Effective-i

C:\Programme\TheSearchAccelerator
C:\Programme\TheSearchAccelerator\INSTALL.LOG
C:\Programme\TheSearchAccelerator\IUCmore.dll
C:\Programme\TheSearchAccelerator\TBlogin.users.ucmore.com.4.5.40.0
C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
C:\Programme\TheSearchAccelerator\UNWISE.EXE
C:\Programme\TheSearchAccelerator\logo.ico
C:\Programme\TheSearchAccelerator\toolbar.cfg

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTYVODQJ\ucmoreiex[1].exe/IUCMORE.DLL
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTYVODQJ\ucmoreiex[1].exe/UCMTSAIE.DLL
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTYVODQJ\ucmoreiex[1].exe/empty_00000001
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NRSBC813\ac3_0010[1].exe -> Downloader.Small
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NRSBC813\drsmartload45a[1].exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B4CHEPGY\drsmartload849a[1].exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1ZLFYRBM\drsmartload46a[1].exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1ZLFYRBM\loader[1].exe -> Downloader.Adload.di

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\245ZUU9G\JohnnyUPX[1].exe -> Proxy.Small.eu

C:\Dokumente und Einstellungen\User\eltcelcius.exe -> Backdoor.Small
C:\Dokumente und Einstellungen\User\upddd.exe/eltcelcius.exe -> Backdoor.Small
C:\Dokumente und Einstellungen\User\woa32.exe/dotdr.exe -> Downloader.Adload.ch
C:\Dokumente und Einstellungen\User\ww32.exe/dotdr.exe -> Downloader.Adload.ch
C:\Dokumente und Einstellungen\User\woa32.exe/dotrm.dll -> Downloader.ConHook.ad
C:\Dokumente und Einstellungen\User\ww32.exe/dotrm.dll -> Downloader.ConHook.ad
C:\Dokumente und Einstellungen\User\msinfo32.exe -> Downloader.VB.aiw

C:\WINDOWS\system32\ww32.exe/dotdr.exe -> Downloader.Adload.ch
C:\WINDOWS\system32\ww32.exe/dotrm.dll -> Downloader.ConHook.ad
C:\WINDOWS\system32\w002c394.dll -> Downloader.Small
C:\WINDOWS\system32\canary.dll -> Logger.Agent.nv
C:\WINDOWS\system32\hqghumea.dll -> Logger.Agent.nv

C:\drsmartload.exe -> Downloader.Adload.di
C:\drsmartload45a7i.exe -> Downloader.VB.aiw
C:\drsmartload45a8b.exe -> Downloader.VB.aiw
C:\drsmartload46a8b.exe -> Downloader.VB.aiw
C:\drsmartload849a8b.exe -> Downloader.VB.aiw
C:\nwnmfg_7.exe -> Downloader.VB.aiy

C:\WINDOWS\system32\drivers\etc\hosts -> Worm.Anker.n
C:\WINDOWS\system32\drivers\etc\hosts.bak -> Worm.Anker.n

virus-protect.org Valid HTML 4.0 Ranking-Hits