Trojan.Proxy, inet20026, vxgamet3.exe, kernels8.exe, spoolsvv.exe, testtestt.exe
Zitat: Habe seit neustem unten in der Taskleiste besagtes zeichen, welches mich darauf hinweisst, dass mein System infiziert ist und ich deren AntiSpyware Programm kaufen soll
HijackThis
C:\WINDOWS\inet20026\services.exe
C:\WINDOWS\System32\7cf9402c.exe
C:\Windows\xpupdate.exe
C:\WINDOWS\inet20026\mm5.exe
C:\WINDOWS\inet20026\socks.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\inet20026\select.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\System32\dwwin.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20026\services.exe
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20026\3.03.00.dll
O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [axis okay joy cash] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\
title draw axis okay\blahshow.exe
O4 - HKLM\..\Run: [7cf9402c.exe] C:\WINDOWS\System32\7cf9402c.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20026\services.exe
O4 - HKLM\..\Run: [ÿ_zsk_^lrg^ak]_htmzlc50inkrwksz_] c:\windows\system32\_zskwrkni05clzmth_]ka^grl^_.exe
O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\inet20026\socks.exe
O4 - HKLM\..\RunServices: [ÿ_zsk_^lrg^ak]_htmzlc50inkrwksz_]
c:\windows\system32\_zskwrkni05clzmth_]ka^grl^_.exe
O4 - HKCU\..\Run: [7cf9402c.exe] C:\Dokumente und Einstellungen\user\Lokale Einstellungen\
Anwendungsdaten\7cf9402c.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [ÿ_zsk_^lrg^ak]_htmzlc50inkrwksz_] c:\windows\system32\_zskwrkni05clzmth_]ka^grl^_.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20026\services.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{36B54111-6037-4FE2-8CA2-60ED426774CD}:
NameServer = 85.255.114.67,85.255.112.140
O17 - HKLM\System\CCS\Services\Tcpip\..\{77A37DF5-B7B4-48C4-B716-C8F50A6A3620}:
NameServer = 85.255.114.67,85.255.112.140
O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users
\Dokumente\Settings\artm_new.dll
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe
|
datfindbat
C:\WINDOWS\System32\
06.07.2006 21:36 0 winrknj
06.07.2006 21:35 1.232 TheMatrixHasYou.exe
06.07.2006 21:35 20.992 _zskwrkni05CLZMTH_]KA^GRL^_.dll
06.07.2006 21:35 11.488 vxgamet3.exe
06.07.2006 21:35 3.072 vxgame4.exe
06.07.2006 21:35 15.203 vxgame1.exe
06.07.2006 21:35 15.546 vxgamet2.exe
06.07.2006 21:35 16 dlh9jkdq8.exe
06.07.2006 21:35 7.701 kernels8.exe
01.07.2006 19:39 26.705 spoolsvv.exe
01.07.2006 19:39 21.504 7cf9402c.exe
01.07.2006 19:39 11.488 testtestt.exe
01.07.2006 19:39 13.312 maxd641.exe
01.07.2006 19:39 7.482 dlh9jkdq7.exe
01.07.2006 19:39 7.482 dlh9jkdq6.exe
01.07.2006 19:39 6.630 dlh9jkdq5.exe
01.07.2006 19:39 17.894 dlh9jkdq2.exe
01.07.2006 19:38 2.518 dlh9jkdq1.exe
17.05.2006 13:20 5.064 stdole3.tlb
17.05.2006 12:36 5.632 simpole.tlb
17.05.2006 12:35 176.128 appmagr.dll
17.05.2006 12:35 9.872 atmclk.exe
17.05.2006 12:35 44.032 dcomcfg.exe
17.05.2006 12:34 35.341 regperf.exe
Den folgenden Text in den Editor (Start - Zubehör - Editor)
kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop
diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text,
der erscheint
cd\
dir "C:\WINDOWS\inet20026" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
notepad files.txt
|
Verzeichnis von C:\Dokumente und Einstellungen\User\Anwendungsdaten
07.07.2006 00:11 0 Install.dat
01.07.2006 20:11 -DIR- WIPEUP~1 Wipe Up
Verzeichnis von C:\WINDOWS\inet20026
07.07.2006 13:49 4 1.txt
06.07.2006 23:51 31.232 3.03.00.dll
07.07.2006 13:49 11.776 alg.exe
07.07.2006 03:12 11.776 alg.exe.bak
07.07.2006 13:49 2.560 killer.exe
07.07.2006 03:12 2.560 killer.exe.bak
07.07.2006 13:49 16.896 mm.exe
07.07.2006 13:49 4 mm.pid
07.07.2006 03:12 16.896 mm5.exe
07.07.2006 03:02 16.896 mm5.exe.bak
07.07.2006 03:13 27.648 select.exe.bak
06.07.2006 21:35 13.312 services.exe
07.07.2006 13:49 37.888 socks.exe
07.07.2006 03:12 37.888 socks.exe.bak
07.07.2006 13:49 2 tmp.req
07.07.2006 13:48 13.312 winlogon.exe
Verzeichnis von C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp
07.07.2006 13:53 1.621 mpl2.tmp
07.07.2006 03:13 -DIR- msohtml
07.07.2006 03:26 -DIR- msohtml1
Verzeichnis von C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten
01.07.2006 19:39 21.504 7cf9402c.exe
--------------------------------------------------------------------
löschen:
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\2 MPEG.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\bvfdyuvr.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\elasmxsq.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\etuyyyil.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\mfcd dupe road glue.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\Option Bird Locks.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\reiymjev.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\rylihvsn.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\zjqafyvp.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Wipe Up
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\blahshow.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\buildjugs.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\SoftBait.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\Stop site.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\tick grey.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
C:\WINDOWS\inet20026\1.txt
C:\WINDOWS\inet20026\3.03.00.dll
C:\WINDOWS\inet20026\alg.exe
C:\WINDOWS\inet20026\alg.exe.bak
C:\WINDOWS\inet20026\killer.exe
C:\WINDOWS\inet20026\killer.exe.bak
C:\WINDOWS\inet20026\mm.exe
C:\WINDOWS\inet20026\mm.pid
C:\WINDOWS\inet20026\mm5.exe
C:\WINDOWS\inet20026\mm5.exe.bak
C:\WINDOWS\inet20026\select.exe.bak
C:\WINDOWS\inet20026\services.exe
C:\WINDOWS\inet20026\socks.exe
C:\WINDOWS\inet20026\socks.exe.bak
C:\WINDOWS\inet20026\tmp.req
C:\WINDOWS\inet20026\winlogon.exe
C:\WINDOWS\OEM.exe
C:\WINDOWS\0.log
C:\WINDOWS\xpupdate.exe
C:\WINDOWS\_MSRSTRT.EXE
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\mpl2.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\msohtml
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\msohtml1
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\mpl33.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\mpl32.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\WER9.tmp
C:\WINDOWS\system32\winrknj
C:\WINDOWS\system32\TheMatrixHasYou.exe
C:\WINDOWS\system32\ _zskwrkni05CLZMTH_]KA^GRL^_.dll
c:\windows\system32\_zskwrkni05clzmth_]ka^grl^_.exe
C:\WINDOWS\system32\vxgamet3.exe
C:\WINDOWS\system32\vxgame4.exe
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\vxgamet2.exe
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\spoolsvv.exe
C:\WINDOWS\system32\7cf9402c.exe
C:\WINDOWS\system32\testtestt.exe
C:\WINDOWS\system32\maxd641.exe
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq5.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\dlh9jkdq1.exe
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\appmagr.dll
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\System32\hgqhp.exe
C:\WINDOWS\System32\dflnl.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Install.dat
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\7cf9402c.exe
smitfraudfix abarbeiten
http://virus-protect.org/artikel/tools/smitfrautfix.html
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\svchost.exe FOUND !
FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten
Dr.Web
http://virus-protect.org/cureit.html
C:\!Submit\_zskwrkni05CLZMTH_]KA^GRL^_.exe infiziert mit Trojan.Proxy.986 - gelöscht
C:\WINDOWS\system32\_zskwrkni05CLZMTH_]KA^GRL^_.dll infiziert mit Trojan.Proxy.991 - gelöscht
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\
Content.IE5\EXG5CDEX\g2[1].txt infiziert mit BackDoor.IRC.Sdbot.374 - gelöscht
C:\Programme\Mozilla Firefox\plugins\npclntax.dll ist ein Adware-Programm Adware.Zango
C:\Programme\WinRAR\Dos.SFX>C:\WINDOWS\OEM.exe.bak infiziert mit Trojan.Spambot - gelöscht
C:\WINDOWS\inet20026\mm.exe.bak möglicherweise infiziert mit DLOADER.Trojan
C:\WINDOWS\system32\mousemm.exe infiziert mit BackDoor.IRC.Sdbot.374 - gelöscht
C:\Programme\Mozilla Firefox\plugins\npclntax.dll
C:\WINDOWS\inet20026\mm.exe.bak
C:\Programme\C2Media
C:\WINDOWS\inet20026
multiavtool
http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee
Sophos warnt: Wurm kommt als scheinbar harmloser Treiber daher
W32/Sdbot-ABQ enthält Funktionalität zum:
Nach Angaben von Sophos soll der Wurm sich als getarnte Treiberdatei
auf den Rechner einschleichen, den Code aus dem Internet laden
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe
+
C:\WINDOWS\system32\mousemm.exe
- Stehlen vertraulicher Daten, darunter System-Hardware-Informationen
- Durchführen von DDoS-Flooder-Attacken
- heimlichen Herunterladen, Installieren und Starten neuer Software
- Einfügen des Wurms in den Windows-Explorer-Prozess, um sich selbst zu verbergen.
Wenn er erstmals gestartet wird, kopiert sich W32/Sdbot-ABQ nach System\mousecrm.exe.
Die Datei mousecrm.exe wird als neue Treibersystemdatei namens "mousecrm" mit dem Anzeigenamen
"Mouse Cursor Monitor" und dem Starttyp "Automatisch" registriert,
damit sie beim Systemstart automatisch ausgeführt wird. An folgender Stelle werden
Registrierungseinträge erzeugt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mousecrm
Der Wurm kann außerdem eine Protokolldatei in Windows\Debug\dcpromo.log erzeugen.
anderer PC
HijackThis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [p2p networking] p2pnetworking.exe
O4 - HKLM\..\Run: [defender] C:\\dfndre_5.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrde_5.exe
O4 - HKLM\..\Run: [newname] C:\\nwnme_5.exe
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\Run: [Iwaa] "C:\WINDOWS\MCROSO~1\nslookup.exe" -vt yazb
O4 - HKCU\..\Run: [Soleos] C:\WINDOWS\M?crosoft\r?ndll32.exe
O4 - HKCU\..\Run: [zrki] C:\Programme\Gemeinsame Dateien\zrki\zrkim.exe
O4 - Global Startup: msconfig.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\tracert.dll
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\iestall.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmluYSBQaXNjaGtl\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
|
Start -> Ausführen --> regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = den Schluessel loeschen
DisableRegistryTools -> den Schluessel loeschen
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)
Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.
Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein
falls nicht:
Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen >
hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System >
Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen >
neu anmelden > an der Kommandozeile
stelle den CleanUp genauso ein, wie hier angegeben: (dann rechner neustarten)
http://virus-protect.org/cleanup.html
Look2Me-Destroyer V1.0.5
http://virus-protect.org/l2mfix.html
look2me
Look2Me-Destroyer V1.0.12
Infected! C:\WINDOWS\system32\l26o0cj3efo.dll
Infected! C:\WINDOWS\SYSTEM32\aFd.dll
Infected! C:\WINDOWS\SYSTEM32\cFbview.dll
Infected! C:\WINDOWS\SYSTEM32\CydbLangDE.dll
Infected! C:\WINDOWS\SYSTEM32\dbvenum.dll
Infected! C:\WINDOWS\SYSTEM32\folemgmt.dll
Infected! C:\WINDOWS\SYSTEM32\ktl4l73q1.dll
Infected! C:\WINDOWS\SYSTEM32\l26o0cj3efo.dll
Infected! C:\WINDOWS\SYSTEM32\q6nulg5916.dll
Infected! C:\WINDOWS\system32\guard.tmp
Avenger
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
Files to delete:
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\iestall.dll
C:\WINDOWS\system32\p2pnetworking.exe
C:\WINDOWS\SYSTEM32\guard.tmp
C:\WINDOWS\SYSTEM32\cFbview.dll
C:\WINDOWS\SYSTEM32\q6nulg5916.dll
C:\WINDOWS\SYSTEM32\CydbLangDE.dll
C:\WINDOWS\SYSTEM32\l26o0cj3efo.dll
C:\WINDOWS\SYSTEM32\dbvenum.dll
C:\WINDOWS\SYSTEM32\MWRMSG.DLL
C:\WINDOWS\SYSTEM32\REPCFGEX.DLL
C:\WINDOWS\SYSTEM32\ktl4l73q1.dll
C:\WINDOWS\SYSTEM32\folemgmt.dll
C:\WINDOWS\SYSTEM32\aFd.dll
C:\WINDOWS\SYSTEM32\stera.job
C:\WINDOWS\SYSTEM32\WPA.DBL
C:\WINDOWS\SYSTEM32\ktp8l77u1.dll
C:\WINDOWS\SYSTEM32\stera.log
C:\WINDOWS\SYSTEM32\wtssvit.exe
C:\WINDOWS\SYSTEM32\tracert.dll
C:\WINDOWS\SYSTEM32\atmtd.dll
C:\WINDOWS\SYSTEM32\atmtd.dll._
C:\WINDOWS\SYSTEM32\n.bat
C:\WINDWS\SYSTEM32\vbzip10.dll
C:\WINDOWS\SYSTEM32\dr.exe
C:\WINDOWS\SYSTEM32\mc-110-12-0000137.exe
C:\WINDOWS\SYSTEM32\taskkill.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\icont.exe
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk
C:\drsmartload849z.exe
C:\drsmartload46z.exe
C:\drsmartload45z.exe
C:\drsmartload849a.exe
C:\drsmartload849s.exe
C:\drsmartload46s.exe
C:\drsmartload45s.exe
C:\nwnmb_3.exe
C:\kybrdb_3.exe
C:\dfndrb_3.exe
C:\drsmartload1.exe
C:\dfndre_5.exe
C:\kybrde_5.exe
C:\nwnme_5.exe
Folders to delete:
C:\Programme\Common Files\Companion Wizard
C:\Programme\WinAntiVirus Pro 2006
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
C:\Programme\TClock
C:\Programme\Network Monitor
C:\WINDOWS\TmluYSBQaXNjaGtl
C:\Programme\Gemeinsame Dateien\zrki
C:\Programme\ipwins
C:\Programme\ToolBar888
C:\Programme\Snowball Wars
|
Verzeichnis von C:\Programme\Gemeinsame Dateien
01.07.2006 16:54 -DIR- WinAntiVirus Pro 2006
13.07.2006 18:04 -DIR- zrki
12.07.2006 14:35 -DIR- {FC96C113-0958-1031-0731-030512200031}
01.07.2006 15:17 -DIR- InetGet
Verzeichnis von C:\Dokumente und Einstellungen\Username\Anwendungsdaten
01.07.2006 16:54 -DIR- WinAntiVirus Pro 2006
Verzeichnis von C:\Programme\Common Files
01.07.2006 16:56 -DIR- Companion Wizard
Verzeichnis von C:\WINDOWS\Temp
13.07.2006 14:36 -DIR- Aocr
Verzeichnis von C:\Programme
13.07.2006 18:04 -DIR- TClock
01.07.2006 15:59 -DIR- InetGet2
12.07.2006 14:53 -DIR- WinAntiVirus Pro 2006
12.07.2006 16:53 -DIR- Snowball Wars
13.07.2006 18:04 -DIR- Network Monitor
13.07.2006 18:04 -DIR- ToolBar888
13.07.2006 18:04 -DIR- ipwins
-----------------------------------------------------------------------------
scanne mit ewido
http://virus-protect.org/ewido.html
Counterspy - scanne, stelle alles auf remove
http://virus-protect.org/counterspy.html
Verzeichnis von C:\Programme\Gemeinsame Dateien\zrki
03.11.2005 16.896 zrkia.exe
02.07.2006 0 zrkia.lck
12.07.2006 -DIR- zrkid
02.07.2006 0 zrkil.lck
02.07.2006 0 zrkim.lck
02.07.2006 zrkim.exe
Verzeichnis von C:\Programme\ipwins
13.07.2006 3 count.dat
01.07.2006 57 data.dat
13.07.2006 12 date.dat
01.07.2006 20.855 s154.1.dat
12.07.2006 102 settings.dat
12.07.2006 12 settingsDate.dat
01.07.2006 34.717 Uninst.exe
Verzeichnis von C:\Programme\TClock
01.06.2005 48.128 tcdll.tclock
05.06.2006 172.032 tclock.exe
01.07.2006 170 tclock.ini
01.07.2006 tclock_install.exe
Verzeichnis von C:\WINDOWS\SYSTEM32
13.07.2006 18:05 235.212 guard.tmp
13.07.2006 18:05 234.634 cFbview.dll
13.07.2006 18:04 234.272 q6nulg5916.dll
13.07.2006 17:58 234.272 CydbLangDE.dll
13.07.2006 17:58 234.634 l26o0cj3efo.dll
13.07.2006 16:59 236.165 dbvenum.dll
13.07.2006 14:40 234.272 MWRMSG.DLL
13.07.2006 14:29 236.165 REPCFGEX.DLL
13.07.2006 14:27 235.709 ktl4l73q1.dll
13.07.2006 14:18 234.272 folemgmt.dll
12.07.2006 14:53 236.165 aFd.dll
12.07.2006 14:41 2 stera.job
12.07.2006 14:32 1.170 WPA.DBL
02.07.2006 12:52 235.599 ktp8l77u1.dll
02.07.2006 12:36 2 stera.log
01.07.2006 15:43 2 wtssvit.exe
01.07.2006 15:43 81.920 tracert.dll
01.07.2006 15:19 687.592 atmtd.dll
01.07.2006 15:19 687.592 atmtd.dll._
01.07.2006 15:18 248 n.bat
01.07.2006 15:18 147.456 vbzip10.dll
01.07.2006 15:17 16.384 dr.exe
01.07.2006 15:16 39.920 mc-110-12-0000137.exe
01.07.2006 15:15 0 taskkill.exe
Verzeichnis von C:\WINDOWS
12.07.2006 14:35 0 keyboard1.dat
01.07.2006 16:57 533.398 setupapi.log
01.07.2006 16:52 42.736 icont.exe
01.07.2006 15:18 0 newname.dat
01.07.2006 15:18 40 teller2.chk
Verzeichnis von C:\
12.07.2006 14:36 20.480 drsmartload849z.exe
12.07.2006 14:35 20.480 drsmartload46z.exe
12.07.2006 14:35 20.480 drsmartload45z.exe
12.07.2006 14:35 20.480 drsmartload849a.exe
02.07.2006 12:41 16.384 drsmartload849s.exe
02.07.2006 12:40 16.384 drsmartload46s.exe
02.07.2006 12:40 16.384 drsmartload45s.exe
01.07.2006 15:18 28.672 nwnmb_3.exe
01.07.2006 15:18 28.672 kybrdb_3.exe
01.07.2006 15:18 90.112 dfndrb_3.exe
01.07.2006 15:17 65.536 drsmartload1.exe
Ewido
C:\avenger\backup.zip/avenger/icont.exe -> Adware.AdURL
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/asappsrv.dll -> Adware.CommAd
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/command.exe -> Adware.CommAd
C:\avenger\backup.zip/avenger/MWRMSG.DLL -> Adware.Look2Me
C:\avenger\backup.zip/avenger/REPCFGEX.DLL -> Adware.Look2Me
C:\avenger\backup.zip/avenger/tracert.dll -> Adware.PurityScan
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/MyToolBar.dll
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/p2pnetworking.exe -> Backdoor.IRCBot.qc
C:\avenger\backup.zip/avenger/kybrdb_3.exe -> Backdoor.VB.ary
C:\avenger\backup.zip/avenger/dr.exe -> Downloader.Adload.ch
C:\avenger\backup.zip/avenger/drsmartload45s.exe -> Downloader.Adload.ck
C:\avenger\backup.zip/avenger/drsmartload46s.exe -> Downloader.Adload.ck
C:\avenger\backup.zip/avenger/drsmartload849s.exe -> Downloader.Adload.ck
C:\avenger\backup.zip/avenger/nwnmb_3.exe -> Downloader.Adload.cm
C:\avenger\backup.zip/avenger/drsmartload45z.exe -> Downloader.Adload.cw
C:\avenger\backup.zip/avenger/drsmartload46z.exe -> Downloader.Adload.cw
C:\avenger\backup.zip/avenger/drsmartload849a.exe -> Downloader.Adload.cw
C:\avenger\backup.zip/avenger/drsmartload849z.exe -> Downloader.Adload.cw
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/zrkim.exe -> Downloader.TSUpdate.n
C:\avenger\backup.zip/avenger/dfndrb_3.exe -> Downloader.VB.afv : Mit Backup gesäubert
C:\avenger\backup.zip/avenger/drsmartload1.exe -> Downloader.VB.agk : Mit Backup gesäubert
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/nwnme_5.exe -> Downloader.VB.ahj
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/dfndre_5.exe -> Hijacker.VB.nh
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/kybrde_5.exe -> Hijacker.VB.nh
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a
C:\RECYCLER\S-1-5-21-1909509159-2596211564-312850982-1008\Dc5\zrkid\zrkic.dll -> Adware.TargetServer
C:\RECYCLER\S-1-5-21-1909509159-2596211564-312850982-1008\Dc5\zrkia.exe -> Downloader.TSUpdate.l
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\msconfig.exe -> Backdoor.IRCBot.qc
C:\WINDOWS\SYSTEM32\p2pnetworking.exe -> Backdoor.IRCBot.qc
C:\WINDOWS\Setup.exe -> Backdoor.IRCBot.qc
C:\z.rar/Setup.exe -> Backdoor.IRCBot.qc
C:\WINDOWS\M?crosoft\nslookup.exe -> Downloader.PurityScan.bx
Image: Puityscan
C:\Dokumente und Einstellungen\User\Shared\_\0day mp3s, quality albums.rar/Setup.exe -> Backdoor.IRCBot.qc
C:\Dokumente und Einstellungen\User\Shared\_\123 Audio Video Merger 1.00.rar/Setup.exe
C:\Dokumente und Einstellungen\User\Shared\_\18 Wheels of Steel Convoy Unlocker.rar/Setup.exe
uws. usw
C:\Dokumente und Einstellungen\User\Desktop\Neuer Ordner\
WinAntiVirusPro2006FreeInstall_de.exe -> Not-A-Virus.Downloader.Win32.WinFixer.f
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\
Profiles\4btkcsa7.default\Cache\E1AAA3E5d01 -> Not-A-Virus.Downloader.Win32.WinFixer.f
HKLM\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus
HKU\S-1-5-21-1909509159-2596211564-312850982-1008\Software\Microsoft\
Windows\CurrentVersion\Ext\Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus
HKU\S-1-5-21-1909509159-2596211564-312850982-1008\Software\Microsoft\
Windows\CurrentVersion\Ext\Stats\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} -> Adware.ZangoSearch
Verzeichnis von c:\dokumente und einstellungen\User
01.07.2006 15:24 -DIR- .limewire
12.07.2006 14:35 20.480 dr.exe
14.07.2006 15:01 -DIR- Eigene Dateien
01.07.2006 15:24 -DIR- Incomplete
12.07.2006 14:34 151.112 mc-110-12-0000137.exe
12.07.2006 14:36 248 n.bat
12.07.2006 14:34 32.768 setup.exe
01.07.2006 15:24 -DIR- Shared
C:\Programme\Gemeinsame Dateien\{FC96C113-0958-1031-0731-030512200031}\services.dll
C:\Programme\Gemeinsame Dateien\{FC96C113-0958-1031-0731-030512200031}\Update.exe
c:\dokumente und einstellungen\User\dr.exe
c:\dokumente und einstellungen\User\mc-110-12-0000137.exe
c:\dokumente und einstellungen\User\n.bat
c:\dokumente und einstellungen\User\setup.exe
c:\dokumente und einstellungen\User\n.bat
n.bat ist folgerdermaßen aufgebaut:
@Echo off
:S
Del setup.exe
If Exist setup.exe Goto S
:G
Del dr.exe
If Exist dr.exe Goto G
:H
Del mc-110-12-0000137.exe
If Exist mc-110-12-0000137.exe Goto H
:J
Del mc-110-12-0000140.exe
If Exist mc-110-12-0000140.exe Goto J
Del n.bat
|
arbeite die bfu ab..und mache auch den Scan mit Sophos
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
anderer PC
C:\Programme\Common Files\svchostsys\svchostsys.exe
C:\DOKUME~1\User\ANWEND~1\YSTEM3~1\msconfig.exe
C:\WINDOWS\?ppPatch\??ool32.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\msconfig.exe
C:\Programme\TClock\TClock.exe
C:\dfndre_5.exe
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}\Update.exe
R3 - URLSearchHook: (no name) - {F42E3E5A-F9EA-8865-983F-89BADC134F96} - C:\WINDOWS\system32\kzlr.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {133D13B2-CFBB-4CFC-8729-3EB13CFB4BCD} - C:\WINDOWS\system32\wpdtrbce.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O2 - BHO: (no name) - {F42E3E5A-F9EA-8865-983F-89BADC134F96} - C:\WINDOWS\system32\kzlr.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [p2p networking] p2pnetworking.exe
O4 - HKLM\..\Run: [defender] C:\\dfndre_5.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrde_5.exe
O4 - HKLM\..\Run: [newname] C:\\nwnme_5.exe
O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe
O4 - HKCU\..\Run: [sys_up1] C:\Programme\Common Files\svchostsys\svchostsys.exe
04 - HKCU\..\Run: [Bier] "C:\DOKUME~1\User\ANWEND~1\YSTEM3~1\msconfig.exe" -vt yazr
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\Run: [Mykxapp] C:\WINDOWS\?ppPatch\??ool32.exe
O4 - Global Startup: msconfig.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\scanregw.dll
O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\ghmf32.dll
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\dhnlobby.dll
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\epcapi.dll
|
C:\Dokumente und Einstellungen\User\Anwendungsdaten\?ystem32\msconfig.exe -> Trojan.PurityAd
C:\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe -> Trojan.Scapur.k
C:\Programme\Common Files\simtest\sysstall.exe -> Trojan.Zapchast.bl
C:\Programme\Snowball Wars\SnowballWars.exe -> Dropper.VB.mz
C:\nwnme_5.exe -> Downloader.VB.ahj
C:\Programme\Common Files\svchostsys\svchostupdate.exe -> Downloader.Small
C:\Programme\Common Files\svchostsys\svchostsys.exe -> Downloader.Small
C:\z.rar/Setup.exe -> Backdoor.IRCBot.qc
C:\WINDOWS\Setup.exe -> Backdoor.IRCBot.qc
C:\!KillBox\p2pnetworking.exe -> Backdoor.IRCBot.qc
C:\Programme\ToolBar888\MyToolBar.dll -> Adware.Softomate
C:\Dokumente und Einstellungen\User\Eigene Dateien\bestcasino.exe -> Adware.Casino
C:\Installer.exe -> Adware.Look2Me
C:\warebundle2.exe -> Adware.Look2Me
C:\warebundlenew.exe -> Adware.Look2Me
C:\!KillBox\scanregw.dll -> Adware.PurityScan
C:\!KillBox\wpdtrbce.dll -> Downloader.Small.cgu
C:\drsmartload45z.exe -> Downloader.Adload.cw
C:\drsmartload46z.exe -> Downloader.Adload.cw
C:\drsmartload849a.exe -> Downloader.Adload.cw
C:\drsmartload849z.exe -> Downloader.Adload.cw
C:\drsmartload1.exe -> Downloader.Adload.cy
Look2Me-Destroyer V1.0.5 abarbeiten
http://virus-protect.org/l2mfix.html
Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Scan started at 13.7.2006 17:56:05
Infected! C:\WINDOWS\system32\ghmf32.dll
Infected! C:\WINDOWS\system32\epcapi.dll
Infected! C:\WINDOWS\system32\dhnlobby.dll
Infected! C:\WINDOWS\system32\dhnlobby.dll
Infected! C:\WINDOWS\system32\epcapi.dll
Infected! C:\WINDOWS\system32\ghmf32.dll
Verzeichnis von C:\
13.07.2006 14:45 418.445 Mendoza1.exe
13.07.2006 14:43 40.960 kybrde_5.exe
Verzeichnis von C:\WINDOWS
13.07.2006 14:47 43 drsmartload2.dat
13.07.2006 14:43 0 keyboard1.dat
13.07.2006 14:43 0 newname.dat
13.07.2006 14:43 40 teller2.chk
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.07.2006 16:58 260.883 b116.exe
13.07.2006 16:50 167.991 b122.exe
Verzeichnis von C:\WINDOWS\system32
13.07.2006 14:46 2 wnstssv.exe
13.07.2006 14:44 248 n.bat
13.07.2006 14:43 20.480 dr.exe
13.07.2006 14:43 151.112 mc-110-12-0000137.exe
13.07.2006 14:43 32.768 setup.exe.tmp
13.07.2006 14:43 0 taskkill.exe
13.07.2006 14:42 147.456 vbzip10.dll
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
cd\
dir "C:\Programme\Snowball Wars" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Programme\ipwins" >>files.txt
dir "C:\Programme\ToolBar888" >>files.txt
dir "C:\Programme\TClock" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{440BD6F1-05FD-1031-0710-020827020031}" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\Totem Shared" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\uufi" >>files.txt
dir "C:\Programme\InetGet2" >>files.txt
dir "C:\Programme\Common Files\misc001" >>files.txt
dir "C:\Programme\Common Files\simtest" >>files.txt
dir "C:\Programme\Common Files\svchostsys" >>files.txt
notepad files.txt
|
C:\WINDOWS\system32\p2pnetworking.exe
C:\WINDOWS\system32\wnstssv.exe
C:\WINDOWS\system32\n.bat
C:\WINDOWS\system32\dr.exe
C:\WINDOWS\system32\mc-110-12-0000137.exe
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\taskkill.exe
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\Setup.exe -> Backdoor.IRCBot.qc
C:\Mendoza1.exe
C:\kybrde_5.exe
C:\nwnme_5.exe
C:\z.rar/Setup.exe
C:\drsmartload45z.exe
C:\drsmartload46z.exe
C:\drsmartload849a.exe
C:\drsmartload849z.exe
C:\drsmartload1.exe
C:\Installer.exe -> Adware.Look2Me
C:\warebundle2.exe -> Adware.Look2Me
C:\warebundlenew.exe -> Adware.Look2Me
C:\Programme\ToolBar888
C:\Programme\ToolBar888\MyToolBar.dll
C:\Programme\ToolBar888\Activate.exe
C:\Programme\ToolBar888\Uninst.exe
C:\Programme\Snowball Wars
C:\Programme\Snowball Wars\License.txt
C:\Programme\Snowball Wars\uninstaller.exe
C:\Programme\Snowball Wars\SnowballWars.exe
C:\Programme\ipwins
C:\Programme\ipwins\count.dat
C:\Programme\ipwins\data.dat
C:\Programme\ipwins\date.dat
C:\Programme\ipwins\settings.dat
C:\Programme\ipwins\settingsDate.dat
C:\Programme\ipwins\Uninst.exe
C:\Programme\ipwins\s154.1.dat
C:\Programme\ipwins\s20c.1.dat
C:\Programme\ipwins\s3rc.1.dat
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\
14.07.2006 14:44 275.119 b115.exe
11.07.2006 15:47 260.883 b116.exe
17.07.2006 10:36 188.158 b121.exe
11.07.2006 15:39 167.991 b122.exe
17.07.2006 09:56 852.566 cmdinst.exe
C:\Programme\TClock
C:\Programme\TClock\tcdll.tclock
C:\Programme\TClock\tclock.exe
C:\Programme\TClock\tclock.ini
C:\Programme\TClock\tclock_install.exe
c:\dokumente und einstellungen\User
c:\dokumente und einstellungen\User\dr.exe
c:\dokumente und einstellungen\User\mc-110-12-0000137.exe
c:\dokumente und einstellungen\User\n.bat
c:\dokumente und einstellungen\User\setup.exe
C:\Programme\Common Files\simtest
C:\Programme\Common Files\simtest\svchostsys.bat
C:\Programme\Common Files\simtest\sysstall.exe
C:\Programme\Common Files\simtest\temp.txt
C:\Programme\Gemeinsame Dateien\
C:\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}\services.dll
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}\Update.exe
C:\Programme\Common Files\svchostsys
C:\Programme\Common Files\svchostsys\ICSharpCode.SharpZipLib.dll
C:\Programme\Common Files\svchostsys\svchostsys.exe.config
C:\Programme\Common Files\svchostsys\svchostupdate.exe
C:\Programme\Common Files\svchostsys\svchostupdate.exe.config
C:\Programme\Common Files\svchostsys\Version.txt
Verzeichnis von C:\Programme\Common Files
13.07.2006 02:59 -DIR- misc001
13.07.2006 13:34 -DIR- simtest --> C:\Programme\Common Files\simtest\sysstall.exe -> Trojan.Zapchast.bl
13.07.2006 13:34 -DIR- svchostsys
Verzeichnis von C:\Programme\Common Files\misc001
09.05.2006 16:53 310.122 Mendoza.exe
Verzeichnis von C:\Programme\Common Files\simtest
21.04.2006 29 svchostsys.bat
13.07.2006 4 temp.txt
13.07.2006 sysstall.exe
Verzeichnis von C:\Programme\Common Files\svchostsys
21.08.2004 11:57 122.880 ICSharpCode.SharpZipLib.dll
20.04.2006 23:09 572 svchostsys.exe.config
20.04.2006 23:44 620 svchostupdate.exe.config
20.04.2006 23:47 3 Version.txt
Verzeichnis von C:\Programme\ipwins
15.07.2006 18:13 3 count.dat
13.07.2006 16:50 48 data.dat
15.07.2006 17:25 12 date.dat
06.06.2006 16:22 159.744 ipwins.exe
13.07.2006 16:55 1.311 s2q8.dat
13.07.2006 18:15 1.269 sdo.1.dat
13.07.2006 16:50 102 settings.dat
13.07.2006 16:50 12 settingsDate.dat
13.07.2006 18:09 1.105 shs.1.dat
13.07.2006 17:56 21.467 sjg.1.dat
13.07.2006 16:50 34.717 Uninst.exe
Verzeichnis von C:\Programme\ToolBar888
08.06.2006 45.056 Activate.exe
13.07.2006 34.950 Uninst.exe
13.07.2006 MyToolBar.dll
Verzeichnis von C:\Programme\TClock
01.06.2005 01:39 48.128 tcdll.tclock
05.06.2006 17:40 172.032 tclock.exe
13.07.2006 14:45 170 tclock.ini
10.07.2006 11:45 140.133 tclock_install.exe
Verzeichnis von C:\Programme\InetGet2
---------------------------------------------
Verzeichnis von C:\Programme
13.07.2006 17:01 -DIR- InetGet2
15.07.2006 18:14 -DIR- ipwins
13.07.2006 14:45 -DIR- Snowball Wars
13.07.2006 14:45 -DIR- TClock
15.07.2006 00:35 -DIR- ToolBar888
Verzeichnis von C:\Dokumente und Einstellungen\Username\Anwendungsdaten
13.07.2006 19:11 -DIR- ?ystem32 -> Purityscan
Verzeichnis von C:\Dokumente und Einstellungen\User
13.07.2006 17:29 248 n.bat
13.07.2006 17:28 32.768 setup.exe
25.11.2005 13:42 -DIR- Startmen
anderer PC
Verzeichnis von C:\WINDOWS\system32
13.07.2006 19:19 2 wintsvtr.exe
13.07.2006 19:18 81.920 ping.dll
11.07.2006 15:04 3.120 118290.54
11.07.2006 12:18 687.592 atmtd.dll._
11.07.2006 12:18 687.592 atmtd.dll
10.07.2006 12:37 32.768 setup.exe.tmp
10.07.2006 12:21 62.464 bszip.dll
10.07.2006 12:21 0 cmd.com
10.07.2006 12:21 0 tasklist.com
10.07.2006 12:21 0 taskkill.com
10.07.2006 12:21 0 tracert.com
10.07.2006 12:21 0 regedit.com
10.07.2006 12:21 0 ping.com
10.07.2006 12:21 0 netstat.com
28.06.2006 17:09 139.264 jike.dll
13.04.2006 15:23 13 tr98s2n61c.dll
31.03.2006 14:33 15.529 dfrgsrv.exe
Verzeichnis von C:\WINDOWS
17.07.2006 09:48 0 keyboard1.dat
11.07.2006 15:04 3.120 118294.78
11.07.2006 15:04 3.833 PC Defender Antispyware Patch Log.txt
11.07.2006 14:42 659 Patch Patch Log.txt
10.07.2006 12:51 43 drsmartload2.dat
10.07.2006 12:51 9.958 MTE3NDI6ODoxNg.exe
10.07.2006 12:46 0 newname.dat
10.07.2006 12:45 40 teller2.chk
Verzeichnis von C:\
17.07.2006 09:54 20.480 drsmartload849a3.exe
17.07.2006 09:53 20.480 drsmartload46a3.exe
17.07.2006 09:53 32.768 drsmartload1.exe
17.07.2006 09:53 20.480 drsmartload45a3.exe
17.07.2006 09:53 578.560 Installer2.exe
17.07.2006 09:53 578.560 warebundlenewer.exe
15.07.2006 12:09 20.480 drsmartload849a1.exe
15.07.2006 12:09 20.480 drsmartload46a1.exe
15.07.2006 12:09 20.480 drsmartload45a1.exe
13.07.2006 19:20 20.480 drsmartload849z.exe
13.07.2006 19:17 28.672 nwnmad_5.exe
13.07.2006 19:17 81.920 dfndrad_5.exe
13.07.2006 19:17 40.960 kybrdad_5.exe
12.07.2006 07:38 20.480 drsmartload46z.exe
12.07.2006 07:37 20.480 drsmartload45z.exe
11.07.2006 12:13 578.560 warebundle2.exe
11.07.2006 12:09 28.672 nwnme_5.exe
11.07.2006 12:09 40.960 kybrde_5.exe
11.07.2006 12:09 81.920 dfndre_5.exe
10.07.2006 12:51 253.777 Mendoza1.exe
10.07.2006 12:49 20.480 drsmartload849y.exe
10.07.2006 12:49 20.480 drsmartload46y.exe
10.07.2006 12:49 20.480 drsmartload45y.exe
10.07.2006 12:49 578.560 Installer.exe
10.07.2006 12:48 578.560 warebundlenew.exe
10.07.2006 12:47 151.112 mc-110-12-0000228.exe
10.07.2006 12:46 20.480 drsmartload849a.exe
10.07.2006 12:46 28.672 nwnmd_5.exe
10.07.2006 12:45 40.960 kybrdd_5.exe
10.07.2006 12:45 81.920 dfndrd_5.exe
23.03.2006 13:50 192 BcBtRmv.log
18.03.2006 18:35 16 mxfilerelatedcache.mxc2
Verzeichnis von C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp
14.07.2006 14:44 275.119 b115.exe
11.07.2006 15:47 260.883 b116.exe
17.07.2006 10:36 188.158 b121.exe
11.07.2006 15:39 167.991 b122.exe
17.07.2006 09:56 852.566 cmdinst.exe
14.07.2006 12:57 -DIR- msohtml1
14.07.2006 16:39 -DIR- NamoWe
Look2Me-Destroyer V1.0.5
http://virus-protect.org/l2mfix.html
Avenger
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
Files to delete:
C:\drsmartload849a3.exe
C:\drsmartload46a3.exe
C:\drsmartload1.exe
C:\drsmartload45a3.exe
C:\Installer2.exe
C:\warebundlenewer.exe
C:\drsmartload849a1.exe
C:\drsmartload46a1.exe
C:\drsmartload45a1.exe
C:\drsmartload849z.exe
C:\nwnmad_5.exe
C:\dfndrad_5.exe
C:\kybrdad_5.exe
C:\drsmartload46z.exe
C:\drsmartload45z.exe
C:\warebundle2.exe
C:\nwnme_5.exe
C:\kybrde_5.exe
C:\dfndre_5.exe
C:\Mendoza1.exe
C:\drsmartload849y.exe
C:\drsmartload46y.exe
C:\drsmartload45y.exe
C:\Installer.exe
C:\warebundlenew.exe
C:\mc-110-12-0000228.exe
C:\drsmartload849a.exe
C:\nwnmd_5.exe
C:\kybrdd_5.exe
C:\dfndrd_5.exe
C:\BcBtRmv.log
C:\mxfilerelatedcache.mxc2
C:\z.rar/Setup.exe
C:\WINDOWS\Setup.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\118294.78
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\MTE3NDI6ODoxNg.exe
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\uninstall_nmon.vbs
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\b115.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\b116.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\b121.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\b122.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\cmdinst.exe
C:\WINDOWS\system32\wintsvtr.exe
C:\WINDOWS\system32\ping.dll
C:\WINDOWS\system32\118290.54
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\jike.dll
C:\WINDOWS\system32\tr98s2n61c.dll
C:\WINDOWS\system32\dfrgsrv.exe
C:\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe
C:\Dokumente und Einstellungen\%Username%\n.bat
C:\Dokumente und Einstellungen\%Username%\setup.exe
C:\Dokumente und Einstellungen\%Username%\dr.exe
C:\Dokumente und Einstellungen\mc-110-12-0000137.exe
Folders to delete:
C:\Programme\outlook
C:\WINDOWS\TGVvbmFyZGEgR3L8bmln
C:\Programme\Network Monitor
C:\Programme\TClock
C:\Programme\ToolBar888
C:\Programme\ipwins
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}
C:\Programme\Common Files\simtest
C:\Programme\Common Files\misc001
C:\Programme\Common Files\svchostsys
|
arbeite die bfu und sophos ab
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
http://virus-protect.org/artikel/bfu/winlog_bfu.html
http://virus-protect.org/artikel/bfu/zango_bfu.html
TuneUp(30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner
scanne mit ewido
http://virus-protect.org/ewido.html
Verzeichnis von C:\Programme\SinEspias
19.11.2005 14:42 108 danger.txt
19.11.2005 14:42 76.288 safetyfilter.dll
19.11.2005 14:42 21.504 sfhelper.dll
19.11.2005 14:42 8.704 sporder.dll
Verzeichnis von C:\Programme\Snowball Wars
02.05.2006 17:56 16.929 License.txt
C:\Programme\Common Files\svchostsys\ICSharpCode.SharpZipLib.dll
C:\Programme\Common Files\svchostsys\svchostsys.exe.config
C:\Programme\Common Files\svchostsys\svchostupdate.exe.config
C:\Programme\Common Files\svchostsys\Version.txt
C:\Programme\Common Files\simtest\svchostsys.bat
C:\Programme\Common Files\simtest\temp.txt
anderer PC
Verzeichnis von C:\WINDOWS\system32
22.07.2006 19:20 540.672 hqghumea.dll
22.07.2006 18:51 71 i
21.07.2006 20:40 290.816 sucker.exe
21.07.2006 15:32 0 eraseme_12641.exe
21.07.2006 14:09 540.672 implib.dll
21.07.2006 13:48 0 eraseme_13003.exe
Verzeichnis von C:\
21.07.2006 14:10 32.768 nwnmed_7.exe
21.07.2006 14:10 28.672 kybrded_7.exe
21.07.2006 14:10 73.728 dfndred_7.exe
20.07.2006 19:41 15.360 iexplorer.exe
19.07.2006 13:47 25.391 winhire16.exe
15.07.2006 22:16 20.480 wksv.exe
15.07.2006 22:16 6.131 winpatch.exe
13.07.2006 19:30 28.672 nwnmad_5.exe
13.07.2006 19:29 81.920 dfndrad_5.exe
10.07.2006 22:25 227 woot.exe
28.05.2006 22:02 7.824 motrace.com
neuer Durchlauf
Verzeichnis von C:\WINDOWS\system32
24.07.2006 21:21 544.768 hqghumea.dll
24.07.2006 21:19 0 fswinsys.exe
24.07.2006 21:07 1.140.120 updates32.exe
24.07.2006 21:06 544.768 canary.dll
22.07.2006 17:54 40.973 hggdd.dll
22.07.2006 17:54 40.973 urqro.dll
22.07.2006 17:54 40.973 byxvw.dll
18.07.2006 23:42 552.960 msinfo32.exe
17.07.2006 15:53 688.128 install32.exe
Verzeichnis von C:\WINDOWS
24.07.2006 21:08 42 drsmartload2.dat
24.07.2006 21:08 0 newname.dat
24.07.2006 21:08 0 keyboard1.dat
24.07.2006 21:08 40 teller2.chk
Verzeichnis von C:\
24.07.2006 21:21 32.768 drsmartload.exe
24.07.2006 21:08 4.137 drsmartload46a7f.exe
24.07.2006 21:08 20.480 drsmartload45a7f.exe
24.07.2006 21:08 32.768 nwnmef_7.exe
24.07.2006 21:08 21.638 MTE3NDI6ODoxNg.exe
24.07.2006 21:08 4.118 stub_113_4_0_4_0newer.exe
24.07.2006 21:08 32.768 kybrdef_7.exe
24.07.2006 21:08 77.824 dfndref_7.exe
neuer Durchlauf
Verzeichnis von C:\WINDOWS\system32
27.07.2006 21:35 565.665 qrutv.ini
27.07.2006 21:33 67 x
27.07.2006 21:33 0 hqghumea.dll
27.07.2006 21:33 1.064 fnp25c27.sys
27.07.2006 21:22 563.943 qrutv.bak2
27.07.2006 21:20 61.440 fnp25c27.dll
27.07.2006 21:20 29.696 w002cb35.dll
24.07.2006 21:26 525.376 qrutv.bak1
24.07.2006 21:26 17.750 snmrohhl.exe
24.07.2006 21:26 573.492 vturq.dll
22.07.2006 17:54 40.973 iiige.dll
Verzeichnis von C:\WINDOWS
27.07.2006 21:21 185 em06y.ini
27.07.2006 21:21 376.832 876057.exe
27.07.2006 21:21 79.648 em.ocx - Adware-MediaMotor.dll
Verzeichnis von C:\
27.07.2006 21:21 4.137 drsmartload849a7i.exe
27.07.2006 21:20 20.480 drsmartload45a7i.exe
27.07.2006 21:20 517.168 ucmoreiex.exe
27.07.2006 21:20 2.560 ac3_0010.exe
neuer Durchlauf
Verzeichnis von C:\WINDOWS\system32
29.07.2006 18:30 209.492 stvut.ini
29.07.2006 18:29 540.672 hqghumea.dll
29.07.2006 16:01 130.558 ww32.exe
29.07.2006 16:01 138.700 mok32.exe
29.07.2006 16:00 540.672 implib.dll
29.07.2006 14:49 0 fswinsys.exe
29.07.2006 14:34 544.768 canary.dll
29.07.2006 14:26 205.918 stvut.bak1
29.07.2006 14:26 573.492 tuvts.dll
29.07.2006 14:15 0 TFTP980
22.07.2006 17:54 40.973 mllih.dll
22.06.2006 00:25 16.384 dotdr.exe
Verzeichnis von C:\WINDOWS
29.07.2006 15:08 185 em06y.ini
29.07.2006 15:08 0 keyboard1.dat
29.07.2006 15:08 40 teller2.chk
29.07.2006 15:08 0 newname.dat
29.07.2006 15:07 2 tempf.txt
29.07.2006 15:07 610 affbun.txt
Verzeichnis von C:\
29.07.2006 15:08 4.137 drsmartload46a7i.exe
29.07.2006 15:08 20.480 drsmartload45a7i.exe
29.07.2006 15:08 32.768 kybrdfg_7.exe
29.07.2006 15:08 32.768 nwnmfg_7.exe
29.07.2006 15:07 14.338 MTE3NDI6ODoxNg.exe
VundoFix
C:\windows\system32\vturq.dll
C:\windows\system32\qrutv.ini
C:\windows\system32\qrutv.bak1
C:\windows\system32\qrutv.bak2
C:\windows\system32\qrutv.tmp
C:\WINDOWS\system32\Drivers\DP.sys
Combofix
2006-07-29 18:29:04 540672 ( A.... ) "C:\WINDOWS\system32\hqghumea.dll"
2006-07-29 16:01:42 130558 ( A.... ) "C:\WINDOWS\system32\ww32.exe"
2006-07-29 16:01:36 138700 ( A.... ) "C:\WINDOWS\system32\mok32.exe"
2006-07-29 16:00:38 540672 ( ..SH. ) "C:\WINDOWS\system32\implib.dll"
2006-07-29 15:08:12 4137 ( A.... ) "C:\drsmartload46a7i.exe"
2006-07-29 15:08:10 20480 ( A.... ) "C:\drsmartload45a7i.exe"
2006-07-29 15:08:04 32768 ( A.... ) "C:\kybrdfg_7.exe"
2006-07-29 15:08:00 32768 ( A.... ) "C:\nwnmfg_7.exe"
2006-07-29 15:07:58 14338 ( A.... ) "C:\MTE3NDI6ODoxNg.exe"
2006-07-29 14:49:20 0 ( A.... ) "C:\WINDOWS\system32\fswinsys.exe"
2006-07-29 14:34:34 544768 ( ..SH. ) "C:\WINDOWS\system32\canary.dll"
2006-07-29 14:26:22 573492 ( ..SH. ) "C:\WINDOWS\system32\tuvts.dll"
2006-07-27 21:20:30 ( .D... ) "C:\Programme\TheSearchAccelerator"
2006-07-24 21:07:58 ( .D... ) "C:\Programme\ToolBar888"
2006-07-24 21:07:58 ( .D... ) "C:\Programme\Gemeinsame Dateien\{90692DEB-04DC-1031-1029-02110200002b}"
2006-07-22 17:54:46 40973 ( A.... ) "C:\WINDOWS\system32\mllih.dll"
2006-07-10 21:03:46 ( .D... ) "C:\Programme\Gemeinsame Dateien\{90692DEB-04DC-1031-1029-021102000031}"
2006-06-22 00:25:36 16384 ( A.... ) "C:\WINDOWS\system32\dotdr.exe"
2006-06-08 07:25:12 ( .D... ) "C:\Programme\TClock"
2006-06-07 22:08:18 ( .D... ) "C:\Programme\Common Files"
2006-06-04 22:23:48 ( .D... ) "C:\Programme\?racle"
2006-05-27 12:21:06 32177 ( ..SH. ) "C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe"
Ewido
Adware.Ucmore - TheSearchAccelerator
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UCmore
HKEY_LOCAL_MACHINE\SOFTWARE\Effective-i
C:\Programme\TheSearchAccelerator
C:\Programme\TheSearchAccelerator\INSTALL.LOG
C:\Programme\TheSearchAccelerator\IUCmore.dll
C:\Programme\TheSearchAccelerator\TBlogin.users.ucmore.com.4.5.40.0
C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
C:\Programme\TheSearchAccelerator\UNWISE.EXE
C:\Programme\TheSearchAccelerator\logo.ico
C:\Programme\TheSearchAccelerator\toolbar.cfg
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTYVODQJ\ucmoreiex[1].exe/IUCMORE.DLL
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTYVODQJ\ucmoreiex[1].exe/UCMTSAIE.DLL
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTYVODQJ\ucmoreiex[1].exe/empty_00000001
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NRSBC813\ac3_0010[1].exe -> Downloader.Small
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NRSBC813\drsmartload45a[1].exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B4CHEPGY\drsmartload849a[1].exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1ZLFYRBM\drsmartload46a[1].exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1ZLFYRBM\loader[1].exe -> Downloader.Adload.di
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\245ZUU9G\JohnnyUPX[1].exe -> Proxy.Small.eu
C:\Dokumente und Einstellungen\User\eltcelcius.exe -> Backdoor.Small
C:\Dokumente und Einstellungen\User\upddd.exe/eltcelcius.exe -> Backdoor.Small
C:\Dokumente und Einstellungen\User\woa32.exe/dotdr.exe -> Downloader.Adload.ch
C:\Dokumente und Einstellungen\User\ww32.exe/dotdr.exe -> Downloader.Adload.ch
C:\Dokumente und Einstellungen\User\woa32.exe/dotrm.dll -> Downloader.ConHook.ad
C:\Dokumente und Einstellungen\User\ww32.exe/dotrm.dll -> Downloader.ConHook.ad
C:\Dokumente und Einstellungen\User\msinfo32.exe -> Downloader.VB.aiw
C:\WINDOWS\system32\ww32.exe/dotdr.exe -> Downloader.Adload.ch
C:\WINDOWS\system32\ww32.exe/dotrm.dll -> Downloader.ConHook.ad
C:\WINDOWS\system32\w002c394.dll -> Downloader.Small
C:\WINDOWS\system32\canary.dll -> Logger.Agent.nv
C:\WINDOWS\system32\hqghumea.dll -> Logger.Agent.nv
C:\drsmartload.exe -> Downloader.Adload.di
C:\drsmartload45a7i.exe -> Downloader.VB.aiw
C:\drsmartload45a8b.exe -> Downloader.VB.aiw
C:\drsmartload46a8b.exe -> Downloader.VB.aiw
C:\drsmartload849a8b.exe -> Downloader.VB.aiw
C:\nwnmfg_7.exe -> Downloader.VB.aiy
C:\WINDOWS\system32\drivers\etc\hosts -> Worm.Anker.n
C:\WINDOWS\system32\drivers\etc\hosts.bak -> Worm.Anker.n
|
