Trojan.Proxy

Trojan.Proxy, inet20026, vxgamet3.exe, kernels8.exe, spoolsvv.exe, testtestt.exe

- de.wikipedia.org
Die Infektion erfolgt in der Regel per Drive-by-Download, anschließend wird eine Meldung ausgegeben, der Computer sei infiziert. Oft imitiert Rogueware dabei eine Warnmeldung von Windows täuschend echt, wobei die Meldung allerdings häufig englischsprachig ist. Diese Meldung ist aber unabhängig von der Existenz eines Schadprogramms, wobei in den meisten Fällen von Spyware die Rede ist. Außerdem ist keine Datei angegeben, in der sich der angebliche Schädling verstecken soll. Mitunter hat die "kostenpflichtige Vollversion" keine oder aber sogar eine tatsächlich bösartige Funktion, Rogueware kann also ein Trojanisches Pferd im fachsprachlichen Sinn sein. Zudem kann der Inhalt der Internetseite eines solchen Programms fragwürdig sein. Rogue-Software wird in der Regel von seriösen Antivirenprogrammen erkannt.

Zitat: Habe seit neustem unten in der Taskleiste besagtes zeichen, welches mich darauf hinweisst, dass mein System infiziert ist und ich deren AntiSpyware Programm kaufen soll

HijackThis

C:\WINDOWS\inet20026\services.exe 
C:\WINDOWS\System32\7cf9402c.exe 
C:\Windows\xpupdate.exe 
C:\WINDOWS\inet20026\mm5.exe
C:\WINDOWS\inet20026\socks.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\inet20026\select.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\System32\dwwin.exe 

F3 - REG:win.ini: run=C:\WINDOWS\inet20026\services.exe

O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20026\3.03.00.dll
 
O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe 
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe 

O4 - HKLM\..\Run: [axis okay joy cash] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\
title draw axis okay\blahshow.exe
O4 - HKLM\..\Run: [7cf9402c.exe] C:\WINDOWS\System32\7cf9402c.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20026\services.exe
O4 - HKLM\..\Run: [ÿ_zsk_^lrg^ak]_htmzlc50inkrwksz_] c:\windows\system32\_zskwrkni05clzmth_]ka^grl^_.exe
O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\inet20026\socks.exe
O4 - HKLM\..\RunServices: [ÿ_zsk_^lrg^ak]_htmzlc50inkrwksz_] 
c:\windows\system32\_zskwrkni05clzmth_]ka^grl^_.exe 
O4 - HKCU\..\Run: [7cf9402c.exe] C:\Dokumente und Einstellungen\user\Lokale Einstellungen\
Anwendungsdaten\7cf9402c.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [ÿ_zsk_^lrg^ak]_htmzlc50inkrwksz_] c:\windows\system32\_zskwrkni05clzmth_]ka^grl^_.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20026\services.exe 

O17 - HKLM\System\CCS\Services\Tcpip\..\{36B54111-6037-4FE2-8CA2-60ED426774CD}: 
NameServer = 85.255.114.67,85.255.112.140
O17 - HKLM\System\CCS\Services\Tcpip\..\{77A37DF5-B7B4-48C4-B716-C8F50A6A3620}: 
NameServer = 85.255.114.67,85.255.112.140 

O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users
\Dokumente\Settings\artm_new.dll 

O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe

datfindbat

C:\WINDOWS\System32\

06.07.2006 21:36 0 winrknj
06.07.2006 21:35 1.232 TheMatrixHasYou.exe
06.07.2006 21:35 20.992 _zskwrkni05CLZMTH_]KA^GRL^_.dll
06.07.2006 21:35 11.488 vxgamet3.exe
06.07.2006 21:35 3.072 vxgame4.exe
06.07.2006 21:35 15.203 vxgame1.exe
06.07.2006 21:35 15.546 vxgamet2.exe
06.07.2006 21:35 16 dlh9jkdq8.exe
06.07.2006 21:35 7.701 kernels8.exe
01.07.2006 19:39 26.705 spoolsvv.exe
01.07.2006 19:39 21.504 7cf9402c.exe
01.07.2006 19:39 11.488 testtestt.exe
01.07.2006 19:39 13.312 maxd641.exe
01.07.2006 19:39 7.482 dlh9jkdq7.exe
01.07.2006 19:39 7.482 dlh9jkdq6.exe
01.07.2006 19:39 6.630 dlh9jkdq5.exe
01.07.2006 19:39 17.894 dlh9jkdq2.exe
01.07.2006 19:38 2.518 dlh9jkdq1.exe
17.05.2006 13:20 5.064 stdole3.tlb
17.05.2006 12:36 5.632 simpole.tlb
17.05.2006 12:35 176.128 appmagr.dll
17.05.2006 12:35 9.872 atmclk.exe
17.05.2006 12:35 44.032 dcomcfg.exe
17.05.2006 12:34 35.341 regperf.exe

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\WINDOWS\inet20026" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
notepad files.txt

Verzeichnis von C:\Dokumente und Einstellungen\User\Anwendungsdaten 

07.07.2006 00:11 0 Install.dat 
01.07.2006 20:11 -DIR- WIPEUP~1 Wipe Up 

Verzeichnis von C:\WINDOWS\inet20026

07.07.2006 13:49 4 1.txt
06.07.2006 23:51 31.232 3.03.00.dll
07.07.2006 13:49 11.776 alg.exe
07.07.2006 03:12 11.776 alg.exe.bak
07.07.2006 13:49 2.560 killer.exe
07.07.2006 03:12 2.560 killer.exe.bak
07.07.2006 13:49 16.896 mm.exe
07.07.2006 13:49 4 mm.pid
07.07.2006 03:12 16.896 mm5.exe
07.07.2006 03:02 16.896 mm5.exe.bak
07.07.2006 03:13 27.648 select.exe.bak
06.07.2006 21:35 13.312 services.exe
07.07.2006 13:49 37.888 socks.exe
07.07.2006 03:12 37.888 socks.exe.bak
07.07.2006 13:49 2 tmp.req
07.07.2006 13:48 13.312 winlogon.exe 

Verzeichnis von C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp 

07.07.2006 13:53 1.621 mpl2.tmp
07.07.2006 03:13 -DIR- msohtml
07.07.2006 03:26 -DIR- msohtml1 

Verzeichnis von C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten

01.07.2006 19:39 21.504 7cf9402c.exe 

--------------------------------------------------------------------

löschen:

C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\2 MPEG.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\bvfdyuvr.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\elasmxsq.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\etuyyyil.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\mfcd dupe road glue.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\Option Bird Locks.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\reiymjev.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\rylihvsn.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\surf trans hold\zjqafyvp.exe
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Wipe Up

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\blahshow.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\buildjugs.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\SoftBait.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\Stop site.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title draw axis okay\tick grey.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll

C:\WINDOWS\inet20026\1.txt
C:\WINDOWS\inet20026\3.03.00.dll
C:\WINDOWS\inet20026\alg.exe
C:\WINDOWS\inet20026\alg.exe.bak
C:\WINDOWS\inet20026\killer.exe
C:\WINDOWS\inet20026\killer.exe.bak
C:\WINDOWS\inet20026\mm.exe
C:\WINDOWS\inet20026\mm.pid
C:\WINDOWS\inet20026\mm5.exe
C:\WINDOWS\inet20026\mm5.exe.bak
C:\WINDOWS\inet20026\select.exe.bak
C:\WINDOWS\inet20026\services.exe
C:\WINDOWS\inet20026\socks.exe
C:\WINDOWS\inet20026\socks.exe.bak
C:\WINDOWS\inet20026\tmp.req
C:\WINDOWS\inet20026\winlogon.exe

C:\WINDOWS\OEM.exe
C:\WINDOWS\0.log
C:\WINDOWS\xpupdate.exe
C:\WINDOWS\_MSRSTRT.EXE

C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\mpl2.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\msohtml
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\msohtml1
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\mpl33.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\mpl32.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\WER9.tmp

C:\WINDOWS\system32\winrknj
C:\WINDOWS\system32\TheMatrixHasYou.exe
C:\WINDOWS\system32\ _zskwrkni05CLZMTH_]KA^GRL^_.dll
c:\windows\system32\_zskwrkni05clzmth_]ka^grl^_.exe
C:\WINDOWS\system32\vxgamet3.exe
C:\WINDOWS\system32\vxgame4.exe
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\vxgamet2.exe
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\spoolsvv.exe
C:\WINDOWS\system32\7cf9402c.exe
C:\WINDOWS\system32\testtestt.exe
C:\WINDOWS\system32\maxd641.exe
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq5.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\dlh9jkdq1.exe
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\appmagr.dll
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\System32\hgqhp.exe
C:\WINDOWS\System32\dflnl.exe

C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Install.dat
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\7cf9402c.exe

* smitfrautfix

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\svchost.exe FOUND !

* Fixwareout

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

* Cureit-Dr.Web

C:\!Submit\_zskwrkni05CLZMTH_]KA^GRL^_.exe infiziert mit Trojan.Proxy.986 - gelöscht 
C:\WINDOWS\system32\_zskwrkni05CLZMTH_]KA^GRL^_.dll infiziert mit Trojan.Proxy.991 - gelöscht

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\
Content.IE5\EXG5CDEX\g2[1].txt infiziert mit BackDoor.IRC.Sdbot.374 - gelöscht 

C:\Programme\Mozilla Firefox\plugins\npclntax.dll ist ein Adware-Programm Adware.Zango 
C:\Programme\WinRAR\Dos.SFX>C:\WINDOWS\OEM.exe.bak infiziert mit Trojan.Spambot - gelöscht
C:\WINDOWS\inet20026\mm.exe.bak möglicherweise infiziert mit DLOADER.Trojan
C:\WINDOWS\system32\mousemm.exe infiziert mit BackDoor.IRC.Sdbot.374 - gelöscht 
C:\Programme\Mozilla Firefox\plugins\npclntax.dll
C:\WINDOWS\inet20026\mm.exe.bak
C:\Programme\C2Media
C:\WINDOWS\inet20026

* multiavtool
* klicke "3" - McAfee

Sophos warnt: Wurm kommt als scheinbar harmloser Treiber daher

W32/Sdbot-ABQ enthält Funktionalität zum:

Nach Angaben von Sophos soll der Wurm sich als getarnte Treiberdatei auf den Rechner einschleichen, den Code aus dem Internet laden

O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe

+ C:\WINDOWS\system32\mousemm.exe

- Stehlen vertraulicher Daten, darunter System-Hardware-Informationen
- Durchführen von DDoS-Flooder-Attacken
- heimlichen Herunterladen, Installieren und Starten neuer Software
- Einfügen des Wurms in den Windows-Explorer-Prozess, um sich selbst zu verbergen.

Wenn er erstmals gestartet wird, kopiert sich W32/Sdbot-ABQ nach System\mousecrm.exe. 
Die Datei mousecrm.exe wird als neue Treibersystemdatei namens "mousecrm" mit dem Anzeigenamen
"Mouse Cursor Monitor" und dem Starttyp "Automatisch" registriert, 
damit sie beim Systemstart automatisch ausgeführt wird. An folgender Stelle werden 
Registrierungseinträge erzeugt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mousecrm

Der Wurm kann außerdem eine Protokolldatei in Windows\Debug\dcpromo.log erzeugen.

* HijackThis

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll

O4 - HKLM\..\Run: [p2p networking] p2pnetworking.exe
O4 - HKLM\..\Run: [defender] C:\\dfndre_5.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrde_5.exe
O4 - HKLM\..\Run: [newname] C:\\nwnme_5.exe
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\Run: [Iwaa] "C:\WINDOWS\MCROSO~1\nslookup.exe" -vt yazb
O4 - HKCU\..\Run: [Soleos] C:\WINDOWS\M?crosoft\r?ndll32.exe
O4 - HKCU\..\Run: [zrki] C:\Programme\Gemeinsame Dateien\zrki\zrkim.exe

O4 - Global Startup: msconfig.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\tracert.dll
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\iestall.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmluYSBQaXNjaGtl\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe

Start -> Ausführen --> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableTaskMgr = den Schluessel loeschen
DisableRegistryTools -> den Schluessel loeschen

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.
Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

falls nicht:

Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile

* L2mfix

look2me

Look2Me-Destroyer V1.0.12

Infected! C:\WINDOWS\system32\l26o0cj3efo.dll
Infected! C:\WINDOWS\SYSTEM32\aFd.dll
Infected! C:\WINDOWS\SYSTEM32\cFbview.dll
Infected! C:\WINDOWS\SYSTEM32\CydbLangDE.dll
Infected! C:\WINDOWS\SYSTEM32\dbvenum.dll
Infected! C:\WINDOWS\SYSTEM32\folemgmt.dll
Infected! C:\WINDOWS\SYSTEM32\ktl4l73q1.dll
Infected! C:\WINDOWS\SYSTEM32\l26o0cj3efo.dll
Infected! C:\WINDOWS\SYSTEM32\q6nulg5916.dll
Infected! C:\WINDOWS\system32\guard.tmp

* Avenger

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Files to delete:
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\iestall.dll
C:\WINDOWS\system32\p2pnetworking.exe
C:\WINDOWS\SYSTEM32\guard.tmp
C:\WINDOWS\SYSTEM32\cFbview.dll
C:\WINDOWS\SYSTEM32\q6nulg5916.dll
C:\WINDOWS\SYSTEM32\CydbLangDE.dll
C:\WINDOWS\SYSTEM32\l26o0cj3efo.dll
C:\WINDOWS\SYSTEM32\dbvenum.dll
C:\WINDOWS\SYSTEM32\MWRMSG.DLL
C:\WINDOWS\SYSTEM32\REPCFGEX.DLL
C:\WINDOWS\SYSTEM32\ktl4l73q1.dll
C:\WINDOWS\SYSTEM32\folemgmt.dll
C:\WINDOWS\SYSTEM32\aFd.dll
C:\WINDOWS\SYSTEM32\stera.job
C:\WINDOWS\SYSTEM32\WPA.DBL
C:\WINDOWS\SYSTEM32\ktp8l77u1.dll
C:\WINDOWS\SYSTEM32\stera.log
C:\WINDOWS\SYSTEM32\wtssvit.exe
C:\WINDOWS\SYSTEM32\tracert.dll
C:\WINDOWS\SYSTEM32\atmtd.dll
C:\WINDOWS\SYSTEM32\atmtd.dll._
C:\WINDOWS\SYSTEM32\n.bat
C:\WINDWS\SYSTEM32\vbzip10.dll
C:\WINDOWS\SYSTEM32\dr.exe
C:\WINDOWS\SYSTEM32\mc-110-12-0000137.exe
C:\WINDOWS\SYSTEM32\taskkill.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\icont.exe
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk
C:\drsmartload849z.exe
C:\drsmartload46z.exe
C:\drsmartload45z.exe
C:\drsmartload849a.exe
C:\drsmartload849s.exe
C:\drsmartload46s.exe
C:\drsmartload45s.exe
C:\nwnmb_3.exe
C:\kybrdb_3.exe
C:\dfndrb_3.exe
C:\drsmartload1.exe
C:\dfndre_5.exe
C:\kybrde_5.exe
C:\nwnme_5.exe

Folders to delete: 
C:\Programme\Common Files\Companion Wizard
C:\Programme\WinAntiVirus Pro 2006
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
C:\Programme\TClock
C:\Programme\Network Monitor
C:\WINDOWS\TmluYSBQaXNjaGtl
C:\Programme\Gemeinsame Dateien\zrki
C:\Programme\ipwins
C:\Programme\ToolBar888
C:\Programme\Snowball Wars

Verzeichnis von C:\Programme\Gemeinsame Dateien
01.07.2006 16:54 -DIR- WinAntiVirus Pro 2006
13.07.2006 18:04 -DIR- zrki
12.07.2006 14:35 -DIR- {FC96C113-0958-1031-0731-030512200031}
01.07.2006 15:17 -DIR- InetGet

Verzeichnis von C:\Dokumente und Einstellungen\Username\Anwendungsdaten
01.07.2006 16:54 -DIR- WinAntiVirus Pro 2006

Verzeichnis von C:\Programme\Common Files
01.07.2006 16:56 -DIR- Companion Wizard

Verzeichnis von C:\WINDOWS\Temp
13.07.2006 14:36 -DIR- Aocr

Verzeichnis von C:\Programme
13.07.2006 18:04 -DIR- TClock
01.07.2006 15:59 -DIR- InetGet2
12.07.2006 14:53 -DIR- WinAntiVirus Pro 2006
12.07.2006 16:53 -DIR- Snowball Wars
13.07.2006 18:04 -DIR- Network Monitor
13.07.2006 18:04 -DIR- ToolBar888
13.07.2006 18:04 -DIR- ipwins

* AVG-Virenscanner

Verzeichnis von C:\Programme\Gemeinsame Dateien\zrki

03.11.2005  16.896 zrkia.exe
02.07.2006  0 zrkia.lck
12.07.2006  -DIR- zrkid
02.07.2006  0 zrkil.lck
02.07.2006  0 zrkim.lck
02.07.2006   zrkim.exe

Verzeichnis von C:\Programme\ipwins

13.07.2006  3 count.dat
01.07.2006  57 data.dat
13.07.2006  12 date.dat
01.07.2006  20.855 s154.1.dat
12.07.2006  102 settings.dat
12.07.2006  12 settingsDate.dat
01.07.2006  34.717 Uninst.exe

Verzeichnis von C:\Programme\TClock

01.06.2005  48.128 tcdll.tclock
05.06.2006  172.032 tclock.exe
01.07.2006  170 tclock.ini
01.07.2006 tclock_install.exe 

Verzeichnis von C:\WINDOWS\SYSTEM32

13.07.2006 18:05 235.212 guard.tmp
13.07.2006 18:05 234.634 cFbview.dll
13.07.2006 18:04 234.272 q6nulg5916.dll
13.07.2006 17:58 234.272 CydbLangDE.dll
13.07.2006 17:58 234.634 l26o0cj3efo.dll
13.07.2006 16:59 236.165 dbvenum.dll
13.07.2006 14:40 234.272 MWRMSG.DLL
13.07.2006 14:29 236.165 REPCFGEX.DLL
13.07.2006 14:27 235.709 ktl4l73q1.dll
13.07.2006 14:18 234.272 folemgmt.dll
12.07.2006 14:53 236.165 aFd.dll
12.07.2006 14:41 2 stera.job
12.07.2006 14:32 1.170 WPA.DBL
02.07.2006 12:52 235.599 ktp8l77u1.dll
02.07.2006 12:36 2 stera.log
01.07.2006 15:43 2 wtssvit.exe
01.07.2006 15:43 81.920 tracert.dll
01.07.2006 15:19 687.592 atmtd.dll
01.07.2006 15:19 687.592 atmtd.dll._
01.07.2006 15:18 248 n.bat
01.07.2006 15:18 147.456 vbzip10.dll
01.07.2006 15:17 16.384 dr.exe
01.07.2006 15:16 39.920 mc-110-12-0000137.exe
01.07.2006 15:15 0 taskkill.exe

Verzeichnis von C:\WINDOWS

12.07.2006 14:35 0 keyboard1.dat
01.07.2006 16:57 533.398 setupapi.log
01.07.2006 16:52 42.736 icont.exe
01.07.2006 15:18 0 newname.dat
01.07.2006 15:18 40 teller2.chk

Verzeichnis von C:\

12.07.2006 14:36 20.480 drsmartload849z.exe
12.07.2006 14:35 20.480 drsmartload46z.exe
12.07.2006 14:35 20.480 drsmartload45z.exe
12.07.2006 14:35 20.480 drsmartload849a.exe
02.07.2006 12:41 16.384 drsmartload849s.exe
02.07.2006 12:40 16.384 drsmartload46s.exe
02.07.2006 12:40 16.384 drsmartload45s.exe
01.07.2006 15:18 28.672 nwnmb_3.exe
01.07.2006 15:18 28.672 kybrdb_3.exe
01.07.2006 15:18 90.112 dfndrb_3.exe
01.07.2006 15:17 65.536 drsmartload1.exe


C:\avenger\backup.zip/avenger/icont.exe -> Adware.AdURL
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/asappsrv.dll -> Adware.CommAd 
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/command.exe -> Adware.CommAd 
C:\avenger\backup.zip/avenger/MWRMSG.DLL -> Adware.Look2Me 
C:\avenger\backup.zip/avenger/REPCFGEX.DLL -> Adware.Look2Me 
C:\avenger\backup.zip/avenger/tracert.dll -> Adware.PurityScan 
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/MyToolBar.dll 
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/p2pnetworking.exe -> Backdoor.IRCBot.qc
C:\avenger\backup.zip/avenger/kybrdb_3.exe -> Backdoor.VB.ary 
C:\avenger\backup.zip/avenger/dr.exe -> Downloader.Adload.ch 
C:\avenger\backup.zip/avenger/drsmartload45s.exe -> Downloader.Adload.ck 
C:\avenger\backup.zip/avenger/drsmartload46s.exe -> Downloader.Adload.ck 
C:\avenger\backup.zip/avenger/drsmartload849s.exe -> Downloader.Adload.ck 
C:\avenger\backup.zip/avenger/nwnmb_3.exe -> Downloader.Adload.cm 
C:\avenger\backup.zip/avenger/drsmartload45z.exe -> Downloader.Adload.cw 
C:\avenger\backup.zip/avenger/drsmartload46z.exe -> Downloader.Adload.cw 
C:\avenger\backup.zip/avenger/drsmartload849a.exe -> Downloader.Adload.cw 
C:\avenger\backup.zip/avenger/drsmartload849z.exe -> Downloader.Adload.cw
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/zrkim.exe -> Downloader.TSUpdate.n 
C:\avenger\backup.zip/avenger/dfndrb_3.exe -> Downloader.VB.afv : Mit Backup gesäubert 
C:\avenger\backup.zip/avenger/drsmartload1.exe -> Downloader.VB.agk : Mit Backup gesäubert 
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/nwnme_5.exe -> Downloader.VB.ahj 
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/dfndre_5.exe -> Hijacker.VB.nh 
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/kybrde_5.exe -> Hijacker.VB.nh
C:\avenger\backup-14.07.2006-15.18.48,01.zip/avenger/netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a

C:\RECYCLER\S-1-5-21-1909509159-2596211564-312850982-1008\Dc5\zrkid\zrkic.dll -> Adware.TargetServer
C:\RECYCLER\S-1-5-21-1909509159-2596211564-312850982-1008\Dc5\zrkia.exe -> Downloader.TSUpdate.l

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\msconfig.exe -> Backdoor.IRCBot.qc
C:\WINDOWS\SYSTEM32\p2pnetworking.exe -> Backdoor.IRCBot.qc
C:\WINDOWS\Setup.exe -> Backdoor.IRCBot.qc
C:\z.rar/Setup.exe -> Backdoor.IRCBot.qc

C:\WINDOWS\M?crosoft\nslookup.exe -> Downloader.PurityScan.bx

Image: Puityscan

C:\Dokumente und Einstellungen\User\Shared\_\0day mp3s, quality albums.rar/Setup.exe -> Backdoor.IRCBot.qc
C:\Dokumente und Einstellungen\User\Shared\_\123 Audio Video Merger 1.00.rar/Setup.exe
C:\Dokumente und Einstellungen\User\Shared\_\18 Wheels of Steel Convoy Unlocker.rar/Setup.exe
uws. usw

C:\Dokumente und Einstellungen\User\Desktop\Neuer Ordner\ WinAntiVirusPro2006FreeInstall_de.exe -> Not-A-Virus.Downloader.Win32.WinFixer.f

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\ Profiles\4btkcsa7.default\Cache\E1AAA3E5d01 -> Not-A-Virus.Downloader.Win32.WinFixer.f

HKLM\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus
HKU\S-1-5-21-1909509159-2596211564-312850982-1008\Software\Microsoft\ Windows\CurrentVersion\Ext\Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus
HKU\S-1-5-21-1909509159-2596211564-312850982-1008\Software\Microsoft\ Windows\CurrentVersion\Ext\Stats\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} -> Adware.ZangoSearch

Verzeichnis von c:\dokumente und einstellungen\User

01.07.2006 15:24 -DIR- .limewire
12.07.2006 14:35 20.480 dr.exe
14.07.2006 15:01 -DIR- Eigene Dateien
01.07.2006 15:24 -DIR- Incomplete
12.07.2006 14:34 151.112 mc-110-12-0000137.exe
12.07.2006 14:36 248 n.bat
12.07.2006 14:34 32.768 setup.exe
01.07.2006 15:24 -DIR- Shared

C:\Programme\Gemeinsame Dateien\{FC96C113-0958-1031-0731-030512200031}\services.dll
C:\Programme\Gemeinsame Dateien\{FC96C113-0958-1031-0731-030512200031}\Update.exe
c:\dokumente und einstellungen\User\dr.exe
c:\dokumente und einstellungen\User\mc-110-12-0000137.exe
c:\dokumente und einstellungen\User\n.bat
c:\dokumente und einstellungen\User\setup.exe

c:\dokumente und einstellungen\User\n.bat

n.bat ist folgerdermaßen aufgebaut:

@Echo off
:S
Del setup.exe
If Exist setup.exe Goto S
:G
Del dr.exe
If Exist dr.exe Goto G
:H
Del mc-110-12-0000137.exe
If Exist mc-110-12-0000137.exe Goto H
:J
Del mc-110-12-0000140.exe
If Exist mc-110-12-0000140.exe Goto J
Del n.bat

Verzeichnis von C:\Programme\SinEspias
19.11.2005 14:42 108 danger.txt
19.11.2005 14:42 76.288 safetyfilter.dll
19.11.2005 14:42 21.504 sfhelper.dll
19.11.2005 14:42 8.704 sporder.dll

Verzeichnis von C:\Programme\Snowball Wars
02.05.2006 17:56 16.929 License.txt

C:\Programme\Common Files\svchostsys\ICSharpCode.SharpZipLib.dll
C:\Programme\Common Files\svchostsys\svchostsys.exe.config
C:\Programme\Common Files\svchostsys\svchostupdate.exe.config
C:\Programme\Common Files\svchostsys\Version.txt
C:\Programme\Common Files\simtest\svchostsys.bat
C:\Programme\Common Files\simtest\temp.txt

Verzeichnis von C:\WINDOWS\system32

22.07.2006 19:20 540.672 hqghumea.dll
22.07.2006 18:51 71 i
21.07.2006 20:40 290.816 sucker.exe
21.07.2006 15:32 0 eraseme_12641.exe
21.07.2006 14:09 540.672 implib.dll
21.07.2006 13:48 0 eraseme_13003.exe

Verzeichnis von C:\

21.07.2006 14:10 32.768 nwnmed_7.exe
21.07.2006 14:10 28.672 kybrded_7.exe
21.07.2006 14:10 73.728 dfndred_7.exe
20.07.2006 19:41 15.360 iexplorer.exe
19.07.2006 13:47 25.391 winhire16.exe
15.07.2006 22:16 20.480 wksv.exe
15.07.2006 22:16 6.131 winpatch.exe
13.07.2006 19:30 28.672 nwnmad_5.exe
13.07.2006 19:29 81.920 dfndrad_5.exe
10.07.2006 22:25 227 woot.exe
28.05.2006 22:02 7.824 motrace.com

neuer Durchlauf

Verzeichnis von C:\WINDOWS\system32

24.07.2006 21:21 544.768 hqghumea.dll
24.07.2006 21:19 0 fswinsys.exe
24.07.2006 21:07 1.140.120 updates32.exe
24.07.2006 21:06 544.768 canary.dll
22.07.2006 17:54 40.973 hggdd.dll
22.07.2006 17:54 40.973 urqro.dll
22.07.2006 17:54 40.973 byxvw.dll
18.07.2006 23:42 552.960 msinfo32.exe
17.07.2006 15:53 688.128 install32.exe

Verzeichnis von C:\WINDOWS

24.07.2006 21:08 42 drsmartload2.dat
24.07.2006 21:08 0 newname.dat
24.07.2006 21:08 0 keyboard1.dat
24.07.2006 21:08 40 teller2.chk

Verzeichnis von C:\

24.07.2006 21:21 32.768 drsmartload.exe
24.07.2006 21:08 4.137 drsmartload46a7f.exe
24.07.2006 21:08 20.480 drsmartload45a7f.exe
24.07.2006 21:08 32.768 nwnmef_7.exe
24.07.2006 21:08 21.638 MTE3NDI6ODoxNg.exe
24.07.2006 21:08 4.118 stub_113_4_0_4_0newer.exe
24.07.2006 21:08 32.768 kybrdef_7.exe
24.07.2006 21:08 77.824 dfndref_7.exe

neuer Durchlauf

Verzeichnis von C:\WINDOWS\system32

27.07.2006 21:35 565.665 qrutv.ini
27.07.2006 21:33 67 x
27.07.2006 21:33 0 hqghumea.dll
27.07.2006 21:33 1.064 fnp25c27.sys
27.07.2006 21:22 563.943 qrutv.bak2
27.07.2006 21:20 61.440 fnp25c27.dll
27.07.2006 21:20 29.696 w002cb35.dll
24.07.2006 21:26 525.376 qrutv.bak1
24.07.2006 21:26 17.750 snmrohhl.exe
24.07.2006 21:26 573.492 vturq.dll
22.07.2006 17:54 40.973 iiige.dll

Verzeichnis von C:\WINDOWS

27.07.2006 21:21 185 em06y.ini
27.07.2006 21:21 376.832 876057.exe
27.07.2006 21:21 79.648 em.ocx - Adware-MediaMotor.dll

Verzeichnis von C:\

27.07.2006 21:21 4.137 drsmartload849a7i.exe
27.07.2006 21:20 20.480 drsmartload45a7i.exe
27.07.2006 21:20 517.168 ucmoreiex.exe
27.07.2006 21:20 2.560 ac3_0010.exe

neuer Durchlauf

Verzeichnis von C:\WINDOWS\system32

29.07.2006 18:30 209.492 stvut.ini
29.07.2006 18:29 540.672 hqghumea.dll
29.07.2006 16:01 130.558 ww32.exe
29.07.2006 16:01 138.700 mok32.exe
29.07.2006 16:00 540.672 implib.dll
29.07.2006 14:49 0 fswinsys.exe
29.07.2006 14:34 544.768 canary.dll
29.07.2006 14:26 205.918 stvut.bak1
29.07.2006 14:26 573.492 tuvts.dll
29.07.2006 14:15 0 TFTP980
22.07.2006 17:54 40.973 mllih.dll
22.06.2006 00:25 16.384 dotdr.exe

Verzeichnis von C:\WINDOWS

29.07.2006 15:08 185 em06y.ini
29.07.2006 15:08 0 keyboard1.dat
29.07.2006 15:08 40 teller2.chk
29.07.2006 15:08 0 newname.dat
29.07.2006 15:07 2 tempf.txt
29.07.2006 15:07 610 affbun.txt

Verzeichnis von C:\

29.07.2006 15:08 4.137 drsmartload46a7i.exe
29.07.2006 15:08 20.480 drsmartload45a7i.exe
29.07.2006 15:08 32.768 kybrdfg_7.exe
29.07.2006 15:08 32.768 nwnmfg_7.exe
29.07.2006 15:07 14.338 MTE3NDI6ODoxNg.exe

VundoFix

C:\windows\system32\vturq.dll
C:\windows\system32\qrutv.ini
C:\windows\system32\qrutv.bak1
C:\windows\system32\qrutv.bak2
C:\windows\system32\qrutv.tmp
C:\WINDOWS\system32\Drivers\DP.sys

Combofix

2006-07-29 18:29:04 540672 ( A.... ) "C:\WINDOWS\system32\hqghumea.dll"
2006-07-29 16:01:42 130558 ( A.... ) "C:\WINDOWS\system32\ww32.exe"
2006-07-29 16:01:36 138700 ( A.... ) "C:\WINDOWS\system32\mok32.exe"
2006-07-29 16:00:38 540672 ( ..SH. ) "C:\WINDOWS\system32\implib.dll"
2006-07-29 15:08:12 4137 ( A.... ) "C:\drsmartload46a7i.exe"
2006-07-29 15:08:10 20480 ( A.... ) "C:\drsmartload45a7i.exe"
2006-07-29 15:08:04 32768 ( A.... ) "C:\kybrdfg_7.exe"
2006-07-29 15:08:00 32768 ( A.... ) "C:\nwnmfg_7.exe"
2006-07-29 15:07:58 14338 ( A.... ) "C:\MTE3NDI6ODoxNg.exe"
2006-07-29 14:49:20 0 ( A.... ) "C:\WINDOWS\system32\fswinsys.exe"
2006-07-29 14:34:34 544768 ( ..SH. ) "C:\WINDOWS\system32\canary.dll"
2006-07-29 14:26:22 573492 ( ..SH. ) "C:\WINDOWS\system32\tuvts.dll"
2006-07-27 21:20:30 ( .D... ) "C:\Programme\TheSearchAccelerator"
2006-07-24 21:07:58 ( .D... ) "C:\Programme\ToolBar888"
2006-07-24 21:07:58 ( .D... ) "C:\Programme\Gemeinsame Dateien\{90692DEB-04DC-1031-1029-02110200002b}"
2006-07-22 17:54:46 40973 ( A.... ) "C:\WINDOWS\system32\mllih.dll"
2006-07-10 21:03:46 ( .D... ) "C:\Programme\Gemeinsame Dateien\{90692DEB-04DC-1031-1029-021102000031}"
2006-06-22 00:25:36 16384 ( A.... ) "C:\WINDOWS\system32\dotdr.exe"
2006-06-08 07:25:12 ( .D... ) "C:\Programme\TClock"
2006-06-07 22:08:18 ( .D... ) "C:\Programme\Common Files"
2006-06-04 22:23:48 ( .D... ) "C:\Programme\?racle"
2006-05-27 12:21:06 32177 ( ..SH. ) "C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe"

Adware.Ucmore - TheSearchAccelerator

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UCmore
HKEY_LOCAL_MACHINE\SOFTWARE\Effective-i

C:\Programme\TheSearchAccelerator
C:\Programme\TheSearchAccelerator\INSTALL.LOG
C:\Programme\TheSearchAccelerator\IUCmore.dll
C:\Programme\TheSearchAccelerator\TBlogin.users.ucmore.com.4.5.40.0
C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
C:\Programme\TheSearchAccelerator\UNWISE.EXE
C:\Programme\TheSearchAccelerator\logo.ico
C:\Programme\TheSearchAccelerator\toolbar.cfg

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTYVODQJ\ucmoreiex[1].exe/IUCMORE.DLL
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTYVODQJ\ucmoreiex[1].exe/UCMTSAIE.DLL
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTYVODQJ\ucmoreiex[1].exe/empty_00000001
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NRSBC813\ac3_0010[1].exe -> Downloader.Small
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NRSBC813\drsmartload45a[1].exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B4CHEPGY\drsmartload849a[1].exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1ZLFYRBM\drsmartload46a[1].exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1ZLFYRBM\loader[1].exe -> Downloader.Adload.di

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\245ZUU9G\JohnnyUPX[1].exe -> Proxy.Small.eu

C:\Dokumente und Einstellungen\User\eltcelcius.exe -> Backdoor.Small
C:\Dokumente und Einstellungen\User\upddd.exe/eltcelcius.exe -> Backdoor.Small
C:\Dokumente und Einstellungen\User\woa32.exe/dotdr.exe -> Downloader.Adload.ch
C:\Dokumente und Einstellungen\User\ww32.exe/dotdr.exe -> Downloader.Adload.ch
C:\Dokumente und Einstellungen\User\woa32.exe/dotrm.dll -> Downloader.ConHook.ad
C:\Dokumente und Einstellungen\User\ww32.exe/dotrm.dll -> Downloader.ConHook.ad
C:\Dokumente und Einstellungen\User\msinfo32.exe -> Downloader.VB.aiw

C:\WINDOWS\system32\ww32.exe/dotdr.exe -> Downloader.Adload.ch
C:\WINDOWS\system32\ww32.exe/dotrm.dll -> Downloader.ConHook.ad
C:\WINDOWS\system32\w002c394.dll -> Downloader.Small
C:\WINDOWS\system32\canary.dll -> Logger.Agent.nv
C:\WINDOWS\system32\hqghumea.dll -> Logger.Agent.nv

C:\drsmartload.exe -> Downloader.Adload.di
C:\drsmartload45a7i.exe -> Downloader.VB.aiw
C:\drsmartload45a8b.exe -> Downloader.VB.aiw
C:\drsmartload46a8b.exe -> Downloader.VB.aiw
C:\drsmartload849a8b.exe -> Downloader.VB.aiw
C:\nwnmfg_7.exe -> Downloader.VB.aiy

C:\WINDOWS\system32\drivers\etc\hosts -> Worm.Anker.n
C:\WINDOWS\system32\drivers\etc\hosts.bak -> Worm.Anker.n

Sicherheit im InterNet

Trojan.Proxy

Trojan.Proxy