|
|
|
inet20004, batserv2.exe, sachosts.exe, svwhost.exe, svchost.exe, svchost.dll
ewido
C:\WINDOWS\inet20004\services.exe -> Downloader.Small.cgy
C:\WINDOWS\inet20004\winlogon.exe -> Downloader.CWS.s
C:\WINDOWS\inet20004\3.01.00.dll -> Adware.Ihbo
C:\WINDOWS\inet20004\mm6.exe -> Logger.Delf.ig
C:\WINDOWS\inet20004\alg.exe -> Worm.Delf.i
C:\WINDOWS\inet20004\d.exe -> Downloader.Agent.xz
C:\WINDOWS\inet20004\mm.pid
HijackThis
F3 - REG:win.ini: run=C:\WINDOWS\inet20004\winlogon.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20004\services.exe
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20004\3.01.00.dll
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20004\services.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20004\services.exe
Start --> Ausführen --> regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Enable Browser Extensions" = "yes" --> in "no" ändern
Win32.Nsag
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint
cd\
dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
dir "C:\Windows">> files.txt
dir "C:\Windows\System32">> files.txt
notepad files.txt
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als common.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die common.bat doppelt klicken--> kopiere den Text, der erscheint
cd %systemdrive%\Programme\Gemeinsame Dateien\
dir /s /a /o:-d > %systemdrive%\common.txt
start %systemdrive%\common.txt
cls
pause
exit
|
HijackThis
F3 - REG:win.ini: run=C:\WINDOWS\inet20004\winlogon.exe
O4 - HKLM\..\Run: [BatSrv] C:\WINDOWS\batserv2.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe /s
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels64.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O4 - HKCU\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O21 - SSODL: jRIJExZCQtN - {FCA11DBB-560B-B711-3CF7-D966C7E691AF} - C:\WINDOWS\System32\arvr.dll
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service
datfindbat
Verzeichnis von C:\WINDOWS\system32
16.02.2006 17:21 7.400 sachosts.exe
16.02.2006 17:21 152.772 attrib.ini
16.02.2006 17:21 7.912 sachostc.exe
16.02.2006 17:21 0 hard.lck
16.02.2006 17:21 10.984 sachostp.exe
16.02.2006 17:21 5.120 msvcrl.dll
16.02.2006 15:56 5.864 sachostm.exe
16.02.2006 14:15 35.870 vsconfig.xml
14.02.2006 21:11 1 vx.tll
14.02.2006 21:04 4 winsub.xml
14.02.2006 21:04 64 svcp.csv
14.02.2006 21:04 37.376 msupdate32.dll
Verzeichnis von C:\WINDOWS
14.02.2006 21:04 27.230 sachostx.exe
C:\WINDOWS\inet20004\winlogon.exe
C:\WINDOWS\inet20004\services.exe
C:\WINDOWS\inet20004\3.01.00.dll
C:\WINDOWS\inet20004\mm4.exe
C:\WINDOWS\inet20004
|
C:\WINDOWS\batserv2.exe
C:\WINDOWS\system32\sachosts.exe
C:\WINDOWS\System32\svwhost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.dll
C:\WINDOWS\system32\svwhost.exe
C:\WINDOWS\system32\svwhost.dll
C:\WINDOWS\System32\arvr.dll
C:\WINDOWS\System32\kernels64.exe
C:\WINDOWS\system32\attrib.ini
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\hard.lck
C:\WINDOWS\System32\spoolsvv.exe
C:\WINDOWS\system32\sachostp.exe
C:\WINDOWS\System32\symsvcsa.exe
C:\WINDOWS\system32\sachostm.exe
C:\WINDOWS\system32\msvcrl.dll
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\msupdate32.dll
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sachostx.exe
C:\WINDOWS\iun6002.exe
C:\winstall.exe
C:\d.exe
C:\d.exe.bak
C:\WINDOWS\System32\r_server.exe
|
SmitRem2.8
http://virus-protect.org/artikel/tools/smitrem.html
smitfraud.fix
http://virus-protect.org/artikel/tools/smitfrautfix.html
Link: Trojan-Downloader.Win32.Delf
Link: inet20099
Link: inet20002
Link: Alfacleaner
|
|
|
