|
|
| inet20026 inet20057 inet20091
|
|
inet20026, inet20057, inet20091, inet20002, inet20000, inet20004, inet20026, inet20009, inet20099, inet20126
* Ermöglicht Dritten den Zugriff auf den Computer
* Lädt Code aus dem Internet herunter
* Installiert sich in der Registrierung
* Trojan-Downloader.Win32.CWS.s
* Downloader-ARQ
* Trojan.Bookmarker
HijackThis
F1 - Win.ini: run=C:\WINDOWS\INET20057\WINLOGON.exe
F3 - REG:win.ini: run=C:\Windows\inet20057\winlogon.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20057\services.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20057\services.exe
inet20057
C:\WINDOWS\inet20057\3.00.05.dll
C:\WINDOWS\inet20057\winlogon.exe
C:\WINDOWS\inet20057\services.exe
inet20091
C:\WINDOWS\inet20091\services.exe
C:\WINDOWS\inet20091\winlogon.exe
C:\WINDOWS\inet20091\3.02.00.dll -> Adware.Ihbo
C:\WINDOWS\inet20091\alg.exe -> Worm.Delf.i
C:\WINDOWS\inet20091\alg.exe.bak -> Worm.Delf.i
C:\WINDOWS\inet20091\mm5.exe -> Logger.Delf.ig
C:\WINDOWS\inet20091\mm5.exe.bak -> Logger.Delf.ig
C:\WINDOWS\inet20091\mm6.exe.bak
inet20002
C:\WINDOWS\inet20002\services.exe
C:\WINDOWS\inet20002\3.00.11.dll
C:\WINDOWS\inet20002\mm3.exe
C:\WINDOWS\inet20002\mm.exe
C:\WINDOWS\inet20002\winlogon.exe
http://www.virus-protect.org/artikel/spyware/inet20002.html
inet20000
F1 - win.ini: run=C:\WINDOWS\INET20000\SERVICES.EXE
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} -
C:\WINDOWS\inet20000\3.02.00.dll
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INET20000\SERVICES.EXE
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INET20000\SERVICES.EXE
C:\WINDOWS\inet20000\3.02.00.dll Infected: not-a-virus:AdWare.Win32.Ihbo.gen
C:\WINDOWS\inet20000\alg.exe Infected: Email-Worm.Win32.Delf.i skipped
C:\WINDOWS\inet20000\alg.exe.bak Infected: Email-Worm.Win32.Delf.i skipped
C:\WINDOWS\inet20000\mm5.exe Infected: Trojan-Spy.Win32.Delf.ig skipped
C:\WINDOWS\inet20000\mm5.exe.bak Infected: Trojan-Spy.Win32.Delf.ig skipped
C:\WINDOWS\inet20000\mm6.exe Infected: Trojan-Spy.Win32.Delf.ig skipped
C:\WINDOWS\inet20000\mm6.exe.bak Infected: Trojan-Spy.Win32.Delf.ig skipped
C:\WINDOWS\inet20000\services.exe Infected: Trojan-Downloader.Win32.CWS.s skipped
C:\WINDOWS\inet20000\winlogon.exe
C:\WINDOWS\inet20000\socks.exe
----------------------------------
Start - Ausführen - regedit
HKCU\Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions
yes -> aendern in "no"
inet20004
C:\WINDOWS\inet20004\services.exe -> Downloader.Small.cgy
C:\WINDOWS\inet20004\winlogon.exe -> Downloader.CWS.s
C:\WINDOWS\inet20004\3.01.00.dll -> Adware.Ihbo
C:\WINDOWS\inet20004\mm6.exe -> Logger.Delf.ig
C:\WINDOWS\inet20004\alg.exe -> Worm.Delf.i
C:\WINDOWS\inet20004\d.exe -> Downloader.Agent.xz
C:\WINDOWS\inet20004\mm.pid
inet20026
C:\WINDOWS\inet20026\3.03.00.dll -> Adware.Ihbo
C:\WINDOWS\inet20026\alg.exe -> Worm.Delf.i
C:\WINDOWS\inet20026\alg.exe.bak -> Worm.Delf.i
C:\WINDOWS\inet20026\mm5.exe -> Logger.Delf.ig
C:\WINDOWS\inet20026\mm5.exe.bak -> Logger.Delf.ig
C:\WINDOWS\inet20026\mm6.exe -> Logger.Delf.ig
C:\WINDOWS\inet20026\services.exe -> Downloader.CWS.s
C:\WINDOWS\inet20026\socks.exe -> Proxy.Small.bt
C:\WINDOWS\inet20026\socks.exe.bak -> Proxy.Small.bt
inet20009
C:\WINDOWS\inet20009\3.00.13.dll -> Spyware.Ihbo
C:\WINDOWS\inet20009\alg.exe -> Worm.Delf.i
C:\WINDOWS\inet20009\alg.exe.bak -> Worm.Delf.i
C:\WINDOWS\inet20009\mm4.exe.bak
C:\WINDOWS\inet20009\__delete_on_reboot__mm4.exe -> Logger.Agent.ig
C:\WINDOWS\inet20009\services.exe
inet20099
C:\WINDOWS\inet20099\winlogon.exe
C:\WINDOWS\inet20099\services.exe
C:\WINDOWS\inet20099\socks.exe
C:\WINDOWS\inet20099\3.00.13.dll
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint
cd\
dir "C:\WINDOWS\inet20026" >> files.txt
notepad files.txt
|
inet20026
C:\WINDOWS\inet20026\services.exe
C:\WINDOWS\inet20026\winlogon.exe
C:\WINDOWS\inet20026\3.03.00.dll
C:\WINDOWS\inet20026\mm.pid
C:\WINDOWS\inet20026\1.txt
C:\WINDOWS\inet20026\tmp.req
C:\WINDOWS\inet20026\mm6.exe
C:\WINDOWS\inet20026\mm5.exe.bak
C:\WINDOWS\inet20026\mm5.exe
C:\WINDOWS\inet20026\alg.exe.bak
C:\WINDOWS\inet20026\alg.exe
C:\WINDOWS\inet20026\select.exe.bak
C:\WINDOWS\inet20026\select.exe
C:\WINDOWS\inet20026\killer.exe.bak
C:\WINDOWS\inet20026\killer.exe
C:\WINDOWS\inet20026\socks.exe.bak
C:\WINDOWS\inet20026\socks.exe
HijackThis
F3 - REG:win.ini: run=C:\WINDOWS\inet20026\winlogon.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20026\winlogon.exe
O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\inet20026\socks.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20026\winlogon.exe
Verzeichnis von C:\WINDOWS\inet20026
07.07.2006 13:49 4 1.txt
06.07.2006 23:51 31.232 3.03.00.dll
07.07.2006 13:49 11.776 alg.exe
07.07.2006 03:12 11.776 alg.exe.bak
07.07.2006 13:49 2.560 killer.exe
07.07.2006 03:12 2.560 killer.exe.bak
07.07.2006 13:49 16.896 mm.exe
07.07.2006 13:49 4 mm.pid
07.07.2006 03:12 16.896 mm5.exe
07.07.2006 03:02 16.896 mm5.exe.bak
07.07.2006 03:13 27.648 select.exe.bak
06.07.2006 21:35 13.312 services.exe
07.07.2006 13:49 37.888 socks.exe
07.07.2006 03:12 37.888 socks.exe.bak
07.07.2006 13:49 2 tmp.req
07.07.2006 13:48 13.312 winlogon.exe
|
Verzeichnis von C:\WINDOWS\inet20116
20.11.2006 23:20 51.712 free.exe
19.11.2006 14:44 51.712 free.exe.bak
21.11.2006 01:11 -DIR- gif
20.11.2006 23:19 2.560 killer.exe
19.11.2006 14:43 2.560 killer.exe.bak
20.11.2006 23:19 4 mm.pid
12.11.2006 19:21 18.944 schedule.exe
10.11.2006 19:11 18.944 schedule.exe.bak
19.11.2006 13:56 -DIR www.google.com
|
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xp_system"="C:\\WINDOWS\\inet20116\\services.exe"
[HKEY_USERS\S-1-5-21-1055384950-2971332057-1232219445-1006\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="C:\\WINDOWS\\inet20116\\services.exe"
C:\WINDOWS\inet20126
remove the check mark by C:\WINDOWS\inet20126\services.exe
Click on apply, then OK
It may ask you to reboot if so, say NO
Click on the General tab and place a check by
Use Original Boot.INI click apply and OK
Now reboot
|
|
|
