PC HILFE FORUM - User helfen Usern » Software (auch Viren) » Virus - Trojaner - und Hoax - Board » Wurm Warezov - benötige Hilfe

Wurm Warezov - benötige Hilfe

ilTP
Hallo!
Ich habe mir einen Wurm eingefangen und benötige jetzt Hilfe, um ihn wieder loszuwerden. Ich habe auch schon diesen erseten Scan mit highjackthis durchgeführt.

Hier das Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:27, on 30.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\System32\fpwprich.exe
C:\WINDOWS\System32\vdmdracp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.ex
e -TOnlineAutodialStart
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\mmcc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = C:\WINLITE\ZAWF.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/t...stallPlugIn.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/...l_v1-0-3-30.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/260743e15cf1...RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsu...b?1197160913804
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsof...b?1197153908596
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O20 - AppInit_DLLs: confssdp.dll e1.dll kbdgmqqm.dll
O20 - Winlogon Notify: fpwprich - C:\WINDOWS\system32\fpwprich.dll
O20 - Winlogon Notify: vdmdracp - C:\WINDOWS\system32\vdmdracp.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 8303 bytes



Ich mach dann mal mit den anderen Scans weiter und poste sie, sobald ich fertig bin.
ilTP
Hier das Ergebnis vom Windows Scan:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

30.12.2007 win.ini 15 56:1.058
30.12.2007 WindowsUpdate.log 15 22:559.755
30.12.2007 0.log 15 15:0
30.12.2007 wiadebug.log 15 15:159
30.12.2007 wiaservc.log 15 15:50
30.12.2007 bootstat.dat 15 14:2.048
30.12.2007 setupapi.log 11 47:280.058
16.12.2007 wmsetup.log 18 24:124.780
09.12.2007 QTFont.for 01 53:1.409
09.12.2007 QTFont.qfn 01 53:54.156
09.12.2007 SchedLgU.Txt 01 33:32.614
09.12.2007 system.ini 01 33:227
09.12.2007 spupdsvc.log 00 42:111.686
09.12.2007 DtcInstall.log 00 42:592
09.12.2007 wmsetup10.log 00 42:1.612
09.12.2007 setuplog.txt 00 41:772.519
09.12.2007 iis6.log 00 39:174.215
09.12.2007 comsetup.log 00 39:320.751
09.12.2007 ntdtcsetup.log 00 39:193.874
09.12.2007 imsins.log 00 39:1.374
09.12.2007 ocmsn.log 00 39:47.284
09.12.2007 tsoc.log 00 39:427.589
09.12.2007 KB899591.log 00 39:219.918
09.12.2007 ocgen.log 00 39:546.471
09.12.2007 msgsocm.log 00 39:55.610
09.12.2007 FaxSetup.log 00 39:1.104.524
09.12.2007 svcpack.log 00 38:483.735


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

30.12.2007 webpvbam.dll 15 25:28.672
30.12.2007 vdmdracp.exe 15 24:92.784
30.12.2007 fpwprich.exe 15 24:92.477
30.12.2007 wpa.dbl 15 07:13.684
09.12.2007 jupdate-1.6.0_03-b05.log 01 24:5.686
09.12.2007 spupdwxp.log 00 41:90
08.12.2007 vdmdracp.dat 14 52:4
08.12.2007 crswadpt.dll 14 52:28.672
05.12.2007 vdmdracp.dll 19 10:118.784
05.12.2007 fpwprich.dat 19 10:4
05.12.2007 prflwebc.exe 19 09:24.576
05.12.2007 kbdgmqqm.dll 19 09:32.768
05.12.2007 fpwprich.dll 19 08:118.784
05.12.2007 e1.dll 19 08:9.728
05.12.2007 storcard.exe 19 08:20.480
05.12.2007 confssdp.dll 19 08:32.768
02.11.2007 MRT.exe 08 12:18.238.072
29.10.2007 xpsp3res.dll 16 35:123.904
28.10.2007 perfh009.dat 14 34:380.350
28.10.2007 perfc009.dat 14 34:52.764
28.10.2007 perfh007.dat 14 34:391.000
28.10.2007 perfc007.dat 14 34:63.580
28.10.2007 PerfStringBackup.INI 14 34:897.954
25.10.2007 shell32.dll 17 55:8.495.616
24.09.2007 javaws.exe 23 31:139.264
24.09.2007 javacpl.cpl 23 31:69.632
24.09.2007 javaw.exe 22 30:135.168
24.09.2007 java.exe 22 30:135.168
02.09.2007 TZLog.log 11 43:249.768
22.08.2007 wininet.dll 14 13:664.576
22.08.2007 shdocvw.dll 14 13:1.494.528
22.08.2007 urlmon.dll 14 13:617.472
22.08.2007 shlwapi.dll 14 13:474.624
22.08.2007 msrating.dll 14 13:146.432
22.08.2007 mshtml.dll 14 13:3.079.168
22.08.2007 mstime.dll 14 13:532.480
22.08.2007 mshtmled.dll 14 13:449.024
22.08.2007 pngfilt.dll 14 13:39.424
22.08.2007 inseng.dll 14 13:96.768
22.08.2007 jsproxy.dll 14 13:16.384
22.08.2007 extmgr.dll 14 13:55.808
22.08.2007 dxtrans.dll 14 13:205.312
22.08.2007 iepeers.dll 14 13:251.392
22.08.2007 cdfview.dll 14 13:152.064
22.08.2007 dxtmsft.dll 14 13:357.888
22.08.2007 browseui.dll 14 13:1.022.976
22.08.2007 danim.dll 14 13:1.056.256


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****




Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 30.12.2007 um 16 40,24 ***
ilTP
Hallo!

Konnte das Problem leider immer noch nicht lösen und die anderen beiden Programme sind abgestürzt, als ich sie laufen lassen habe, also kann ich die Ergebnisse hier nicht reinstellen.

Hat vielleicht einer Ahnung von der Sache und kann mir helfen?

Lieben Gruß
Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH