Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Explorer.exe von Worm.Bage.n infiziert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.05.2005, 12:01   #1
Feuermelder
 
Explorer.exe von Worm.Bage.n infiziert - Standard

Explorer.exe von Worm.Bagle.n infiziert



Hallo,

ich habe ein Sony Vaio Notebook mit Windows XP Pro. Vorgestern nachmittag habe ich mir beim Surfen im Internet einen Trojaner/Virus eingefangen. Avast (neueste Version und Virus-Definitionen) hat das Virus auch sofort als Win32:Trojano-1371 erkannt, jedoch offenbar nichts ausrichten können, denn plötzlich war der PC stark überlastet: lange ließ sich nichts machen. Dann erschien als Hintergrundbild eine Meldung des Trojaners, das System sei mit Spyware infiziert und müsse desinfiziert werden, um Datenverlust zu vermeiden. Anfangs war auch der Taskmanager gesperrt, was sich jedoch über die Registry ändern ließ.

Seither versuche ich verzweifelt, alles zu entfernen, was sich so finden lässt.

Hijackthis fand einige Einträge, die ich gleich habe löschen lassen. Ein Screenshot der entfernten Einträge befindet sich hier.


Dann habe ich Ewido laufen lassen, wobei es mehrmals bei ca. 90% abgestürzt ist. Letztlich hat es aber doch einiges gefixt:


---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 16:37:30, 27.05.2005
+ Report-Checksumme: 90978D8F

+ Datum der Signaturen: 27.05.2005
+ Version der Scanengine: v3.0

+ Suchdauer: 57 min
+ Untersuchte Dateien: 78791
+ Geschwindigkeit: 22.84 Dateien/Sekunden
+ Infizierte Dateien: 14
+ Entfernte Dateien: 14
+ Unter Quarantäne gestellte Dateien: 14
+ Dateien, die nicht geöffnet werden konnten: 0
+ Dateien, die nicht gesäubert werden konnten: 0

+ Binder: Ja
+ Packer: Ja
+ Archive: Ja

+ Gescannt wurde:
C:\

+ Scanergebnis:
C:\WINDOWS\system32\dllcache\explorer.exe -> Worm.Bagle.n -> Gesäubert mit Backup
C:\WINDOWS\system32\win32.exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup
C:\WINDOWS\system32\latest.exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup
C:\WINDOWS\explorer.exe -> Worm.Bagle.n -> Gesäubert mit Backup
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temporary Internet

Files\Content.IE5\05ABOTQN\latest[1].exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temporary Internet

Files\Content.IE5\CPQZ01YN\latest[1].exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118003.exe ->

TrojanDownloader.Small.agq -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118007.exe ->

TrojanDownloader.Agent.ho -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118008.exe -> Trojan.LowZones.y

-> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118009.exe ->

TrojanDropper.Small.wp -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118011.exe ->

TrojanDownloader.Small.awa -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118013.exe ->

TrojanDownloader.Small.atl -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118014.exe ->

TrojanDropper.Small.wp -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118025.exe -> TrojanProxy.Lager.j

-> Gesäubert mit Backup


::Report Ende


Auch später hat Ewido immer wieder Dateien in der Systemwiederherstellung gefunden und entfernt. Inzwischen habe ich die Systemwiederherstellung ausgeschaltet, so dass dort jetzt wohl keine Dateien mehr abgelegt werden können. Seither habe ich aber Probleme mit Explorer.exe (aus dem Windows-Ordner). Diese wird von Ewido als mit "Worm.Bagle.n" infiziert gemeldet.

Lasse ich Ewido die Datei säubern, stürzt entweder der Explorer oder Ewido ab. Ein paar Mal hat Ewido den Explorer aber augenscheinlich gesäubert, jedoch dann verlangt, dass Explorer.exe über die Windows-CD neu installiert wird.

Seither war es immer so, dass beim Neustart von Windows Ewido sich beschwert hat, dass die Explorer.exe verseucht ist, und ich nur mit Windows arbeiten konnte, indem ich die Warnung ignoriert habe. Beim letzten Systemstart hat sich aber Ewido nicht mehr beschwert, und auch der konkrete Scan der Explorer.exe mit Ewido lässt vermuten, dass Explorer.exe nicht mehr verseucht ist. Irgendwie kann ich dem aber noch nicht ganz trauen! Avast hat übrigens die Explorer.exe zu keiner Zeit als infiziert angesehen ...

Nun (nochmal) meine Fragen im Überblick:

1. Kann man überhaupt die Explorer.exe separat neu installieren über die Windows-CD?
2. Wie stehen die Chancen, dass die Explorer.exe jetzt wirklich virenfrei ist, dass also Ewido recht hat?


Für Eure Hilfe wäre ich Euch sehr dankbar!!!!

Viele Grüße
Sven


P.S.: Ich sende mal den aktuellen Hijackthis-Report mit:


Logfile of HijackThis v1.99.0
Scan saved at 12:20:24, on 28.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\Programme\Avast\aswUpdSv.exe
C:\Programme\Avast\ashServ.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Avast\ashDisp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Avast\ashWebSv.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Dokumente und Einstellungen\********\Anwendungsdaten\Map Maker\MMManager.exe
C:\Programme\HOTSYNC.EXE
C:\Programme\Avast\ashMaiSv.exe
C:\Dokumente und Einstellungen\********\Desktop\System\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: SunClock5.lnk = C:\Dokumente und Einstellungen\********\Anwendungsdaten\Map Maker\MMManager.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\HOTSYNC.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft

Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (IPIX ActiveX Control) - h**p://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Advanced) - h**p://www.justis.com/J-Net/smsx.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - http://h**ps://img.web.de/v/fotoalbu...pload_1115.cab
O21 - SSODL: System - {96CC8BC0-F91C-4B63-9732-261B28DA2EED} - vr_sys.dll (file missing)
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programme\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programme\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast\ashWebSv.exe
O23 - Service: AVM FRITZ!web Routing Service - Cisco Systems, Inc. - (no file)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Virtual NIC Service - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Geändert von Feuermelder (28.05.2005 um 17:22 Uhr)

Alt 28.05.2005, 12:20   #2
Rene-gad
 
Explorer.exe von Worm.Bage.n infiziert - Standard

Explorer.exe von Worm.Bage.n infiziert



@Feuermelder
HJT soll aus einem speziell angelegten Ordner ausgeführt werden.
Bitte alle Links im Log deaktivieren (z.B. h**p statt http)
Benutzername unerkennbar machen.
Zitat:
1. Kann man überhaupt die Explorer.exe separat neu installieren über die Windows-CD?
Nein
Zitat:
2. Wie stehen die Chancen, dass die Explorer.exe jetzt wirklich virenfrei ist, dass also Ewido recht hat?
Fifty-Fifty.
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Wo sind die aktuellen Updates geblieben? Du musst umgehend entweder eine WindowsXP SP2 CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
Die beiden kannst du fixen. Zum Querchecken bitte:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.
__________________


Alt 28.05.2005, 17:00   #3
Feuermelder
 
Explorer.exe von Worm.Bage.n infiziert - Standard

Explorer.exe von Worm.Bage.n infiziert



Ist das normal, dass die MWAV.log von dem EScan-Tool so groß ist (5,91 MB)? Ich durchsuch die Datei erstmal selbst und poste dann alles, was kommentiert wurde (Error, infected etc.). Kann noch ein bisschen dauern.
__________________

Alt 28.05.2005, 17:15   #4
Feuermelder
 
Explorer.exe von Worm.Bage.n infiziert - Standard

Explorer.exe von Worm.Bage.n infiziert



So, da war schon ein bisschen was dabei. Ich hoffe, der Ausschnitt umfasst auch alles an Malware, was gefunden wurde:


Sat May 28 17:10:59 2005 => ***** Scanning Registry Files *****

Sat May 28 17:10:59 2005 => Scanning

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Sat May 28 17:11:00 2005 => *** File C:\WINDOWS\system32\SHELL32.dll having

Size Restriction ***. Filesize 8167 kb > 3072 kb...
Sat May 28 17:11:00 2005 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**]
Sat May 28 17:11:00 2005 => *** File C:\WINDOWS\system32\SHELL32.dll having

Size Restriction ***. Filesize 8167 kb > 3072 kb...
Sat May 28 17:11:00 2005 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**]
Sat May 28 17:11:00 2005 => Scanning File C:\WINDOWS\System32\webcheck.dll
Sat May 28 17:11:00 2005 => Scanning File C:\WINDOWS\System32\stobject.dll
Sat May 28 17:11:00 2005 => ERROR!!! Invalid Entry System = vr_sys.dll (in key

SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad).

Removing it.




Sat May 28 17:11:00 2005 => ERROR!!! Invalid Entry

{203B1C4D9-BC71-8916-38AD-9DEA5D213614} = C:\WINDOWS\System32\bre.dll (in key

Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler).

Removing it.
Sat May 28 17:11:00 2005 => ERROR!!! Invalid Entry

{DABB23E9-AC0D-3740-E3E5-4B37C80837E5} = C:\WINDOWS\System32\wirl.dll (in key

Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler).

Removing it.



Sat May 28 17:11:16 2005 => ERROR!!! Invalid Entry

\SystemRoot\System32\Drivers\CAPI20.SYS in

SYSTEM\CurrentControlSet\Services\CAPI20...



Sat May 28 17:11:20 2005 => ERROR!!! Invalid Entry

System32\DRIVERS\NETFRITZ.SYS in SYSTEM\CurrentControlSet\Services\NETFRITZ...



Sat May 28 17:11:23 2005 => ERROR!!! Invalid Entry

System32\DRIVERS\TS154ICB.sys in SYSTEM\CurrentControlSet\Services\TS154_CB...
Sat May 28 17:11:24 2005 => ERROR!!! Invalid Entry System32\Drivers\ulisa.sys

in SYSTEM\CurrentControlSet\Services\ulisa...





Sat May 28 17:11:25 2005 => ***** Scanning Registry and File system for

Adware/Spyware *****
Sat May 28 17:11:32 2005 => Offending value found in

HKLM\Software\microsoft\downloadmanager !!!
Sat May 28 17:11:51 2005 => Object "AltNet Spyware/Adware" found in File

System! Action Taken: No Action Taken.

Sat May 28 17:12:13 2005 => System found infected with cws.therealsearch

Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sat May 28 17:12:13 2005 => Object "cws.therealsearch Spyware/Adware" found in

File System! Action Taken: No Action Taken.





Sat May 28 17:12:14 2005 => ***** Scanning Registry for errors created because

of Adware/Spyware *****
Sat May 28 17:12:14 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid

object "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Action

Taken: No Action Taken.

Sat May 28 17:12:15 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe". Action Taken: No

Action Taken.

Sat May 28 17:12:15 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\WINDOWS\System32\vxblock.dll". Action Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\WINDOWS\System32\MSXML3A.DLL". Action Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\USWebUncoated.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\AppleRGB.icc". Action Taken: No Action

Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\ColorMatchRGB.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\EuroscaleCoated.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\EuroscaleUncoated.icc". Action Taken:

No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\JapanStandard.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\sRGB Color Space Profile.icm". Action

Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\USSheetfedCoated.icc". Action Taken:

No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\USSheetfedUncoated.icc". Action Taken:

No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\USWebCoatedSWOP.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\AdobeRGB1998.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\WideGamutRGB.icc". Action Taken:

No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\NTSC1953.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\PAL_SECAM.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\SMPTE-C.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\CIERGB.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\Photoshop5DefaultCMYK.icc". Action

Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\Photoshop4DefaultCMYK.icc". Action

Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\AOL 7.0\Aol.hlp". Action Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\AOL 7.0\Aol.cnt". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\FRITZ!\Mfc42u.dll". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\FRITZ!\Msvcirt.dll". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\FRITZ!\Msvcrt.dll". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\FRITZ!\Mfc42.dll". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object

"C:\DOKUME~1\POISON~1\LOKALE~1\Temp\_ISTMP3.DIR\_ISTMP0.DIR\FileGrp\De_serv.exe

". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\FRITZ!\De_serv.exe". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object

"C:\DOKUME~1\POISON~1\LOKALE~1\Temp\_ISTMP5.DIR\_ISTMP0.DIR\FileGrp\De_serv.exe

". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\SyncDlgN20.dll". Action Taken: No Action Taken.

Sat May 28 17:12:18 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Action

Taken: No Action Taken.

Sat May 28 17:12:19 2005 => Entry

"HKCR\CLSID\{065DAF12-2C96-11D1-A2BE-00A024C0EB3C}" refers to invalid object

"C:\Program Files\PCFriendly\main\bin\Router.dll". Action Taken: No Action

Taken.

Sat May 28 17:12:19 2005 => Entry

"HKCR\CLSID\{11BE3AE6-C9DF-11D3-8E11-00805F9E26E6}" refers to invalid object

"C:\Programme\AOL 6.0\PSFac.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{1745EDC4-CDCE-4e20-B91E-312F0C2AD16B}" refers to invalid object

"C:\Programme\MSN\MSNCoreFiles\msnmetal.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{1F22CD29-E3DB-11D3-BC4E-0010833594F0}" refers to invalid object

"C:\Programme\AOL 7.0\ebrowser.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{203B1C4D9-BC71-8916-38AD-9DEA5D213614}" refers to invalid object

"C:\WINDOWS\System32\bre.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78d3-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78d4-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78d6-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78d8-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78d9-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78db-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78dc-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78dd-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78de-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e3-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e4-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e5-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e6-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e7-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e8-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e9-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78ea-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78eb-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{2BC66F51-93A8-11D3-BEB6-00105AA9B6AE}" refers to invalid object

"C:\WINDOWS\Downloaded Program Files\avsniff.dll". Action Taken: No Action

Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE}" refers to invalid object

"C:\WINDOWS\Downloaded Program Files\avsniff.dll". Action Taken: No Action

Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{2E246FAE-8420-11D9-870D-000C2917DE7F}" refers to invalid object

"C:\WINDOWS\SYSTEM\Loader.dll". Action Taken: No Action Taken.

Sat May 28 17:12:24 2005 => Entry

"HKCR\CLSID\{5E05D214-DD15-47cd-B5BC-65FAC825D3D0}" refers to invalid object

"C:\Programme\MSN\MSNCoreFiles\msnmetal.dll". Action Taken: No Action Taken.

Sat May 28 17:12:25 2005 => Entry

"HKCR\CLSID\{76CE1CC0-7932-11D1-9509-00A0C9925315}" refers to invalid object

"C:\PROGRA~2\PCFRIE~1\main\bin\ITIVIDEO.OCX". Action Taken: No Action Taken.

Sat May 28 17:12:25 2005 => Entry

"HKCR\CLSID\{7730E78F-A89A-11D3-9982-0060B088BBCA}" refers to invalid object

"C:\Programme\AOL 6.0\Amp\AmpX.dll". Action Taken: No Action Taken.

Sat May 28 17:12:26 2005 => Entry

"HKCR\CLSID\{7D40BE24-67B4-11D4-B7C0-0050044A0724}" refers to invalid object

"C:\PROGRA~1\GEMEIN~1\FUNCOM~1\UDACOM~1.DLL". Action Taken: No Action Taken.

Sat May 28 17:12:27 2005 => Entry

"HKCR\CLSID\{8F05DED0-B413-11D3-BA1D-00108334265F}" refers to invalid object

"C:\Programme\AOL 6.0\PShopper.dll". Action Taken: No Action Taken.

Sat May 28 17:12:27 2005 => Entry

"HKCR\CLSID\{96CC8BC0-F91C-4B63-9732-261B28DA2EED}" refers to invalid object

"vr_sys.dll". Action Taken: No Action Taken.

Sat May 28 17:12:28 2005 => Entry

"HKCR\CLSID\{B6069E5C-B409-11D3-BA1D-00108334265F}" refers to invalid object

"C:\Programme\AOL 6.0\SABridge.dll". Action Taken: No Action Taken.

Sat May 28 17:12:29 2005 => Entry

"HKCR\CLSID\{bc8a96c0-3909-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:29 2005 => Entry

"HKCR\CLSID\{bc8a96c1-3909-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:29 2005 => Entry

"HKCR\CLSID\{bc8a96c2-3909-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:29 2005 => Entry

"HKCR\CLSID\{bc8a96c3-3909-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:29 2005 => Entry

"HKCR\CLSID\{C0E02720-C9D7-11D3-8E10-00805F9E26E6}" refers to invalid object

"C:\Programme\AOL 6.0\PSFac.dll". Action Taken: No Action Taken.

Sat May 28 17:12:29 2005 => Entry

"HKCR\CLSID\{C31746DC-4BF9-4DC8-A299-B0F09AFACFB4}" refers to invalid object

"C:\Programme\AOL 7.0\AMH.dll". Action Taken: No Action Taken.

Sat May 28 17:12:30 2005 => Entry

"HKCR\CLSID\{C627B4C0-01AF-41BB-A4CF-EC0DEF91ADAF}" refers to invalid object

"C:\Programme\AOL 7.0\AMH.dll". Action Taken: No Action Taken.

Sat May 28 17:12:30 2005 => Entry

"HKCR\CLSID\{CC93F1D5-BAE8-11D4-BB7E-00E0290BFBAA}" refers to invalid object

"C:\PROGRA~1\GEMEIN~1\FUNCOM~1\FUNINT~1.DLL". Action Taken: No Action Taken.

Sat May 28 17:12:31 2005 => Entry

"HKCR\CLSID\{D98E820F-6ACD-4dc0-921E-9841E3D8B4A7}" refers to invalid object

"E:\player\WMMP.EXE". Action Taken: No Action Taken.

Sat May 28 17:12:31 2005 => Entry

"HKCR\CLSID\{DABB23E9-AC0D-3740-E3E5-4B37C80837E5}" refers to invalid object

"C:\WINDOWS\System32\wirl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:31 2005 => Entry

"HKCR\CLSID\{E726E415-FC33-451A-A309-00A95540596F}" refers to invalid object

"C:\PROGRA~1\GEMEIN~1\FUNCOM~1\funAd.dll". Action Taken: No Action Taken.

Sat May 28 17:12:32 2005 => Entry

"HKCR\CLSID\{EB6BEA6B-F489-4846-902B-4CA285EA2311}" refers to invalid object

"C:\Programme\AOL 7.0\AMH.dll". Action Taken: No Action Taken.

Sat May 28 17:12:32 2005 => Entry

"HKCR\CLSID\{F4C6D6E0-A8FB-4281-BE24-1662D646FE2B}" refers to invalid object

"E:\player\WMMP.EXE". Action Taken: No Action Taken.

Sat May 28 17:12:33 2005 => Entry

"HKCR\CLSID\{FBE840E5-13A5-4cff-B2A9-4D1E64A17FF2}" refers to invalid object

"E:\player\WMMP.EXE". Action Taken: No Action Taken.

Sat May 28 17:12:47 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid

object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Sat May 28 17:12:47 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to

invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No

Action Taken.

Sat May 28 17:12:50 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers

to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No

Action Taken.

Sat May 28 17:12:50 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers

to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No

Action Taken.








Sat May 28 17:12:50 2005 => ***** Scanning System32 Folders *****




Sat May 28 17:12:56 2005 => File C:\WINDOWS\dvpd.dll infected by

"Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.


Sat May 28 17:12:56 2005 => File C:\WINDOWS\prntsvra.dll infected by

"Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.


Sat May 28 17:13:04 2005 => *** File C:\WINDOWS\System32\wmp.dll having Size

Restriction ***. Filesize 4540 kb > 3072 kb...



Sat May 28 17:13:52 2005 => *** File C:\WINDOWS\System32\oembios.bin having

Size Restriction ***. Filesize 12800 kb > 3072 kb...


Sat May 28 17:14:54 2005 => *** File C:\WINDOWS\System32\shell32.dll having Size Restriction ***. Filesize 8167 kb > 3072 kb...




Sat May 28 17:15:13 2005 => ***** Scanning All Drives *****






Sat May 28 17:26:21 2005 => Scanning File C:\WINDOWS\dvpd.dll
Sat May 28 17:26:21 2005 => File C:\WINDOWS\dvpd.dll infected by "Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.


Sat May 28 17:26:27 2005 => Scanning File C:\WINDOWS\prntsvra.dll
Sat May 28 17:26:27 2005 => File C:\WINDOWS\prntsvra.dll infected by "Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.


Sat May 28 17:46:50 2005 => ***** Checking for specific ITW Viruses *****
Sat May 28 17:46:50 2005 => Checking for Welchia Virus...
Sat May 28 17:46:51 2005 => Traces of "Welchia" found and cleaned !!!

Alt 28.05.2005, 17:20   #5
Feuermelder
 
Explorer.exe von Worm.Bage.n infiziert - Standard

Explorer.exe von Worm.Bage.n infiziert



Und unter Virus Log Information steht das hier:
(Tut mir echt unheimlich leid, dass ich Dich hier so mit Information zumülle!!!)

Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "cws.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\vxblock.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\MSXML3A.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\USWebUncoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\AppleRGB.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\ColorMatchRGB.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\EuroscaleCoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\EuroscaleUncoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\JapanStandard.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\sRGB Color Space Profile.icm". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\USSheetfedCoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\USSheetfedUncoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\USWebCoatedSWOP.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\AdobeRGB1998.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-Recommended\WideGamutRGB.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-Recommended\NTSC1953.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-Recommended\PAL_SECAM.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-Recommended\SMPTE-C.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-Recommended\CIERGB.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-Recommended\Photoshop5DefaultCMYK.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-RecomTraces of "Welchia" found and cleaned !!!


Alt 28.05.2005, 17:35   #6
Cidre
Administrator, a.D.
 
Explorer.exe von Worm.Bage.n infiziert - Standard

Explorer.exe von Worm.Bage.n infiziert



@ Feuermelder

Führe lieber mal die Find.bat aus, dann wird's für uns übersichtlicher und leichter.
__________________
--> Explorer.exe von Worm.Bage.n infiziert

Alt 28.05.2005, 19:44   #7
Feuermelder
 
Explorer.exe von Worm.Bage.n infiziert - Standard

Explorer.exe von Worm.Bage.n infiziert



Irgendwie klappt die Batch-Datei bei mir nicht. Hab dann "nach alter Manier" (STRG+F) gesucht. Das Ergebnis in Kürze


Sat May 28 17:12:13 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.

Sat May 28 17:12:56 2005 => File C:\WINDOWS\dvpd.dll infected by "Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.

Sat May 28 17:12:56 2005 => File C:\WINDOWS\prntsvra.dll infected by "Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.

Sat May 28 17:26:21 2005 => File C:\WINDOWS\dvpd.dll infected by "Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.

Sat May 28 17:26:27 2005 => File C:\WINDOWS\prntsvra.dll infected by "Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.

Sat May 28 17:37:07 2005 => File C:\Programme\AIDA32 - Enterprise System Information\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.

Sat May 28 17:37:09 2005 => File C:\Programme\AIDA32 - Enterprise System Information\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.

Sat May 28 17:37:09 2005 => File C:\Programme\AIDA32 - Enterprise System Information\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.

Sat May 28 17:11:00 2005 => ERROR!!! Invalid Entry System = vr_sys.dll (in key SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad). Removing it.

Sat May 28 17:11:00 2005 => ERROR!!! Invalid Entry {203B1C4D9-BC71-8916-38AD-9DEA5D213614} = C:\WINDOWS\System32\bre.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler). Removing it.

Sat May 28 17:11:00 2005 => ERROR!!! Invalid Entry {DABB23E9-AC0D-3740-E3E5-4B37C80837E5} = C:\WINDOWS\System32\wirl.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler). Removing it.

Sat May 28 17:11:16 2005 => ERROR!!! Invalid Entry \SystemRoot\System32\Drivers\CAPI20.SYS in SYSTEM\CurrentControlSet\Services\CAPI20...

Sat May 28 17:11:20 2005 => ERROR!!! Invalid Entry System32\DRIVERS\NETFRITZ.SYS in SYSTEM\CurrentControlSet\Services\NETFRITZ...

Sat May 28 17:11:23 2005 => ERROR!!! Invalid Entry System32\DRIVERS\TS154ICB.sys in SYSTEM\CurrentControlSet\Services\TS154_CB...

Sat May 28 17:11:24 2005 => ERROR!!! Invalid Entry System32\Drivers\ulisa.sys in SYSTEM\CurrentControlSet\Services\ulisa...


Außerdem:

Sat May 28 17:46:50 2005 => ***** Checking for specific ITW Viruses *****
Sat May 28 17:46:50 2005 => Checking for Welchia Virus...
Sat May 28 17:46:51 2005 => Traces of "Welchia" found and cleaned !!!

Und:

Sollte ich was bezüglich dieser "refers to invalid object"-Einträge unternehmen (siehe unten)?

Alt 28.05.2005, 19:49   #8
Chris14
 

Explorer.exe von Worm.Bage.n infiziert - Standard

Explorer.exe von Worm.Bage.n infiziert



du hast einen oder mehrere backdoors auf dem system.
dein system ist kompromittiert; es ist nicht mehr vertrauenswürdig.
installiere windows neu mit beachtung dieser Anleitung

Alt 28.05.2005, 21:06   #9
Feuermelder
 
Explorer.exe von Worm.Bage.n infiziert - Standard

Explorer.exe von Worm.Bage.n infiziert



Nö, nicht wirklich, oder? Gibt's denn gar keine Chance mehr?

Alt 28.05.2005, 21:13   #10
The Saint
 
Explorer.exe von Worm.Bage.n infiziert - Standard

Explorer.exe von Worm.Bage.n infiziert



Leider NEIN!

Bei Malware mit Backdoorfunktion besteht die Gefahr das diese Systemdateien geändert hat und dein Betriebssystem daher nicht mehr vertrauenswürdig ist.

Siehe auch HIER und HIER

Alt 28.05.2005, 22:16   #11
Feuermelder
 
Explorer.exe von Worm.Bage.n infiziert - Standard

Explorer.exe von Worm.Bage.n infiziert



Ich habe gerade interessanterweise auf dem infizierten PC im system32-Ordner eine Datei namens $$$_.log entdeckt mit folgendem Inhalt:

h**p://evker.com/s.exe
h**p://deksten.biz/best.exe

(Das ist alles, was da drin steht!!)

Die ist zur gleichen Zeit "entstanden" wie das ganze Schlamassel an dem Notebook. Wenn man schon so konkrete Internetadressen hat, kann man da nicht was dagegen unternehmen, wenigsten den Server einfrieren?? Kennt Ihr Euch da aus?

Viele Grüße, und vielen Dank für die Hilfe!!
Sven

Antwort

Themen zu Explorer.exe von Worm.Bage.n infiziert
1.exe, adobe, adobe reader, antivirus, avast, avast!, bho, content.ie5, desktop, drivers, einstellungen, entfernen, excel, file missing, frage, gesperrt, immer wieder, immer wieder da, infizierte, infizierte dateien, internet, internet explorer, keine dateien, quara, registry, rundll, scan, security, security suite, software, sony vaio, spyware, system, taskmanager, taskmanager gesperrt, trojaner/virus, träge, warnung, windows, windows messenger, windows xp, ändern



Ähnliche Themen: Explorer.exe von Worm.Bage.n infiziert


  1. Explorer infiziert. Win32/Gataka.B Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (1)
  2. Trojanerbefall: Bundespolizei; explorer.exe infiziert
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (1)
  3. neuen Rechner mittels USB Stick infiziert? (MSSQL.worm.Helkern)
    Plagegeister aller Art und deren Bekämpfung - 01.08.2011 (1)
  4. Worm.Generic.324130 in C:\Windows\explorer.exe
    Log-Analyse und Auswertung - 21.05.2011 (1)
  5. Worm.Autorun.vhg - kann ich infiziert sein?
    Plagegeister aller Art und deren Bekämpfung - 06.07.2010 (4)
  6. WORM/Agent XD infiziert und kann nicht gelöscht werden!
    Plagegeister aller Art und deren Bekämpfung - 30.01.2010 (3)
  7. Mit Trojaner (Worm.KoobFace) über Facebook infiziert/Trojaner verschwunden?
    Plagegeister aller Art und deren Bekämpfung - 14.11.2009 (1)
  8. 2 Betriebsystem, 2 externe Festplatten infiziert mit Worm.Autorun
    Log-Analyse und Auswertung - 03.06.2009 (0)
  9. Infiziert mit Worm IRC/Bo.319792.3 über USB Stick??
    Plagegeister aller Art und deren Bekämpfung - 09.02.2009 (1)
  10. Informationen über Worm:W32/AutoRun.KD? Explorer.exe weg...
    Plagegeister aller Art und deren Bekämpfung - 25.11.2008 (1)
  11. Worm.small.i - infiziert oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 23.09.2008 (31)
  12. Explorer infiziert / jfiehayd.dll
    Plagegeister aller Art und deren Bekämpfung - 14.04.2008 (2)
  13. Explorer.exe infiziert? Hab einen zweiten explorer, der ein einziger link ist
    Mülltonne - 01.02.2008 (0)
  14. Explorer.exe infiziert???
    Log-Analyse und Auswertung - 30.09.2007 (3)
  15. W32.Spybot.Worm in Explorer.exe
    Plagegeister aller Art und deren Bekämpfung - 20.11.2004 (7)
  16. explorer.exe infiziert ?
    Antiviren-, Firewall- und andere Schutzprogramme - 15.06.2004 (6)
  17. Trojan.Adclicker hat explorer.exe infiziert
    Plagegeister aller Art und deren Bekämpfung - 18.03.2004 (11)

Zum Thema Explorer.exe von Worm.Bage.n infiziert - Hallo, ich habe ein Sony Vaio Notebook mit Windows XP Pro. Vorgestern nachmittag habe ich mir beim Surfen im Internet einen Trojaner/Virus eingefangen. Avast (neueste Version und Virus-Definitionen) hat das - Explorer.exe von Worm.Bage.n infiziert...
Archiv
Du betrachtest: Explorer.exe von Worm.Bage.n infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.