WCS.exe und seine Freunde

chucky211 · 08.07.2008, 21:22

Hallo ihr lieben,
dies ist nur schon der dritte Posts des gleich Problems...
Kann gut sein, das ich daran nicht ganz unschuldig bin.. Nur diesmal dürften keine privaten Informationen in diesen folgenden LogDateien stehen.. Zumindest fallen mir keine ins auf, die irgendwie Personenbezogen sind.. Falls doch bitte ich um eine persönliche Nachricht mit einer etwas detaillierteren Ansage. Danke schonmal dafür.

Also zum Problem.
Mein Nachbar hat auf ein vermeidliches "Antivirenrprogramm" geklickt, welches im anzeigte, das er Viren auf seinem Rechner habe. Dies war natürlich der eigentliche Virus den er sich damit einspielte.

Habe bereits einen HijackThis durchgeführt und den Log schon einmal gepostet.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:17:53, on 07.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norman\Npm\Bin\eLogsvc.exe
C:\Programme\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Norman\Npm\bin\ZLH.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\mssql7\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\mssql7\binn\sqlservr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.e xe
C:\Programme\Norman\Npm\bin\NJEEVES.EXE
C:\Programme\Norman\nse\bin\NSESVC.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Programme\Norman\Nvc\bin\nvcoas.exe
C:\Programme\Norman\Nvc\BIN\NIP.EXE
C:\Programme\Norman\Nvc\bin\cclaw.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Web Technologies\wcs.exe
C:\Programme\Web Technologies\iebtm.exe
C:\Programme\Web Technologies\wcm.exe
C:\Programme\Web Technologies\iebtmm.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: 734914 helper - {0BD071A6-C989-49E8-9B8E-80F92A868E26} - C:\WINDOWS\system32\734914\734914.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119 .1736\swg.dll
O2 - BHO: (no name) - {E2090673-256B-4632-94EE-FEC7F551543C} - C:\Programme\Web Technologies\iebt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Norman ZANDA] "C:\Programme\Norman\Npm\bin\ZLH.EXE" /LOAD /SPLASH
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\Web Technologies\wcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Web Technologies\iebtm.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Morpheus.lnk = C:\Programme\Morpheus\Morpheus.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\mssql7\Binn\sqlmangr.exe
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateforietool.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateforietool.com/redirect.php (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1210771898421
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210771887296
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O22 - SharedTaskScheduler: doctordom - {d1577581-2ed7-469f-99b1-72c1339e0ee0} - C:\WINDOWS\system32\hkushdr.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Programme\Norman\Npm\Bin\eLogsvc.exe
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Norman NJeeves - Norman ASA - C:\Programme\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Programme\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Programme\Norman\nse\bin\NSESVC.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programme\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Programme\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.e xe

--
End of file - 8282 bytes

Danach habe ich den Anweisungen von "undoreal" gefolgt und folgendes getan:

ZITAT ANFANG:

Halli hallo.

Fixe mit HJT folgende Einträge:
Zitat:
C:\Programme\Web Technologies\iebtm.exe
C:\Programme\Web Technologies\iebtmm.exe
O2 - BHO: 734914 helper - {0BD071A6-C989-49E8-9B8E-80F92A868E26} - C:\WINDOWS\system32\734914\734914.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\Web Technologies\wcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Web Technologies\iebtm.exe
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - **://w*w.gateforietool.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - ***://www.gateforietool.com/redirect.php (file missing)
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - **://h20436.www2.hp.com/ediags/de...e/HPDEXAXO.cab
O22 - SharedTaskScheduler: doctordom - {d1577581-2ed7-469f-99b1-72c1339e0ee0} - C:\WINDOWS\system32\hkushdr.dll (file missing)
Gleich danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

* Doppelklick auf das Avenger-Symbol

* Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Folders to delete:
C:\Programme\Web Technologies

* Schliesse nun alle Programme und Browser-Fenster

* Um den Avenger zu starten klicke auf -> Execute
* Dann bestätigen mit "Yes" das der Rechner neu startet

* Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

* Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Räume danach mit dem CCleaner auf. Punkt 1 & 2.

Überprüfe dein System danach mit SUPERAntiSpyware und Anti-Malware und poste beide logs sowie ein frishes HJT log.

__________________
.
Gruß
For a new monitor nail here
Undoreal

ZITAT ENDE

also hier die entsprechenden logdateien.

Die LogDatei aus Malwarebytes Anti Malware:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 932
Windows 5.1.2600 Service Pack 3

21:57:53 08.07.2008
mbam-log-7-8-2008 (21-57-53).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|G:\|)
Objekte gescannt: 83380
Scan Dauer: 29 minute(s), 37 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 10
Infizierte Datei Objekte der Registrierung: 4
Infizierte Verzeichnisse: 3
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{967a494a-6aec-4555-9caf-fa6eb00acf91} (Rogue.PestPatrol) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9692be2f-eb8f-49d9-a11c-c24c1ef734d5} (Rogue.PestPatrol) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{a8954909-1f0f-41a5-a7fa-3b376d69e226} (Rogue.PestPatrol) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034a523-d068-4be8-a284-9df278be776e} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d2608046-dd09-a225-01bf-70c1edd8b2e8} (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e2090673-256b-4632-94ee-fec7f551543c} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\asc 2.1 (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Safety Alert (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Web Technologies (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\e405.e405mgr (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\videoPl.chl (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{c46f137f-2c2a-4714-aa14-323137f882ae} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\searchmigrateddefaulturl (Trojan.Zlob) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchUrl\w\ (Trojan.Zlob) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\searchmigrateddefaulturl (Trojan.Zlob) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl\w\ (Trojan.Zlob) -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.securewebinfo.com (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.safetyincludes.com (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.securemanaging.com (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\some (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\start (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchUrl\w\ (Hijack.Search) -> Bad: (http://internetsearchservice.com/search?q=%s) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl\w\ (Hijack.Search) -> Bad: (http://internetsearchservice.com/search?q=%s) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\SearchMigratedDefaultURL (Hijack.Search) -> Bad: (http://internetsearchservice.com/search?q={searchTerms}) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\SearchMigratedDefaultURL (Hijack.Search) -> Bad: (http://internetsearchservice.com/search?q={searchTerms}) Good: (http://www.google.com/) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Web Technologies (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Programme\ASC 2.1 (Rogue.AntiSpyCheck) -> Quarantined and deleted successfully.
C:\Windows\system32\734914 (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\zfe2.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\****\Favoriten\Antivirus Scan.url (Rogue.Link) -> Quarantined and deleted successfully.

Das wars erstmal denke ich..
hoffe ihr könnt mir weiterhelfen!

chucky211 · 08.07.2008, 21:23

und dies ist die Log aus SUPERAntiSpyware Professional:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/08/2008 at 10:10 PM

Application Version : 4.15.1000

Core Rules Database Version : 3499
Trace Rules Database Version: 1490

Scan type : Complete Scan
Total Scan Time : 00:34:15

Memory items scanned : 468
Memory threats detected : 0
Registry items scanned : 5689
Registry threats detected : 51
File items scanned : 48388
File threats detected : 97

Trojan.FakeAlert-IEBT
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2090673-256B-4632-94EE-FEC7F551543C}

Trojan.Smitfraud Variant/IE Anti-Spyware
HKLM\Software\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@ad.zanox[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.planetactive[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@media.adrevolver[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@germanwings.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@media.adrevolver[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.us.e-planning[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.realtechnetwork[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.heias[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@free.porndirt[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads-dev.youporn[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@realmedia[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.youpornmate[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.aav2008[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@valuead[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@myroitracking[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@pornhub[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@reduxads.valuead[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@test.coremetrics[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@dynamic.media.adrevolver[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@3animalsex[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@s5.shinystat[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.googleadservices[7].txt
C:\Dokumente und Einstellungen\***\Cookies\***@advertising[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.adnet[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@komtrack[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@eas.apm.emediate[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@acronis.122.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.realtechnetwork[4].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.realtechnetwork[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adrevolver[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@estat[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@statcounter[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@fuckedupfacials[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@a2.adserver01[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@apm.emediate[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@im.banner.t-online[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@partners.webmasterplan[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@stat.aldi[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@mediaplex[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.googleadservices[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adtech[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@toplist[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.burstnet[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adbrite[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@smartadserver[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.googleadservices[5].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.adnet[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adultadworld[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@sexy.anjo[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@allesklarcomag.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@usenext[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tradedoubler[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@a6.adserver01[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@data.coremetrics[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.morpheus[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@zanox[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@mediaplayer.t-online[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.googleadservices[6].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@indextools[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.crossworxs[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad2.doublepimp[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@bluestreak[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adserver.71i[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@a3.adserver01[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@youporn[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@scan.wspscanner[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@precisionclick[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.admediate[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@specificclick[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@youpornmate[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@mediaplayer.t-online[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.googleadservices[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adserving.contextualmarketplace[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@traffic.mpnrs[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.etracker[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adserver.easyad[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@cz11.clickzs[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@fastclick[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@apmebf[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@stat.aldi[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.trackbar[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@go.globaladsales[2].txt

Trojan.VideoCach/Gen
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226}
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226}\1.0
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226}\1.0\0
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226}\1.0\0\win32
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226}\1.0\FLAGS
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226}\1.0\HELPDIR
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}\ProxyStubClsid
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}\ProxyStubClsid32
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}\TypeLib
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}\TypeLib#Version
HKCR\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}
HKCR\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}\ProxyStubClsid
HKCR\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}\ProxyStubClsid32
HKCR\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}\TypeLib
HKCR\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}\TypeLib#Version

Malware.SpyLocked
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Safety Alert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Safety Alert#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Safety Alert#UninstallString

Trojan.Media-Codec/V4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run#some [ C:\Programme\Web Technologies\wcs.exe ]
HKCR\videoPl.chl
HKCR\videoPl.chl\CLSID

Adware.E404 Helper/Hij
HKCR\CLSID\e405.e405mgr
HKCR\CLSID\e405.e405mgr#UserId
HKCR\TypeLib\{E63648F7-3933-440E-B4F6-A8584DD7B7EB}
HKCR\TypeLib\{E63648F7-3933-440E-B4F6-A8584DD7B7EB}\1.0
HKCR\TypeLib\{E63648F7-3933-440E-B4F6-A8584DD7B7EB}\1.0\0
HKCR\TypeLib\{E63648F7-3933-440E-B4F6-A8584DD7B7EB}\1.0\0\win32
HKCR\TypeLib\{E63648F7-3933-440E-B4F6-A8584DD7B7EB}\1.0\FLAGS
HKCR\TypeLib\{E63648F7-3933-440E-B4F6-A8584DD7B7EB}\1.0\HELPDIR
HKCR\Interface\{F7D09218-46D7-4D3D-9B7F-315204CD0836}
HKCR\Interface\{F7D09218-46D7-4D3D-9B7F-315204CD0836}\ProxyStubClsid
HKCR\Interface\{F7D09218-46D7-4D3D-9B7F-315204CD0836}\ProxyStubClsid32
HKCR\Interface\{F7D09218-46D7-4D3D-9B7F-315204CD0836}\TypeLib
HKCR\Interface\{F7D09218-46D7-4D3D-9B7F-315204CD0836}\TypeLib#Version

Rogue.AntiSpyCheck
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\cikdXyzuuagI
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\Hxebs
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\InprocServer32
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\InprocServer32#ThreadingModel
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\InprocServer32#Class
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\InprocServer32#Assembly
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\InprocServer32#RuntimeVersion
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\kifgsncduo
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\mdfmRF
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\ProgID
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\xTwvQsjsjgix
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\ZcqgNdxatnvF
HKCR\CLSID\{D2608046-DD09-A225-01BF-70C1EDD8B2E8}\ZfeeomzYkTf
C:\SYSTEM VOLUME INFORMATION\_RESTORE{001BD959-ABA2-4DB2-81E0-11BBCCA314B7}\RP79\A0007640.EXE

WCS.exe und seine Freunde

Log-Analyse und Auswertung: WCS.exe und seine Freunde

WCS.exe und seine Freunde

WCS.exe und seine Freunde

Ähnliche Themen: WCS.exe und seine Freunde