Trojan
|
inet20026, inet20057, inet20091, inet20002, inet20000, inet20004, inet20026, inet20009, inet20099, inet20126 * Ermöglicht Dritten den Zugriff auf den Computer * Lädt Code aus dem Internet herunter * Installiert sich in der Registrierung * Trojan-Downloader.Win32.CWS.s * Downloader-ARQ * Trojan.Bookmarker 
HijackThis
F1 - Win.ini: run=C:\WINDOWS\INET20057\WINLOGON.exe F3 - REG:win.ini: run=C:\Windows\inet20057\winlogon.exe O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20057\services.exe O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20057\services.exe inet20057C:\WINDOWS\inet20057\3.00.05.dllC:\WINDOWS\inet20057\winlogon.exe C:\WINDOWS\inet20057\services.exe inet20091C:\WINDOWS\inet20091\services.exeC:\WINDOWS\inet20091\winlogon.exe C:\WINDOWS\inet20091\3.02.00.dll -> Adware.Ihbo C:\WINDOWS\inet20091\alg.exe -> Worm.Delf.i C:\WINDOWS\inet20091\alg.exe.bak -> Worm.Delf.i C:\WINDOWS\inet20091\mm5.exe -> Logger.Delf.ig C:\WINDOWS\inet20091\mm5.exe.bak -> Logger.Delf.ig C:\WINDOWS\inet20091\mm6.exe.bak inet20002C:\WINDOWS\inet20002\services.exeC:\WINDOWS\inet20002\3.00.11.dll C:\WINDOWS\inet20002\mm3.exe C:\WINDOWS\inet20002\mm.exe C:\WINDOWS\inet20002\winlogon.exe inet20000
HijackThis
F1 - win.ini: run=C:\WINDOWS\INET20000\SERVICES.EXE O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20000\3.02.00.dll O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INET20000\SERVICES.EXE O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INET20000\SERVICES.EXE C:\WINDOWS\inet20000\3.02.00.dll Infected: not-a-virus:AdWare.Win32.Ihbo.gen C:\WINDOWS\inet20000\alg.exe Infected: Email-Worm.Win32.Delf.i skipped C:\WINDOWS\inet20000\alg.exe.bak Infected: Email-Worm.Win32.Delf.i skipped C:\WINDOWS\inet20000\mm5.exe Infected: Trojan-Spy.Win32.Delf.ig skipped C:\WINDOWS\inet20000\mm5.exe.bak Infected: Trojan-Spy.Win32.Delf.ig skipped C:\WINDOWS\inet20000\mm6.exe Infected: Trojan-Spy.Win32.Delf.ig skipped C:\WINDOWS\inet20000\mm6.exe.bak Infected: Trojan-Spy.Win32.Delf.ig skipped C:\WINDOWS\inet20000\services.exe Infected: Trojan-Downloader.Win32.CWS.s skipped C:\WINDOWS\inet20000\winlogon.exe C:\WINDOWS\inet20000\socks.exe
Start - Ausführen - regedit
HKCU\Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions yes -> ändern in "no" inet20004C:\WINDOWS\inet20004\services.exe -> Downloader.Small.cgyC:\WINDOWS\inet20004\winlogon.exe -> Downloader.CWS.s C:\WINDOWS\inet20004\3.01.00.dll -> Adware.Ihbo C:\WINDOWS\inet20004\mm6.exe -> Logger.Delf.ig C:\WINDOWS\inet20004\alg.exe -> Worm.Delf.i C:\WINDOWS\inet20004\d.exe -> Downloader.Agent.xz C:\WINDOWS\inet20004\mm.pid inet20026C:\WINDOWS\inet20026\3.03.00.dll -> Adware.IhboC:\WINDOWS\inet20026\alg.exe -> Worm.Delf.i C:\WINDOWS\inet20026\alg.exe.bak -> Worm.Delf.i C:\WINDOWS\inet20026\mm5.exe -> Logger.Delf.ig C:\WINDOWS\inet20026\mm5.exe.bak -> Logger.Delf.ig C:\WINDOWS\inet20026\mm6.exe -> Logger.Delf.ig C:\WINDOWS\inet20026\services.exe -> Downloader.CWS.s C:\WINDOWS\inet20026\socks.exe -> Proxy.Small.bt C:\WINDOWS\inet20026\socks.exe.bak -> Proxy.Small.bt inet20009C:\WINDOWS\inet20009\3.00.13.dll -> Spyware.IhboC:\WINDOWS\inet20009\alg.exe -> Worm.Delf.i C:\WINDOWS\inet20009\alg.exe.bak -> Worm.Delf.i C:\WINDOWS\inet20009\mm4.exe.bak C:\WINDOWS\inet20009\__delete_on_reboot__mm4.exe -> Logger.Agent.ig C:\WINDOWS\inet20009\services.exe inet20099C:\WINDOWS\inet20099\winlogon.exeC:\WINDOWS\inet20099\services.exe C:\WINDOWS\inet20099\socks.exe C:\WINDOWS\inet20099\3.00.13.dll
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit
'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die
list.bat doppelt klicken--> kopiere den Text, der erscheint
inet20026C:\WINDOWS\inet20026\services.exeC:\WINDOWS\inet20026\winlogon.exe C:\WINDOWS\inet20026\3.03.00.dll C:\WINDOWS\inet20026\mm.pid C:\WINDOWS\inet20026\1.txt C:\WINDOWS\inet20026\tmp.req C:\WINDOWS\inet20026\mm6.exe C:\WINDOWS\inet20026\mm5.exe.bak C:\WINDOWS\inet20026\mm5.exe C:\WINDOWS\inet20026\alg.exe.bak C:\WINDOWS\inet20026\alg.exe C:\WINDOWS\inet20026\select.exe.bak C:\WINDOWS\inet20026\select.exe C:\WINDOWS\inet20026\killer.exe.bak C:\WINDOWS\inet20026\killer.exe C:\WINDOWS\inet20026\socks.exe.bak C:\WINDOWS\inet20026\socks.exe
HijackThis
F3 - REG:win.ini: run=C:\WINDOWS\inet20026\winlogon.exe O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20026\winlogon.exe O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\inet20026\socks.exe O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20026\winlogon.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "xp_system"="C:\\WINDOWS\\inet20116\\services.exe" [HKEY_USERS\S-1-5-21-1055384950-2971332057-1232219445-1006\Software\Microsoft\Windows NT\CurrentVersion\Windows] "run"="C:\\WINDOWS\\inet20116\\services.exe" C:\WINDOWS\inet20126
remove the check mark by C:\WINDOWS\inet20126\services.exe Click on apply, then OK It may ask you to reboot if so, say NO Click on the General tab and place a check by Use Original Boot.INI click apply and OK Now reboot 
|
