Welcher Wurm ist hier eigentlich nicht drauf?

joschi44 · 15.07.2005

Hallo, versuche gerade das Trümmerfeld des Rechners einer Freundin wieder ins Lot zu bringen! Sieht übel aus - möchte aber format C, wenn´s geht verzichen? - Sonst brauch ich doch Tage um BS+VS+FW per Modem wieder auf den neuesten Stand bringe !

Hier mal das log-file von Hijackthis! - aber nicht erschrecken! ;D
Einige werden empfohlen zu fixen - was kann wirklich von denen weg ?
Besten Dank schoneinmal für eure Hilfe!

Logfile of HijackThis v1.99.1
Scan saved at 20:14:45, on 14.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O1 - Hosts: 172.16.21.7 lopp_1.lopp.de LOPP_1
O1 - Hosts: 172.16.21.6 LOPP_2
O1 - Hosts: 172.16.21.180 LOPP-Internet
O1 - Hosts: 172.16.21.181 LOPP-Intranet

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Video Services] sys32.exe
O4 - HKLM\..\Run: [Microsoft Service] C:\WINNT\system32\syshost.exe
O4 - HKLM\..\Run: [Microsoft IDCN] C:\WINNT\system32\mshe1p.exe
O4 - HKLM\..\Run: [msReg32 Loader] msReg32.exe
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [Windows Registry Startup] C:\WINNT\TEMP\s0cks4.exe
O4 - HKLM\..\Run: [spool] C:\WINNT\system32\expolerlog.exe
O4 - HKLM\..\Run: [windatax] C:\WINNT\system32\logdisccrypt.exe %srun%
O4 - HKLM\..\RunServices: [Video Services] sys32.exe
O4 - HKLM\..\RunServices: [Windows Firewall] firewall.exe
O4 - HKLM\..\RunServices: [msReg32 Loader] msReg32.exe
O4 - HKLM\..\RunServices: [Windows Registry Startup] C:\WINNT\TEMP\s0cks4.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [diag] C:\WINNT\system32\expolerlog.exe
O4 - HKCU\..\Run: [expolerx] C:\WINNT\system32\logdisccrypt.exe %srun%
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{38CF4C25-63F0-4E52-AC6A-5B6FFB9F8F4B}: NameServer = 62.134.11.4 195.182.110.132

O23 - Service: COM+ System Applications (COMS) - Unknown owner - C:\WINNT\system32\lsas.exe -service (file missing)
O23 - Service: Routing Manager Client (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing)

Joshua · 15.07.2005

Ist das alles an Logfile ?
Kann ich gar nicht glauben.....

Cheers,
Joshua

joschi44 · 15.07.2005

nein nein, die Einträge die laut Hijackthis OK sind hab ich nicht gepostet!
Brauchst du alles?

Grüße Jörg

Joshua · 15.07.2005

Ich hatte mich nur über ein so extrem kurzes Log in Verbindung mit dem Thread gewundert - poste mal das vollständige Log hier rein.

Cheers,
Joshua

joschi44 · 15.07.2005

So, hier nun das komplette:

Logfile of HijackThis v1.99.1
Scan saved at 20:14:45, on 14.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\internat.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\cs\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O1 - Hosts: 172.16.21.7 lopp_1.lopp.de LOPP_1
O1 - Hosts: 172.16.21.6 LOPP_2
O1 - Hosts: 172.16.21.180 LOPP-Internet
O1 - Hosts: 172.16.21.181 LOPP-Intranet
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Video Services] sys32.exe
O4 - HKLM\..\Run: [Microsoft Service] C:\WINNT\system32\syshost.exe
O4 - HKLM\..\Run: [Microsoft IDCN] C:\WINNT\system32\mshe1p.exe
O4 - HKLM\..\Run: [msReg32 Loader] msReg32.exe
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [Windows Registry Startup] C:\WINNT\TEMP\s0cks4.exe
O4 - HKLM\..\Run: [spool] C:\WINNT\system32\expolerlog.exe
O4 - HKLM\..\Run: [windatax] C:\WINNT\system32\logdisccrypt.exe %srun%
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [Video Services] sys32.exe
O4 - HKLM\..\RunServices: [Windows Firewall] firewall.exe
O4 - HKLM\..\RunServices: [msReg32 Loader] msReg32.exe
O4 - HKLM\..\RunServices: [Windows Registry Startup] C:\WINNT\TEMP\s0cks4.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [diag] C:\WINNT\system32\expolerlog.exe
O4 - HKCU\..\Run: [expolerx] C:\WINNT\system32\logdisccrypt.exe %srun%
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ENGENIOSAG.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{38CF4C25-63F0-4E52-AC6A-5B6FFB9F8F4B}: NameServer = 62.134.11.4 195.182.110.132
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ENGENIOSAG.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ENGENIOSAG.local
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM+ System Applications (COMS) - Unknown owner - C:\WINNT\system32\lsas.exe -service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Window (mpr) - Unknown owner - \\10.10.20.3\ADMIN$\explore.exe -service (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Routing Manager Client (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing)

PCDCharly · 17.07.2005

Posting abgetrennt: http://www.wintotal-forum.de/index.php?topic=86819.msg457519#msg457519

joschi44 · 18.07.2005

Hallo PCDCharly, was bedeutet denn abgetrennt?
Der Link führt doch zu einem ganz anderen Log?

Grüße joschi

PCDCharly · 18.07.2005

joschi44 schrieb:
Der Link führt doch zu einem ganz anderen Log?

Eben deshalb.

Die Log war hier untendrunter gepostet. Und damit es kein Durcheinander mit deiner gibt, habe ich das Posting abgetrennt und zu einem eigenen Thread gemacht. Der Hinweis hier ist nur vorübergehend, damit der Frager sein Posting wiederfindet.

Gruß
Charly

joschi44 · 18.07.2005

alles bestens Danke, hatte das posting noch nicht gesehen:

So, laut Hijackthis sind´s ja folgende Viren/Würmer

Francette Virus
Agobot.PS
Blaster C

reicht das fixen, und dann ein Virenscann im abgesichterten Modus?
Oder muß ich die Dateien manuell suchen und löschen?
Oder ein Patch?

Danke, der joschi

PCDpan_fee · 18.07.2005

joschi44 schrieb:
O1 - Hosts: 172.16.21.7 lopp_1.lopp.de LOPP_1
O1 - Hosts: 172.16.21.6 LOPP_2
O1 - Hosts: 172.16.21.180 LOPP-Internet
O1 - Hosts: 172.16.21.181 LOPP-Intranet

deine HOSTS (ohne Endung) liegt im Verzeichnis C:\WINNT\system32\drivers\etc und mit Notepad kannst du sie öffnen und editieren

O4 - HKLM\..\Run: [Video Services] sys32.exe

O4 - HKLM\..\RunServices: [Video Services] sys32.exe

im abgesicherten Modus [F8] löschen und die Reg.-Einträge kontrollieren, WORM_AGOBOT.PS:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.PS&VSect=T

O4 - HKLM\..\Run: [Microsoft Service] C:\WINNT\system32\syshost.exe

auch im abgesicherten Modus löschen und die Reg.-Dateien kontrollieren, W32.Francette Worm:
http://www.wintotal.de/Spyware/index.php?Filter=S#Spyware139

O4 - HKLM\..\Run: [Microsoft IDCN] C:\WINNT\system32\mshe1p.exe

auch löschen, wie oben beschrieben, Keylogger TrojanSpy.Win32.Delf:
http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware5257

O4 - HKLM\..\Run: [msReg32 Loader] msReg32.exe

O4 - HKLM\..\RunServices: [msReg32 Loader] msReg32.exe

weg damit und die Reg.-Einträge kontrollieren, AGOBOT.IU:
http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware5272

O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe

MSBlast: http://www.wintotal.de/Spyware/index.php?Filter=T#Spyware140

O4 - HKLM\..\Run: [Windows Registry Startup] C:\WINNT\TEMP\s0cks4.exe

O4 - HKLM\..\RunServices: [Windows Registry Startup] C:\WINNT\TEMP\s0cks4.exe

TEMP-Dateien löschen

O4 - HKLM\..\Run: [spool] C:\WINNT\system32\expolerlog.exe
O4 - HKLM\..\Run: [windatax] C:\WINNT\system32\logdisccrypt.exe %srun%

O4 - HKCU\..\Run: [diag] C:\WINNT\system32\expolerlog.exe
O4 - HKCU\..\Run: [expolerx] C:\WINNT\system32\logdisccrypt.exe %srun%

W32/Sober-I: http://www.wintotal.de/Spyware/index.php?Filter=E#Spyware5273

O4 - HKLM\..\RunServices: [Windows Firewall] firewall.exe

W32/Poebot-J: http://www.wintotal.de/Spyware/index.php?Filter=F#Spyware5277

O23 - Service: COM+ System Applications (COMS) - Unknown owner - C:\WINNT\system32\lsas.exe -service (file missing)

W32/Agobot-AA Dienst Reste: http://www.wintotal.de/Spyware/index.php?Filter=L#Spyware5278

O23 - Service: Routing Manager Client (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing)

W32/Nachi-K Dienst Reste: http://www.wintotal.de/Spyware/index.php?Filter=S#Spyware2820
l

pan_fee

joschi44 · 22.07.2005

Hallo, hat bis hierher alles gut geklappt!

Diese Einträge bereiten mir aber noch Kopfzerbrechen!
Teilweise führen die Links zu Virenerkennungstools (ide) von Sophos!
Dafür brauch ich aber doch die Software??
Spyhunter erkennt auch telweise - lassen sich aber nicht entfernen!

O23 - Service: COM+ System Applications (COMS) - Unknown owner - C:\WINNT\system32\lsas.exe -service (file missing)

O23 - Service: Window (mpr) - Unknown owner - \\10.10.20.3\ADMIN$\explore.exe -service (file missing)

O23 - Service: Routing Manager Client (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing)

PCDpan_fee · 22.07.2005

joschi44 schrieb:
Teilweise führen die Links zu Virenerkennungstools (ide) von Sophos!
Dafür brauch ich aber doch die Software??

nicht unbedingt, schau bei Sophos unter Erweitert/Wiederherstellen/Advanced/Erläuterung, dort werden die Registry-Einträge angezeigt.

joschi44 schrieb:
O23 - Service: Window (mpr) - Unknown owner - \\10.10.20.3\ADMIN$\explore.exe -service (file missing)

WORM_AGOBOT.SN
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.SN&VSect=T
der Dienst ist beendet?
Dienst »mpr« unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mpr löschen

O23 - Service: COM+ System Applications (COMS) - Unknown owner - C:\WINNT\system32\lsas.exe -service (file missing)

der Dienst ist beendet?
siehe hier unter Erläuterung:
http://www.sophos.de/virusinfo/analyses/w32agobotaa.html
schau auch mal unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services, ob hier ein Dienst »COMS« aufgeführt ist.

O23 - Service: Routing Manager Client (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing)

der Dienst ist beendet?
Auch hier mal in der Registry schauen, ob der Dienst »WksPatch« vorhanden ist.

pan_fee

joschi44 · 22.07.2005

Einfach alle ? löschen wenn ich die Regestry-Einträge find?
Im normalen oder abgesicherten Modus?
Sorry, für die Fragen - Registy ist nicht mein Spezialgebiet! :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mpr
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
CurrentVersion\Run
Window = explore.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
CurrentVersion\RunServices
Window = explore.exe
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mpr
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum
Root\LEGACY_MPR

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Explorer
= LSAS.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Windows Explorer
= LSAS.exe

HKCR\CLSID\(E6FB5E20-DE35-11CF-9C87-00AA005127ED)\InProcServer32\
= %SystemRoot%\System32\webcheck.dll

PCDpan_fee · 22.07.2005

joschi44 schrieb:
Einfach alle ?

ja, diese hier:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mpr
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
CurrentVersion\Run
Window = explore.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
CurrentVersion\RunServices
Window = explore.exe
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mpr
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum
Root\LEGACY_MPR

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Explorer
= LSAS.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Windows Explorer
= LSAS.exe

weg damit ... beende die Dienste (Systemsteuerung/Verwaltung/Dienste) und lösche im abgesicherten Modus [F8] die explore.exe und die lsas.exe im system32-Verzeichnis, sowie die svchost.exe im C:\WINNT\system32\drivers Verzeichnis, danach die Dienste in der Registry löschen.
Die Systemwiederherstellung derzeit deaktivieren:
http://www.wintotal.de/Tipps/Eintrag.php?TID=170
nach erfolreichen löschen wieder aktivieren

HKCR\CLSID\(E6FB5E20-DE35-11CF-9C87-00AA005127ED)\InProcServer32\
= %SystemRoot%\System32\webcheck.dll

Wie kommst du auf diesen Reg.-Eintrag? ???
nicht löschen!!!
Systemdatei Microsoft Web Site Monitor

Viel Erfolg
pan_fee

joschi44 · 22.07.2005

Zitat:

Wie kommst du auf diesen Reg.-Eintrag?
nicht löschen!!!

folgendes stand bei sophos-deshalb ha ich sicherheitshalber nachgefragt!

Der Wurm löscht einen Dienst namens RpcPatch (sofern dieser vorhanden ist) und erstellt den folgenden Registrierungseintrag, wenn dieser nicht schon existiert:
HKCR\CLSID\(E6FB5E20-DE35-11CF-9C87-00AA005127ED)\InProcServer32\
= %SystemRoot%\System32\webcheck.dll

PCDpan_fee · 25.07.2005

joschi44 schrieb:
folgendes stand bei sophos-deshalb ha ich sicherheitshalber nachgefragt!

Sehr geehrte Damen und Herren,

diese Datei kann sowohl eine Windows System Datei als auch ein Virus sein, da Viren auch solche Datei verändern.

Um ganz sicher zu gehen bitte ich Sie die Verdächtige Datei an [email protected] zuschicken, damit unsere Kollegen im Virenlabor diese genau untersuchen können.

Mit freundlichen Grüßen

Ihr Sophos Support

Bitte schick deine webcheck.dll an [email protected] mit der
Kennung [TG7-LCW4-WXTG] in der Betreffzeile.

pan_fee

Welcher Wurm ist hier eigentlich nicht drauf?

joschi44

Joshua

joschi44

Joshua

joschi44

PCDCharly

joschi44

PCDCharly

joschi44

PCDpan_fee

joschi44

PCDpan_fee

joschi44

PCDpan_fee

joschi44

PCDpan_fee

Welcher Wurm ist hier eigentlich nicht drauf?

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums