(Might be at risk) anderer Virus ?

#31 Start-->Ausfuehren--> regedit
bearbeiten-->suchen

11Fßä#·ºÄÖ`I

wenn du dann zu den Schluesseln kommst, rechtsklick--> und dort ist Berechtigung--> stelle ein"Vollzugriff", dann loesche alles, was du findest
neustarten
ueberpruefen, ob die Eintraege weg sind,
__________
MfG Sabina

rund um die PC-Sicherheit

#32 ich habe wieder regsearch verwendet und er hat mir gesagt das keine einträge vorhanden sind

dann habe ich noch eine Log für dich


---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 17:34:20, 20.09.2005
+ Report-Checksumme: E2E5AB1B

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{66DEB589-B6D4-E95E-2E36-26287464CD11} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW -> Spyware.CoolWebSearch : Gesäubert mit Backup
C:\Dokumente und Einstellungen\FCAOBAIX\Cookies\fcaobaix@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\WINDOWS\AVMASTER.INI:esqpty -> Spyware.SearchPage : Gesäubert mit Backup


::Report Ende


und noch eine log


AboutBuster 5.0 reference file 28
Scan started on [20.09.2005] at [17:54:12]
------------------------------------------------
Removed Stream! C:\WINDOWS\_default.pif:ngpcbh
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 17:54:34
__________
Wer Fehler findet darf sie behalten

#33 o.k. poste die datfindbat (alle 4 logs) und das neue Log vom HijackThis

(und deaktiviere die Systemwiederherstellung)
__________
MfG Sabina

rund um die PC-Sicherheit

#34 Logfile of HijackThis v1.99.1
Scan saved at 20:01:41, on 20.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\FCAOBAIX\Eigene Dateien\Neuer Ordner\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] e:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?993336018607
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\WINDOWS\system32

19.09.2005 23:24 2.410 ROXECDC6Inst.log
18.09.2005 23:44 2.550 Uninstall.ico
18.09.2005 23:44 1.406 Help.ico
18.09.2005 23:44 1.718 Open.ico
18.09.2005 23:44 1.406 AddQuit.ico
18.09.2005 23:44 5.350 IE.ico
18.09.2005 23:44 9.470 Desktop.ico
18.09.2005 23:44 1.718 Quick.ico
18.09.2005 03:32 2.206 wpa.dbl
12.09.2005 21:17 43.520 CmdLineExt03.dll
08.09.2005 13:00 197.756 larew.log
27.08.2005 12:18 21.840 SIntfNT.dll
27.08.2005 12:18 17.212 SIntf32.dll
27.08.2005 12:18 12.067 SIntf16.dll
25.08.2005 17:42 248.696 FNTCACHE.DAT
11.08.2005 20:10 3.126 tempimg.tmp
11.08.2005 20:10 6.144 access.ctl
05.08.2005 21:05 516.096 ati2sgag.exe
04.08.2005 07:07 307.200 atiiiexx.dll
04.08.2005 06:27 249.856 ATIDEMGR.dll
04.08.2005 05:46 6.684.672 atioglx1.dll
04.08.2005 04:28 5.005.312 atioglxx.dll
04.08.2005 04:10 205.312 ati2dvag.dll
04.08.2005 04:04 106.496 atipdlxx.dll
04.08.2005 04:04 73.728 Oemdspif.dll
04.08.2005 04:04 25.088 Ati2mdxx.exe
04.08.2005 04:04 39.936 ati2edxx.dll
04.08.2005 04:04 46.080 ati2evxx.dll
04.08.2005 04:02 380.928 ati2evxx.exe
04.08.2005 04:02 53.248 ATIDDC.DLL
04.08.2005 03:54 2.365.472 ati3duag.dll
04.08.2005 03:47 639.872 ativvaxx.dll
04.08.2005 03:34 147.456 atikvmag.dll
04.08.2005 03:08 17.408 atitvo32.dll
04.08.2005 03:02 212.992 ati2cqag.dll
29.07.2005 21:07 73.728 asuninst.exe



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\DOKUME~1\FCAOBAIX\LOKALE~1\Temp

20.09.2005 18:05 16.384 Perflib_Perfdata_33c.dat
20.09.2005 18:05 16.384 Perflib_Perfdata_62c.dat
14.09.2005 05:04 102 8A56EAB7.TMP
3 Datei(en) 32.870 Bytes
0 Verzeichnis(se), 3.130.544.128 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\WINDOWS

20.09.2005 18:05 0 Sti_Trace.log
20.09.2005 17:56 0 0.log
20.09.2005 17:56 2.345 WindowsUpdate.log
20.09.2005 17:55 236 SchedLgU.Txt
20.09.2005 17:55 2.048 bootstat.dat
19.09.2005 23:18 10 WININIT.INI
19.09.2005 22:59 65.978 Seifenblase.bmp
19.09.2005 22:59 1.405 msdfmap.ini
19.09.2005 22:59 1.208 mgxoschk.ini
19.09.2005 22:59 16.730 Feder.bmp
19.09.2005 22:59 146 CleaningLab.INI
18.09.2005 14:53 748 win.ini
17.09.2005 21:15 256 system.ini
17.09.2005 17:41 192 winamp.ini
14.09.2005 14:35 578 M3JPEG.INI
13.09.2005 23:07 4.161 ODBCINST.INI
13.09.2005 23:07 86 NeroDigital.ini
12.09.2005 12:26 0 muma2003.INI
12.09.2005 12:26 299.552 WMSysPrx.prx
08.09.2005 14:48 13.581 uecbl.txt
07.09.2005 00:08 1.272 Blaue Spitzen 16.bmp
28.08.2005 19:26 246 musicmaker.INI
28.08.2005 12:23 93.696 Blue Girl.scr
27.08.2005 12:20 33.057 DIIUnin.dat
27.08.2005 12:08 2.829 DIIUnin.pif
27.08.2005 12:08 102.400 DIIUnin.exe
26.08.2005 21:10 11.801 appog.exe
25.08.2005 17:42 0 syscf.exe
24.08.2005 04:26 197.756 bklag.dat
24.08.2005 03:14 3.567 ukdgj.txt
24.08.2005 00:02 3.567 ougnu.txt
23.08.2005 17:50 0 technomaker.INI
22.08.2005 21:08 17.062 Kaffeetasse.bmp
21.08.2005 18:56 707 _default.pif
21.08.2005 18:56 141 AVMASTER.INI
21.08.2005 07:18 133 MusicEditor.INI
21.08.2005 00:45 32 pavsig.txt
18.08.2005 19:25 360 BeatBox.INI
11.08.2005 20:09 316.640 WMSysPr9.prx
21.07.2005 22:58 67 A1 DVD Ripper.INI




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\

20.09.2005 20:00 0 sys.txt
20.09.2005 20:00 4.686 system.txt
20.09.2005 20:00 420 systemtemp.txt
20.09.2005 20:00 104.818 system32.txt
20.09.2005 17:55 805.306.368 pagefile.sys
19.09.2005 17:16 795.484 reclock_log.txt
19.09.2005 15:33 675 smitfiles.txt
18.09.2005 15:26 190 file.txt
17.09.2005 21:15 211 boot.ini
27.07.2005 22:37 2.626 runthis.bat
09.12.2003 01:31 11.254 locate.com
18.08.2001 13:00 4.952 bootfont.bin
24.06.2001 00:59 211 BOOT.BKK
24.06.2001 00:49 47.564 NTDETECT.COM
24.06.2001 00:49 251.184 ntldr
23.06.2001 23:11 0 IO.SYS
23.06.2001 23:11 0 MSDOS.SYS
23.06.2001 23:11 0 AUTOEXEC.BAT
23.06.2001 23:11 0 CONFIG.SYS
19 Datei(en) 806.530.643 Bytes
0 Verzeichnis(se), 3.130.544.128 Bytes frei
__________
Wer Fehler findet darf sie behalten

#35 mit der Killbox loeschen (dann AboutBuster und Kaspersky + ewido noch mal)

C:\WINDOWS\appog.exe
C:\WINDOWS\syscf.exe
C:\WINDOWS\bklag.dat
C:\WINDOWS\ukdgj.txt
C:\WINDOWS\ougnu.txt


einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

Jotti's malware scan - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

C:\WINDOWS\system32\tempimg.tmp
__________
MfG Sabina

rund um die PC-Sicherheit

#36 Also ich bin gerade auf Arbeit aber ich habe gestern Nacht noch im Abgesicherten Modus gestarte habe die killbox sachen gelöscht dann habe ich die tempimg.tmp durchsucht es wurde nichts gefunden

dann habe ich schon AbouBuster der hat auch nichts

über Nacht lief Kaspersky der hat auch nichts gefunden

und gerade läuft ewido nochmal durch alles im abgesicherten modus.


Wenn ich Backups machen würde würde sich der Virus mit reinbrenne ?
und ist der Virus nur auf C: ? ich lassen immer c;d;e scannen und auf e ist soviel drauf...
__________
Wer Fehler findet darf sie behalten

#37 lass mal alles scannen (auch wenn es lange dauert)
ich denke, dass wir den Trojaner besiegt haben...das heisst...du...mit deiner Hartnaeckigkeit...
poste noch mal die datfind-Dateien und dann sehen wir weiter
__________
MfG Sabina

rund um die PC-Sicherheit

#38 ---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 12:52:54, 21.09.2005
+ Report-Checksumme: 689E49F2

+ Scanergebnis:

C:\Dokumente und Einstellungen\FCAOBAIX\Cookies\fcaobaix@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup


::Report Ende


ewido hat nochmal ein Spyware entdeckt und bereiningt



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\WINDOWS\system32

19.09.2005 23:24 2.410 ROXECDC6Inst.log
18.09.2005 23:44 2.550 Uninstall.ico
18.09.2005 23:44 1.406 Help.ico
18.09.2005 23:44 1.718 Open.ico
18.09.2005 23:44 1.406 AddQuit.ico
18.09.2005 23:44 5.350 IE.ico
18.09.2005 23:44 9.470 Desktop.ico
18.09.2005 23:44 1.718 Quick.ico
18.09.2005 03:32 2.206 wpa.dbl
12.09.2005 21:17 43.520 CmdLineExt03.dll
08.09.2005 13:00 197.756 larew.log
27.08.2005 12:18 21.840 SIntfNT.dll
27.08.2005 12:18 17.212 SIntf32.dll
27.08.2005 12:18 12.067 SIntf16.dll
25.08.2005 17:42 248.696 FNTCACHE.DAT
11.08.2005 20:10 3.126 tempimg.tmp
11.08.2005 20:10 6.144 access.ctl
05.08.2005 21:05 516.096 ati2sgag.exe
04.08.2005 07:07 307.200 atiiiexx.dll
04.08.2005 06:27 249.856 ATIDEMGR.dll
04.08.2005 05:46 6.684.672 atioglx1.dll
04.08.2005 04:28 5.005.312 atioglxx.dll
04.08.2005 04:10 205.312 ati2dvag.dll
04.08.2005 04:04 106.496 atipdlxx.dll
04.08.2005 04:04 73.728 Oemdspif.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\DOKUME~1\FCAOBAIX\LOKALE~1\Temp

21.09.2005 12:56 16.384 Perflib_Perfdata_840.dat
21.09.2005 12:56 16.384 Perflib_Perfdata_694.dat
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 3.133.566.976 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\WINDOWS

21.09.2005 12:56 0 Sti_Trace.log
21.09.2005 12:55 0 0.log
21.09.2005 12:55 2.345 WindowsUpdate.log
21.09.2005 12:54 236 SchedLgU.Txt
21.09.2005 12:54 2.048 bootstat.dat
19.09.2005 23:18 10 WININIT.INI
19.09.2005 22:59 65.978 Seifenblase.bmp
19.09.2005 22:59 1.405 msdfmap.ini
19.09.2005 22:59 1.208 mgxoschk.ini
19.09.2005 22:59 16.730 Feder.bmp
19.09.2005 22:59 146 CleaningLab.INI
18.09.2005 14:53 748 win.ini
17.09.2005 21:15 256 system.ini
17.09.2005 17:41 192 winamp.ini
14.09.2005 14:35 578 M3JPEG.INI
13.09.2005 23:07 4.161 ODBCINST.INI
13.09.2005 23:07 86 NeroDigital.ini
12.09.2005 12:26 299.552 WMSysPrx.prx
12.09.2005 12:26 0 muma2003.INI
08.09.2005 14:48 13.581 uecbl.txt
07.09.2005 00:08 1.272 Blaue Spitzen 16.bmp
28.08.2005 19:26 246 musicmaker.INI
28.08.2005 12:23 93.696 Blue Girl.scr
27.08.2005 12:20 33.057 DIIUnin.dat
27.08.2005 12:08 2.829 DIIUnin.pif
27.08.2005 12:08 102.400 DIIUnin.exe
23.08.2005 17:50 0 technomaker.INI
22.08.2005 21:08 17.062 Kaffeetasse.bmp
21.08.2005 18:56 141 AVMASTER.INI
21.08.2005 18:56 707 _default.pif




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\

21.09.2005 13:00 0 sys.txt
21.09.2005 13:00 4.451 system.txt
21.09.2005 13:00 370 systemtemp.txt
21.09.2005 13:00 104.818 system32.txt
21.09.2005 12:54 805.306.368 pagefile.sys
19.09.2005 17:16 795.484 reclock_log.txt
19.09.2005 15:33 675 smitfiles.txt
18.09.2005 15:26 190 file.txt
17.09.2005 21:15 211 boot.ini
27.07.2005 22:37 2.626 runthis.bat
09.12.2003 01:31 11.254 locate.com
18.08.2001 13:00 4.952 bootfont.bin
24.06.2001 00:59 211 BOOT.BKK
24.06.2001 00:49 47.564 NTDETECT.COM
24.06.2001 00:49 251.184 ntldr
23.06.2001 23:11 0 IO.SYS
23.06.2001 23:11 0 MSDOS.SYS
23.06.2001 23:11 0 AUTOEXEC.BAT
23.06.2001 23:11 0 CONFIG.SYS
19 Datei(en) 806.530.358 Bytes
0 Verzeichnis(se), 3.133.566.976 Bytes frei




daswäre ja klasse ohne zu formatieren was das für eine arbeit gewesen wäre O_O daran mag man garnicht denken
__________
Wer Fehler findet darf sie behalten

#39 einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

Jotti's malware scan - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

C:\WINDOWS\system32\tempimg.tmp
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#40 also jotti hat nichts gefunden und Virus Total auch nichts

ich habe ewido nochmal durchlaufen lassen wieder der gleiche Virus
trotz löschens
__________
Wer Fehler findet darf sie behalten

#41

Zitat

coaxi postete
also jotti hat nichts gefunden und Virus Total auch nichts

ich habe ewido nochmal durchlaufen lassen wieder der gleiche Virus
trotz löschens

????? --> du musst mir das Scanlog posten...ich merke mir nicht alles

ADS Spy:
A small tool to list, view or delete Alternate Data Streams (ADS) on Windows 2000/XP with NTFS file systems. ADS is a way of storing meta-information for files without actually storing the information in the file it belongs to, carried over from early MacOS compatibility from Windows NT4. Recently browser hijackers began using this technique to store hidden information on the system, and even store trojan executable files in ADS streams of random files on the system. Use with caution. Currently at version: 1.09

http://www.spywareinfo.com/~merijn/downloads.html

berichte, was angezeigt wird
__________
MfG Sabina

rund um die PC-Sicherheit

#42 Die Seite kann nicht angezeigt werden das mit spyware info (nicht erreichbar)


und der Virus war



---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 12:52:54, 21.09.2005
+ Report-Checksumme: 689E49F2

+ Scanergebnis:

C:\Dokumente und Einstellungen\FCAOBAIX\Cookies\fcaobaix@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup


::Report Ende
__________
Wer Fehler findet darf sie behalten

#43 ich mag es mehr von der Originalseite, aber es stimmt, man kommt nicht rein....
http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#44 soo hier die sachen was er bei (quick scan) gefunden hat


C:\WINDOWS\_default.pif : cfmjfm (13581 bytes, MD5 4911E77A16A9090F69E2710698519DF3)
C:\WINDOWS\_default.pif : ufxwzx (197756 bytes, MD5 479590CA96C8580BB12BE827F41B43E9)
C:\WINDOWS\Blaue Spitzen 16.bmp : jtemcq (84545 bytes, MD5 619BEB3BB2738F12E21E654AFC64FBC5)
C:\WINDOWS\Blue Girl.scr : qgroq (84545 bytes, MD5 619BEB3BB2738F12E21E654AFC64FBC5)
C:\WINDOWS\Feder.bmp : xxwmlj (13581 bytes, MD5 4911E77A16A9090F69E2710698519DF3)
C:\WINDOWS\Kaffeetasse.bmp : wjqxdy (84545 bytes, MD5 619BEB3BB2738F12E21E654AFC64FBC5)
C:\WINDOWS\mgxoschk.ini : hndap (84545 bytes, MD5 619BEB3BB2738F12E21E654AFC64FBC5)
C:\WINDOWS\muma2003.INI : sphtqi (84545 bytes, MD5 619BEB3BB2738F12E21E654AFC64FBC5)
C:\WINDOWS\muma2003.INI : sttat (84545 bytes, MD5 619BEB3BB2738F12E21E654AFC64FBC5)
C:\WINDOWS\MusicEditor.INI : jgjdjh (84545 bytes, MD5 619BEB3BB2738F12E21E654AFC64FBC5)
C:\WINDOWS\NeroDigital.ini : kumfns (84545 bytes, MD5 619BEB3BB2738F12E21E654AFC64FBC5)
C:\WINDOWS\NeroDigital.ini : seeavf (13581 bytes, MD5 4911E77A16A9090F69E2710698519DF3)
C:\WINDOWS\pavsig.txt : zeeif (84545 bytes, MD5 619BEB3BB2738F12E21E654AFC64FBC5)
__________
__________
Wer Fehler findet darf sie behalten

#45 ja, das sind alles die verseuchten Strings.
Kann man mit dem Tool loeschen? ..ich weiss es nicht..hatte noch keinen verseuchten PC...

Nun kommt es so und so nicht mehr drauf an, wenn es schief geht, formatierst du und wenn nicht, ist alles o.k.
__________
MfG Sabina

rund um die PC-Sicherheit