Stealth Virus im Bios

#0
25.02.2006, 11:41
Moderator

Beiträge: 7805
#16 Darum ja "plattmachen" wenn du es nicht eingrenzen kannst. BTW: Mails werden nicht (richtig)geloescht, wenn du die Ordner nicht nach dem loeschen komprimierst
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.02.2006, 14:29
Member

Themenstarter

Beiträge: 21
#17 ja, ich werde wohl oder übel alles plattmachen müssen, vielleicht sollte ich
vorher nochmal das Bios neu flashen, evtl. hilfts was.. werde es auch mit ner anderen HD versuchen... mal schauen.. nebenbei peid.exe unterliegt auch der Comctl32.dll (csrss.exe) Killroutine, die man zwar erkennen kann, aber die nicht zu unterbinden ist.

Weißt du zufällig was der :Zone Identifier Stream ist? Kann man mittels diesem evtl. einen BO in Winmgmt verursachen der Kill Routinen auslöst? Auf D: sind nämlich noch einige Files mit diesem Stream.

Und die Shared Access.ini unter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Connections\Pbk
ist es normal, daß die so aussieht?

[Contents.Server]
00000001=0
00000002=0
00000003=0
00000004=0
00000005=0
00000006=0
00000007=0
[Server.00000001]
Title=FTP Server
Protocol=TCP
Port=21
InternalPort=21
BuiltIn=1
[Server.00000002]
Title=Telnet Server
Protocol=TCP
Port=23
InternalPort=23
BuiltIn=1
[Server.00000003]
Title=Internet Mail Server (SMTP)
Protocol=TCP
Port=25
InternalPort=25
BuiltIn=1
[Server.00000004]
Title=Post-Office Protocol Version 3 (POP3)
Protocol=TCP
Port=110
InternalPort=110
BuiltIn=1
[Server.00000005]
Title=Internet Mail Access Protocol Version 3 (IMAP3)
Protocol=TCP
Port=220
InternalPort=220
BuiltIn=1
[Server.00000006]
Title=Internet Mail Access Protocol Version 4 (IMAP4)
Protocol=TCP
Port=143
InternalPort=143
BuiltIn=1
[Server.00000007]
Title=Web Server (HTTP)
Protocol=TCP
Port=80
InternalPort=80
BuiltIn=1

Antivir findet folgendes spr/errorsafe, in Programmen wie Treesize, sogar in ghostwall?? WIrkt mir eher wie ein Fehlalarm.



Seitenanfang Seitenende
25.02.2006, 14:38
Moderator

Beiträge: 7805
#18 Ja, das ist wohl ein fehlalarm. Antivir erzeugt recht haeufig Fehlalarme auf SFX Dateien.

In der Shared Access.ini steht nichts aussergewoehnliches.

Zu "Zone Identifier Stream", schau mal hier nach (unter Hintergrund) http://www.heise.de/security/artikel/50046
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.02.2006, 16:29
Member

Themenstarter

Beiträge: 21
#19 Alles klar, danke für die Info, mal sehen, ob man das Übel noch gelöst bekommt.
Seitenanfang Seitenende
25.02.2006, 16:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20

Zitat

O23 - Service: YPRMHTJOGK - Unknown owner - C:\DOKUME~1\MGTKLT~1\LOKALE~1\Temp\YPRMHTJOGK.exe (file missing)
dieser Dienst sollte mal unter die lupe genommen werden.............

+
zwei Firewall + Firewall von XP aktiviert (?) --> das sollte man nicht tun ...
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2006, 16:48
Moderator

Beiträge: 7805
#21 ist ein Rest von Rootkitrevealer
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.02.2006, 21:11
Member

Themenstarter

Beiträge: 21
#22 Ja genau, ein Rest von Rootkit Revealer, XP Firewall habe ich nicht aktiviert,
die hat sich von selbst immer wieder gestartet, bis ich sie umbenannt habe.

Tiny benutze ich hauptsächlich als Windows Security Protection und IDS.
Tiny zeigt sehr gut an, welche Privilegien mißbraucht werden.
Outpost ist wahrscheinlich noch besser, bin aber noch nicht dazu gekommen es mit diesem System zu testen.

Dieses WinPfind gefällt mir sehr gut, da konfigurierbar, siehe meine Suchmuster und was es findet:

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
apt.exe 25.02.2006 16:45:40 67853 C:\ADINF32.LOG
PEC2 04.06.2004 14:09:26 36352 C:\apt.exe
PECompact2 04.06.2004 14:09:26 36352 C:\apt.exe
UPX! 08.03.2005 16:07:48 29184 C:\DCOMbob.exe
UPX! 29.09.2003 21:06:10 24576 C:\DriverView.exe
UPX! 16.11.2005 21:30:24 260096 C:\IATHooksAnalyzer.exe
aspack 04.09.2005 09:59:32 696832 C:\IceSword.exe
aspack 11.12.2003 15:43:46 25088 C:\knlps.exe
PEC2 18.02.2006 12:08:34 6395976 C:\LCG
PECompact2 18.02.2006 12:08:34 6395976 C:\LCG
aspack 18.02.2006 12:08:34 6395976 C:\LCG
PEditor 18.02.2006 12:08:34 6395976 C:\LCG
yoda 18.02.2006 12:08:34 6395976 C:\LCG
Upack 18.02.2006 12:08:34 6395976 C:\LCG
fntcache 18.02.2006 12:08:34 6395976 C:\LCG
peid.exe 18.02.2006 12:08:34 6395976 C:\LCG
UPX! 06.02.2004 08:41:04 42496 C:\rkdetector.exe
UPX! 14.11.2005 13:56:02 360448 C:\Rkdetector2.exe
UPX! 31.01.2004 22:51:38 28160 C:\tcp.dll
UPX! 29.06.2004 22:13:24 126464 C:\upx.exe
UPX! 13.02.2005 08:16:02 177664 C:\upx193.exe

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
Umonitor 19.02.2006 16:54:44 86513 C:\WINDOWS\pxinstall_log.txt

Checking %System% folder...
fntcache 04.08.2004 13:00:00 285696 C:\WINDOWS\SYSTEM32\atmfd.dll
PEC2 04.08.2004 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PEC2 09.06.2005 21:32:28 692736 C:\WINDOWS\SYSTEM32\DivX.dll
PECompact2 09.06.2005 21:32:28 692736 C:\WINDOWS\SYSTEM32\DivX.dll
MSysObjects 20.10.2005 23:25:06 1094144 C:\WINDOWS\SYSTEM32\esent.dll
MSysObjects 04.08.2004 13:00:00 1114896 C:\WINDOWS\SYSTEM32\esent97.dll
Upack 04.08.2004 13:00:00 135680 C:\WINDOWS\SYSTEM32\ifmon.dll
MSysObjects 04.08.2004 13:00:00 362496 C:\WINDOWS\SYSTEM32\jet500.dll
MSysObjects 04.08.2004 13:00:00 421919 C:\WINDOWS\SYSTEM32\msrd2x40.dll
aspack 04.08.2004 13:00:00 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
acpi.sys 04.08.2004 13:00:00 2059136 C:\WINDOWS\SYSTEM32\ntkrnlpa.exe
acpi.sys 04.08.2004 13:00:00 2183296 C:\WINDOWS\SYSTEM32\ntoskrnl.exe
yoda 04.08.2004 13:00:00 421376 C:\WINDOWS\SYSTEM32\ntvdm.exe
Umonitor 04.08.2004 13:00:00 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 04.08.2004 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu
fntcache 06.10.2005 04:08:50 1839616 C:\WINDOWS\SYSTEM32\win32k.sys
b209 11.02.2005 06:59:46 4870144 C:\WINDOWS\SYSTEM32\wmp.dll

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
25.02.2006 20:39:14 S 2048 C:\WINDOWS\bootstat.dat
18.02.2006 11:43:48 RH 749 C:\WINDOWS\WindowsShell.Manifest
18.02.2006 12:26:52 RHS 227 C:\WINDOWS\assembly\Desktop.ini
20.02.2006 15:28:36 RH 0 C:\WINDOWS\assembly\PublisherPolicy.tme
20.02.2006 15:28:36 RH 0 C:\WINDOWS\assembly\pubpol1.dat
20.02.2006 16:37:54 RH 0 C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\index1b.dat
20.02.2006 16:37:56 RH 0 C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\index1c.dat
18.02.2006 11:43:52 H 65 C:\WINDOWS\Downloaded Program Files\desktop.ini
18.02.2006 11:44:22 HS 67 C:\WINDOWS\Fonts\desktop.ini
21.02.2006 06:34:22 H 10820 C:\WINDOWS\Help\update.GID
18.02.2006 11:43:52 H 65 C:\WINDOWS\Offline Web Pages\desktop.ini
18.02.2006 11:44:08 RHS 765 C:\WINDOWS\pchealth\helpctr\PackageStore\package_1.cab
18.02.2006 11:44:08 RHS 20242 C:\WINDOWS\pchealth\helpctr\PackageStore\package_2.cab
18.02.2006 11:44:08 RHS 246379 C:\WINDOWS\pchealth\helpctr\PackageStore\package_3.cab
18.02.2006 11:44:56 H 229376 C:\WINDOWS\repair\ntuser.dat
18.02.2006 11:43:48 RH 749 C:\WINDOWS\system32\cdplayer.exe.manifest
18.02.2006 11:43:52 RH 488 C:\WINDOWS\system32\logonui.exe.manifest
18.02.2006 11:43:48 RH 749 C:\WINDOWS\system32\ncpa.cpl.manifest
18.02.2006 11:43:48 RH 749 C:\WINDOWS\system32\nwc.cpl.manifest
18.02.2006 11:43:48 RH 749 C:\WINDOWS\system32\sapi.cpl.manifest
18.02.2006 11:43:52 RH 488 C:\WINDOWS\system32\WindowsLogon.manifest
18.02.2006 11:43:48 RH 749 C:\WINDOWS\system32\wuaucpl.cpl.manifest
03.01.2006 00:09:26 S 11223 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB912919.cat
25.02.2006 20:41:36 H 1024 C:\WINDOWS\system32\config\default.LOG
25.02.2006 20:41:26 H 1024 C:\WINDOWS\system32\config\SAM.LOG
25.02.2006 20:49:22 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
25.02.2006 20:54:58 H 1024 C:\WINDOWS\system32\config\software.LOG
25.02.2006 20:53:26 H 1024 C:\WINDOWS\system32\config\system.LOG
18.02.2006 12:34:00 H 1024 C:\WINDOWS\system32\config\TempKey.LOG
18.02.2006 12:34:02 H 1024 C:\WINDOWS\system32\config\userdiff.LOG
18.02.2006 11:35:30 HS 62 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\desktop.ini
19.02.2006 16:48:42 S 688 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\60E31627FDA0A46932B0E5948949F2A5
19.02.2006 16:48:44 S 70226 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\F482C95F83F1B59228F1B1E720F2EDF1
19.02.2006 16:48:42 S 94 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\60E31627FDA0A46932B0E5948949F2A5
19.02.2006 16:48:44 S 128 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\F482C95F83F1B59228F1B1E720F2EDF1
18.02.2006 11:35:30 HS 62 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\desktop.ini
18.02.2006 11:47:28 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\desktop.ini
18.02.2006 11:47:28 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\desktop.ini
18.02.2006 11:47:28 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALU34JSL\desktop.ini
18.02.2006 11:47:28 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IPYLEXEV\desktop.ini
18.02.2006 11:47:28 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S7GDAJO3\desktop.ini
18.02.2006 11:47:28 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UFS5O9CB\desktop.ini
18.02.2006 11:47:28 HS 113 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\desktop.ini
18.02.2006 11:47:28 HS 113 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\desktop.ini
18.02.2006 11:43:54 HS 187 C:\WINDOWS\system32\config\systemprofile\SendTo\desktop.ini
18.02.2006 11:35:30 HS 62 C:\WINDOWS\system32\config\systemprofile\Startmenü\desktop.ini
18.02.2006 11:44:54 HS 150 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\desktop.ini
18.02.2006 11:44:54 HS 84 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini
18.02.2006 11:44:54 HS 495 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\desktop.ini
18.02.2006 11:44:54 HS 303 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\Eingabehilfen\desktop.ini
18.02.2006 11:44:54 HS 84 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\Unterhaltungsmedien\desktop.ini
18.02.2006 11:47:32 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\cbbaa9e5-2210-4a38-917a-259e7805d1ad
18.02.2006 11:47:32 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
25.02.2006 20:39:16 H 6 C:\WINDOWS\Tasks\SA.DAT

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll

Checking files in %ALLUSERSPROFILE%\Application Data folder...
25.02.2006 13:44:32 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html <<<<< ????
18.02.2006 11:35:30 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Diese browseui.dll gefällt mir auch nicht.

Wofür sind diese Ordner, da wird sehr viel kryptisches Zeugs drin verstaut:
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\DSS\MachineKeys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-18
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys ???
Dieser Beitrag wurde am 25.02.2006 um 21:19 Uhr von EternalLight editiert.
Seitenanfang Seitenende
25.02.2006, 21:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Antivir Personal Edition 7 --> addr_file.html

oeffne das HijackThis
Do a system scan only
*Config
*Misc Tools
*öffne(open) Hosts file Manager
*Klick "Open In Notepad" button

poste, was du im Texteditor findest.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.02.2006, 00:13
Member

Themenstarter

Beiträge: 21
#24 Die Hijack wird dir nicht viel bringen, aber bitteschön:
Logfile of HijackThis v1.99.1
Scan saved at 00:00:44, on 27.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Tiny Firewall Pro\UmxFwHlp.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\Programme\Tiny Firewall Pro\UmxAgent.exe
C:\Programme\Tiny Firewall Pro\UmxTray.exe
C:\Programme\ProcessGuard\dcsuserprot.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\GhostSecuritySuite\gss.exe
C:\Programme\GhostSecuritySuite\gss.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Tiny Firewall Pro\amon.exe
C:\Programme\VMware\VMware Workstation\vmware.exe
C:\Programme\VMware\VMware Workstation\vmware.exe
C:\Programme\VMware\VMware Workstation\bin\vmware-vmx.exe
C:\Programme\ProcessGuard\procguard.exe
C:\Programme\ProcessGuard\pgaccount.exe
C:\Programme\VMware\VMware Workstation\bin\vmware-vmx.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [GhostSecuritySuite] "C:\Programme\GhostSecuritySuite\gss.exe" -minimize
O4 - HKCU\..\Run: [AMonitor] C:\Programme\Tiny Firewall Pro\amon.exe
O4 - HKCU\..\Run: [ADinf32] "C:\Programme\ADinf\KDMVFDJN.EXE" "-a"
O4 - HKCU\..\Run: [AD_SCHED] "C:\Programme\Gemeinsame Dateien\ADT Shared\Scheduler\ADSched.exe"
O4 - HKCU\..\Run: [AD_AGENT] "C:\Programme\ADinf\AD_AGENT.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FEC0EE1-5B50-44C6-904E-17623A14EE1C}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3B72F33-DC29-47BD-B40F-C7250DD7E08B}: NameServer = 192.168.0.1,192.168.0.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9F4264-BD5C-4817-A40F-264AD959B808}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{B49DBC5A-93B9-4585-8FA0-2E3275C17D1D}: NameServer = 192.168.0.1,192.168.0.4
O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Programme\ProcessGuard\dcsuserprot.exe
O23 - Service: HFHYMYFNBXXF - Sysinternals - www.sysinternals.com - C:\DOKUME~1\SSTRRL~1\LOKALE~1\Temp\HFHYMYFNBXXF.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: FW Event Manager (UmxAgent) - Computer Associates International, Inc. - C:\Programme\Tiny Firewall Pro\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
O23 - Service: FW User-Mode Helper (UmxFwHlp) - Computer Associates International, Inc. - C:\Programme\Tiny Firewall Pro\UmxFwHlp.exe
O23 - Service: FW Policy Manager (UmxPol) - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Mal nebenbei noch ein neues Infektion Screen, unter VMWare geht apt.exe interessanterweise!



Weiß jemand zufällig, was dieses X unter Linux ist?



Man beachte die stetig steigenden Registry Writes, unaufhörlich..



Das ist das besagte Stealth Viri Log(Ntuser.dat):
regf. . †|³Ë&:Æ      l u n g e n \ A d m i n i s t r a t o r \ n t u s e r . d a t í³¬DIRTÿ ÿ ÿ ÿÿ T U S E R . D A T

Wieso steht da dirty drin?

Acpii
Dieser Beitrag wurde am 27.02.2006 um 00:24 Uhr von EternalLight editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: