Google verlinkt immer zuerst 2 mal falsch

#0
30.01.2008, 17:56
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#31 ««
suche: c:\autorun.inf - rechtsklick - mit dem Texteditor öffnen - poste hier, was da steht
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
30.01.2008, 18:14
Member

Beiträge: 16
#32 pinguin ich finde 6 autorun.inf aber keinen direkt im c:

C:\pebuilder3110a\bartPE
C:\temp\HP_WebRelease
C:\pebuilder3110a\plugin\autorun
C:\WINDOWS\Cache\MSDERelASP4
C:\Program Files\HP\Temp\{fa13 etc
D:\DRIVERS\DISPLAY
C:\Documents and settings\user\Recent

welchen??
Seitenanfang Seitenende
31.01.2008, 06:34
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#33 heiri

es ging mir um diesen Eintrag: (Registry)

Zitat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{51ec9342-ff8d-11da-85cc-0013021a2f26}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMon.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1cb23e8-4a46-11dc-90db-0013021a2f26}]
\Shell\Auto\command - sxs2.exe
autorun müsste das hier rauskommen:

Zitat

[autorun]
open=sxs2.exe
shellexecute=sxs2.exe
shell\Auto\command=sxs2.exe
und irgendwie sieht das nach einem verseuchten USB-Stick aus...

mache mal die versteckten Dateien sichtbar :
http://www.virus-protect.org/invisible.html

dann findest du eventuell:

C:\Autorun.inf
oder auf einer anderen Partition: D:\ (?) - dazu sollte der betreffende Stick eingesteckt sein
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
31.01.2008, 07:39
Member

Beiträge: 16
#34 mit mienem USB stick finde ich nichts in allen 3 partitionen samt stick!

habe aber noch 2 externe festplatten, gleiche suche mit denen angeschlossen durchfuehren??

den stick und die festplatte meiner freundin hab ich nicht dabei! sind auch noch 2 moegliche quellen. oder? was ist mit dem PC der im netz hing? kann dort von einem shear folder was kommen??

danke nochmals fuer deine muehen ;-) schaetze es sehr
Seitenanfang Seitenende
31.01.2008, 09:10
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#35 ««
ich nehme mal stark an, dass ein Stick verseucht ist - die sxs2.exe ist gewiss nicht normal....

Zitat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1cb23e8-4a46-11dc-90db-0013021a2f26}]
\Shell\Auto\command - sxs2.exe

[autorun]
open=sxs2.exe
shellexecute=sxs2.exe
shell\Auto\command=sxs2.exe
(Kann auch falsch liegen...)
wenn du also mal alle Sticks versammelt hast, prüfe es.
Falls es ein Stick von anderen ist - so ist stark anzunehmen, dass deren Rechner auch nicht sauber ist.

Hier ein Beispiel von einem anderen verseuchten Stick:
http://www.virus-protect.org/artikel/spyware/activexdebugger32.html

es ist eine andere exe ... aber, wie gesagt, deine sxs2.exe ist gewiss auch nicht koscher ;)

--------------

was deinen Rechner an sich betrifft, ist alles wieder i.o. ;)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1cb23e8-4a46-11dc-90db-0013021a2f26}]
\Shell\Auto\command - sxs2.exe

müsste noch raus, aber da warte ich, bis du die autorun.inf gefunden hast + gepostet ...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
31.01.2008, 10:28
Member

Beiträge: 16
#36 zuhause kann es nur noch der stick oder Festplatte meiner freundin sein! beide festplatten von mir sind auch "rein" auf jedenfall kommt dort auch kein autorun :-)

eine MMC einer von den beiden digicam schliess ich mal aus oder soll ich das auch testen? das waeren 2 verschiedene zusaetzlich quellen.

werde es mit dem stick und ihrer festplatte noch versuchen, und auch die 2 MMC und meld mich dann wider.

wie sieht das HJT file von meinem 2 PC aus (seite forher gepostet) und soll ich dort ein AV zur sicherheit installieren auch wen der pc eigendlich nur als daten und media server dient?

gruss und dank
Seitenanfang Seitenende
31.01.2008, 11:45
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#37

Zitat

werde es mit dem stick und ihrer festplatte noch versuchen, und auch die 2 MMC und meld mich dann wider.
o.k. ;)

2.Rechner ? Wo ?
poste es noch mal..HijackThis + Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
31.01.2008, 11:56
Member

Beiträge: 16
#38 ok hier mal das HjT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:58, on 31/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atievxx.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\MusicIP\MusicIP Mixer\MusicMagicServer.exe
C:\Program Files\Simese\Simese.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Simese\Simese.exe
C:\Documents and Settings\All Users\Documents\soft\HiJackThis202.exe
C:\WINDOWS\system32\cidaemon.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197526937161
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C24AB7F9-BA40-435A-9AB6-156DBE546FFA}: NameServer = 192.168.1.1
O23 - Service: MusicIP Server - Unknown owner - C:\Program Files\MusicIP\MusicIP Mixer\MusicMagicServer.exe
O23 - Service: SimeseServer - Mattic - C:\Program Files\Simese\Simese.exe

--
End of file - 3265 bytes

und glaich auch noch das combofix:

ComboFix 08-01-30.5 - roger2IBM 2008-01-31 18:52:12.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.197 [GMT 8:00]
Running from: C:\Documents and Settings\All Users\Documents\soft\ComboFix.exe
* Created a new restore point

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((((( Files Created from 2007-12-28 to 2008-01-31 )))))))))))))))))))))))))))))))
.

2008-01-18 19:34 . 2008-01-18 19:34 768 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-01-02 20:14 . 2008-01-02 20:14 <DIR> d-------- C:\Program Files\uTorrent
2008-01-02 20:14 . 2008-01-18 19:55 <DIR> d-------- C:\Documents and Settings\roger2IBM\Application Data\uTorrent
2008-01-02 19:49 . 2008-01-31 18:42 <DIR> d-------- C:\Program Files\eMule
2007-12-15 16:07 . 2007-12-15 16:07 <DIR> d-------- C:\Program Files\AusLogics Disk Defrag
2007-12-15 15:34 . 2007-12-15 15:34 <DIR> d-------- C:\Program Files\Innovative Solutions
2007-12-15 15:31 . 2007-12-15 15:31 <DIR> d-------- C:\Documents and Settings\roger2IBM\Application Data\vlc
2007-12-15 15:30 . 2007-12-15 15:30 <DIR> d-------- C:\Program Files\VideoLAN
2007-12-15 10:34 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-12-15 10:34 . 2007-07-30 19:19 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2007-12-14 16:20 . 2007-12-14 16:20 1,167 --a------ C:\WINDOWS\mozver.dat
2007-12-14 00:56 . 2007-12-14 00:56 <DIR> d-------- C:\Documents and Settings\roger2IBM\Application Data\MusicIP
2007-12-14 00:55 . 2007-12-14 00:55 <DIR> d-------- C:\Program Files\MusicIP
2007-12-14 00:31 . 2007-12-15 11:26 <DIR> d-------- C:\Program Files\TweakPower
2007-12-13 23:49 . 2007-12-13 23:49 0 --a------ C:\WINDOWS\nsreg.dat
2007-12-13 16:39 . 2007-12-13 16:39 <DIR> d-------- C:\Program Files\Simese
2007-12-13 16:39 . 2007-12-13 16:39 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Simese
2007-12-13 16:04 . 2007-12-13 16:04 <DIR> d-------- C:\Program Files\Windows Media Connect 2
2007-12-13 16:02 . 2007-12-13 16:03 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-12-13 15:38 . 2007-10-11 07:55 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-12-13 15:38 . 2007-07-01 11:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-12-13 15:38 . 2007-07-01 11:36 991,232 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2007-12-13 15:38 . 2007-10-11 07:55 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-12-13 15:38 . 2007-10-11 07:55 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-12-13 15:38 . 2007-10-11 07:55 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-12-13 15:38 . 2007-10-11 07:55 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2007-12-13 15:38 . 2007-10-11 07:55 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-12-13 15:38 . 2007-10-10 18:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-12-13 14:17 . 2007-12-13 16:14 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-12-13 14:17 . 2006-09-25 17:58 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-12-13 14:12 . 2007-12-13 14:12 <DIR> d---s---- C:\Documents and Settings\roger2IBM\UserData
2007-12-13 14:03 . 2007-12-13 14:03 <DIR> d-------- C:\Program Files\SumatraPDF
2007-12-13 14:03 . 2007-12-13 14:03 <DIR> d-------- C:\Documents and Settings\roger2IBM\Application Data\SumatraPDF
2007-12-13 11:29 . 2007-12-13 11:29 <DIR> d-------- C:\Documents and Settings\roger2IBM\Application Data\Sync App Settings
2007-12-13 11:27 . 2007-12-13 11:27 <DIR> d-------- C:\Program Files\Allway Sync
2007-12-13 11:27 . 2007-12-13 11:27 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Sync App Settings
2007-12-13 10:46 . 2007-12-13 10:46 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2007-12-13 10:42 . 2007-12-13 10:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage
2007-12-13 06:06 . 2004-08-03 23:15 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2007-12-13 06:05 . 2001-08-17 22:55 382,592 --a------ C:\WINDOWS\system32\atidrab.dll
2007-12-13 06:04 . 2007-12-13 15:04 <DIR> d-------- C:\WINDOWS\cwcdata
2007-12-13 06:04 . 2001-08-17 21:28 727,786 --a------ C:\WINDOWS\system32\drivers\ltck000c.sys
2007-12-13 06:04 . 2001-08-17 20:12 117,760 --a------ C:\WINDOWS\system32\drivers\e100b325.sys
2007-12-13 06:04 . 2002-12-18 13:22 112,384 --a------ C:\WINDOWS\system32\drivers\cwcspud.sys
2007-12-13 06:04 . 2002-12-18 13:22 112,384 --a--c--- C:\WINDOWS\system32\dllcache\cwcspud.sys
2007-12-13 06:04 . 2004-08-04 08:56 74,240 --a------ C:\WINDOWS\system32\usbui.dll
2007-12-13 06:04 . 2004-08-04 07:07 42,368 --a------ C:\WINDOWS\system32\drivers\AGP440.SYS
2007-12-13 06:04 . 2004-08-04 07:00 28,672 --a------ C:\WINDOWS\system32\drivers\nscirda.sys
2007-12-13 06:04 . 2002-12-18 13:22 3,712 --a------ C:\WINDOWS\system32\drivers\cwcos.sys
2007-12-13 06:04 . 2002-12-18 13:22 3,712 --a--c--- C:\WINDOWS\system32\dllcache\cwcosnt5.sys
2007-12-13 06:01 . 2008-01-30 20:37 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2007-12-13 06:01 . 2008-01-31 18:50 <DIR> dr------- C:\Documents and Settings\All Users\Documents
2007-12-12 23:19 . 2007-12-12 23:19 <DIR> d-------- C:\Program Files\CCleaner
2007-12-12 23:08 . 2007-12-13 16:02 <DIR> d-------- C:\WINDOWS\system32\LogFiles

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-12 14:36 --------- d--h--w C:\Program Files\Uninstall Information
2007-12-12 14:24 --------- d-----w C:\Program Files\microsoft frontpage
2007-10-29 22:43 1,287,680 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-10 23:56 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 20:00 15360]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-11-25 14:13 5750784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 20:00 15360]

R2 MusicIP Server;MusicIP Server;C:\Program Files\MusicIP\MusicIP Mixer\MusicMagicServer.exe [2007-10-08 08:56]
R2 SimeseServer;SimeseServer;C:\Program Files\Simese\Simese.exe [2007-05-28 20:57]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-31 18:53:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-31 18:54:19
.
2007-12-13 08:27:46 --- E O F ---
Seitenanfang Seitenende
31.01.2008, 17:10
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#39 ««
ich kann da nix bedrohliches sehen...scheint in Ordnung
du kannst ja mit Onlinescannern drüberbügeln,
http://board.protecus.de/t8642.htm

oder Avira laden
http://www.virus-protect.org/antivirus.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 00:31
Member

Beiträge: 16
#40 avira hab ich gestern schon auf den 2 PC gleich draufgenallt, sicher ist sicher!

aber wieder zurueck zum sorgenkind nr 1!!

zu den sticks und USP harddisc, alles in ordnung kein autorun.inf escheint auch nicht bei den hidden sachen!

was nun? muessen wir noch den register eintrag loeschen?? oder was anderes checken? was ist mit der karpirsky meldung vom vortag? 2 virus meldungen!!! sind da fehlwarnungen um mir karpirsky aufzuschwatzen oder ernst zu nehmen?

Untersuchungsobjekt - Kritische Objekte
C:\WINDOWS
C:\DOCUME~1\user\LOCALS~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 20156
Viren gefunden: 2
Infizierte Objekte gefunden: 2
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:14:55

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\LMIinit.dll.000.bak Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RemotelyAnywhere.a übersprungen
C:\WINDOWS\system32\pCastCtl.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Dudu.f übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\DOCUME~1\user\LOCALS~1\Temp\Perflib_Perfdata_73c.dat Das Objekt ist gesperrt übersprungen
C:\DOCUME~1\user\LOCALS~1\Temp\~DFF2C7.tmp Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
Dieser Beitrag wurde am 01.02.2008 um 02:46 Uhr von heiri editiert.
Seitenanfang Seitenende
01.02.2008, 12:37
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#41 lade die dll hoch (kannst du von hier aus abkopieren) - lasse sie prüfen - poste den report
http://www.virustotal.com/de/

C:\WINDOWS\system32\pCastCtl.dll
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 12:58
Member

Beiträge: 16
#42 hier, was nun? loeschen??:

Datei pCastCtl.dll empfangen 2007.05.20 21:37:00 (CET)
Status: Beendet
Ergebnis: 15/31 (48.39%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - ADSPY/Dudu.F
Authentium - - -
Avast - - -
AVG - - Adware Generic.RAS
BitDefender - - Adware.Dudu.F
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - Adware.Dudu
FileAdvisor - - -
Fortinet - - Adware/Dudu
F-Prot - - W32/Adware.DKM
F-Secure - - -
Ikarus - - not-a-virus:AdWare.Win32.Dudu.f
Kaspersky - - not-a-virus:AdWare.Win32.Dudu.f
McAfee - - potentially unwanted program Generic PUP
Microsoft - - -
NOD32v2 - - Win32/Adware.DuDu
Norman - - W32/Dudu.U
Panda - - Adware/Dudu
Prevx1 - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - Adware/Dudu.f
VBA32 - - AdWare.Win32.Dudu.f
VirusBuster - - -
Webwasher-Gateway - - Ad-Spyware.Dudu.F
weitere Informationen
MD5: e9df2cf17b5b316d67ab2df8895a9550
SHA1: 889466a56350b2639a587767c17e21e45c2dbd3c
SHA256: 6050864886fcc146c45595930cf2427b051bd0c390fca451addd7aa5fdd18d47
SHA512: dce4871650d7d5deda7ed2c7fa36ebf8dfa6472ade134e62dd5ef50deb9593d3 b94e33fece3eb65650c7ebc4652bcf186c32181625daaf15d6f436e486786f64
Seitenanfang Seitenende
01.02.2008, 13:14
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#43 ««
http://virus-protect.org/artikel/tools/gvkiller.html

kopiere rein:

Zitat

C:\WINDOWS\system32\pCastCtl.dll
(oder lösche die dll manuell)

»»
lade sdfix - im Nomalmodus - RunThis.bat doppelt klicken - schreibe 2 (Norman wird geladen)
http://virus-protect.org/artikel/tools/sdfix.html

scanne + poste den report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 16:57
Member

Beiträge: 16
#44 report fertig

Norman Malware Cleaner
Copyright © 1990 - 2007, Norman ASA. Built 2008/01/22 00:03:23

Norman Scanner Engine Version: 5.91.08
Nvcbin.def Version: 5.90.00, Date: 2008/01/22 00:03:23, Variants: 1190495

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 2
Logged on user: ROGER1\user


Scan started: 01/02/2008 22:06:22


Scanning running processes and process memory...

Number of processes/threads found: 1640
Number of processes/threads scanned: 1640
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 29s


Scanning file system...

Scanning: C:\*.*

C:\Documents and Settings\user\Desktop\OLYA FILES\Motorola V3 Unlock software.rar/V3andV3X\V3\V3\Moto_V3\500_Wallpapers.zip/Wallpaper005610/V3 Wallpaper/0181.jpg (Error whilst scanning file: I/O Error)

C:\Program Files\PPMate\ppamnet.exe (Infected with W32/Malware.ABML)
Removed registry value: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List -> C:\Program Files\PPMate\ppamnet.exe = "C:\Program Files\PPMate\ppamnet.exe:*:Enabled:pPMate"
Deleted file

C:\Program Files\PPMate\ppmate.exe (Infected with W32/Malware.ABBJ)
Removed registry value: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List -> C:\Program Files\PPMate\ppmate.exe = "C:\Program Files\PPMate\ppmate.exe:*:Enabled:pPMate"
Deleted file

C:\System Volume Information\_restore{0A00E7A0-FA9A-4BA3-AD14-C6D648399D15}\RP5\A0000415.dll (Infected with W32/Dudu.U)
Deleted file

C:\System Volume Information\_restore{0A00E7A0-FA9A-4BA3-AD14-C6D648399D15}\RP5\A0000419.exe (Infected with W32/Malware.ABML)
Deleted file

C:\System Volume Information\_restore{0A00E7A0-FA9A-4BA3-AD14-C6D648399D15}\RP5\A0000420.exe (Infected with W32/Malware.ABBJ)
Deleted file

Scanning: D:\*.*

Scanning: E:\*.*

Scanning: c:\System Volume Information\*.*


Running post-scan cleanup routine:

Number of files found: 92839
Number of archives unpacked: 755
Number of files scanned: 92768
Number of files not scanned: 71
Number of files skipped due to exclude list: 0
Number of infected files found: 5
Number of infected files repaired/deleted: 5
Number of infections removed: 5
Total scanning time: 1h 48m 45s
Seitenanfang Seitenende
01.02.2008, 17:35
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#45 nun sollte WIRKLICH alles sauber sein ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: