combofix findet WMSDKNSD.XML befall oder nicht??

#0
16.04.2008, 19:11
Member

Beiträge: 15
#1 da der rechner regelmäsig einfach ausgeht und wieder hochfährt, ich bislang keine hardware fehler finden konnte habe ich mal einen scan gemacht und wäre sehr erfreut wenn mir wer helfen könnte vor allem weil combofix gleich was gelöscht hat.





ComboFix 08-04-15.5 - moi 2008-04-16 18:55:27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.335 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\moi\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\moi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-16 bis 2008-04-16 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-16 12:38 --------- d-----w C:\Dokumente und Einstellungen\moi\Anwendungsdaten\Winamp
2008-04-05 00:03 --------- d-----w C:\Dokumente und Einstellungen\moi\Anwendungsdaten\uTorrent
2008-03-15 14:44 --------- d-----w C:\Dokumente und Einstellungen\moi\Anwendungsdaten\Media Player Classic
2008-02-21 15:47 --------- d-----w C:\Dokumente und Einstellungen\moi\Anwendungsdaten\dvdcss
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 22:32 208952]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 12:33 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 16:40 155648]
"Adobe Reader Speed Launcher"="D:\Programme\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e36f36b6-351d-11dc-a8c5-00e07ddf6f37}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - Recycled\ctfmon.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-16 18:56:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-16 18:56:56
ComboFix-quarantined-files.txt 2008-04-16 16:56:52

6 Verzeichnis(se), 682,831,872 Bytes frei
9 Verzeichnis(se), 683,429,888 Bytes frei


------------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:05:02, on 16.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\explorer.exe
D:\programme\Mozilla Firefox\firefox.exe
D:\programme\hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Reader 8.0\Reader\Reader_sl.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

---------------------------------------------------------------------------

Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 0229-1B69

Verzeichnis von C:\WINDOWS\system32

16.04.2008 18:48 88.566 nvapps.xml
12.04.2008 15:00 2.206 wpa.dbl
30.03.2008 14:31 311.740 perfh009.dat
30.03.2008 14:31 40.128 perfc009.dat
30.03.2008 14:31 316.924 perfh007.dat
30.03.2008 14:31 48.354 perfc007.dat
30.03.2008 14:31 723.744 PerfStringBackup.INI

Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 0229-1B69

Verzeichnis von C:\DOKUME~1\moi\LOKALE~1\Temp

16.04.2008 19:08 103.925 datfind.txt
1 Datei(en) 103.925 Bytes
0 Verzeichnis(se), 692.572.160 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 0229-1B69

Verzeichnis von C:\WINDOWS

16.04.2008 18:56 227 system.ini
16.04.2008 18:48 0 Sti_Trace.log
16.04.2008 18:00 0 0.log
16.04.2008 17:59 1.175.706 WindowsUpdate.log
16.04.2008 17:59 2.048 bootstat.dat
11.04.2008 14:52 116 NeroDigital.ini
Seitenanfang Seitenende
17.04.2008, 00:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

das sieht nach einem verseuchten USB-Stick aus ... benutzt du Sticks ?

Zitat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e36f36b6-351d-11dc-a8c5-00e07ddf6f37}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - Recycled\ctfmon.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.04.2008, 10:59
Member

Themenstarter

Beiträge: 15
#3 ja, ctfmon.exe ist also ein oder kann ein befall sein??
wenn wie kriege ich den stick sauber, einfach alles löschen??
Seitenanfang Seitenende
17.04.2008, 12:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ««
Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Zitat

dir /s /a "c:\ctfmon*.*" > c:\find.txt & start notepad c:\find.txt
poste, was erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.04.2008, 15:58
Member

Themenstarter

Beiträge: 15
#5 Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 0229-1B69

Verzeichnis von c:\WINDOWS\system32

04.08.2004 00:57 15.360 ctfmon.exe
1 Datei(en) 15.360 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 15.360 Bytes
0 Verzeichnis(se), 707.084.288 Bytes frei
Seitenanfang Seitenende
18.04.2008, 11:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
zuerst den Stick formatieren:
* Die einfachste Methode benutzt das Kontextmenü des Windows Explorers: USB-Stick (Wechseldatenträger) markieren, rechte Maustaste drücken, "Formatieren" wählen. (Vollständig)

2.
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e36f36b6-351d-11dc-a8c5-00e07ddf6f37}]
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

wende combofix noch mal an
+
poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.04.2008, 12:04
Member

Themenstarter

Beiträge: 15
#7 ok, wenn der stick befallen ist, war, muss ich das ganze hier auch auf den anderen rechnern durchführen wo der stick benutzt worden ist??

hier schon mal das log


ComboFix 08-04-17.1 - moi 2008-04-18 11:58:25.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.350 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\moi\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\moi\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-16 12:38 --------- d-----w C:\Dokumente und Einstellungen\moi\Anwendungsdaten\Winamp
2008-04-05 00:03 --------- d-----w C:\Dokumente und Einstellungen\moi\Anwendungsdaten\uTorrent
2008-03-15 14:44 --------- d-----w C:\Dokumente und Einstellungen\moi\Anwendungsdaten\Media Player Classic
2008-02-21 15:47 --------- d-----w C:\Dokumente und Einstellungen\moi\Anwendungsdaten\dvdcss
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 22:32 208952]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 12:33 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 16:40 155648]
"Adobe Reader Speed Launcher"="D:\Programme\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=


.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-18 12:00:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-18 12:01:52 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-18 10:01:49
ComboFix2.txt 2008-04-16 16:56:57

6 Verzeichnis(se), 649,265,152 Bytes frei
10 Verzeichnis(se), 643,989,504 Bytes frei
Seitenanfang Seitenende
18.04.2008, 13:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo,

Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001 - in 0 ändern
"UpdatesDisableNotify"=dword:00000001 in 0 ändern

rechtsklick auf den Eintrag "AntiVirusDisableNotify" und dann: "UpdatesDisableNotify



die 1 wegklicken und 0 reinschreiben, dann abspeichern



------------------------------------

««
du kannst noch Onlinescans machen + mit Bitdefender
http://virus-protect.org/onlinescan.html

««
ist dann wieder in Ordnung ;)
wenn noch was anfällt - melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.04.2008, 13:42
Member

Themenstarter

Beiträge: 15
#9 danke für die hilfe, was für ein befall war es denn und was besteht die gefahr das passwörter oder ähnliches ausgespitzelt worden sind, sprich muss ich jetzt alle passwörter ändern, onlinebanking etc...??
Seitenanfang Seitenende
18.04.2008, 16:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 geht der rechner immer noch ohne Vorwarnung aus ? Bootet er dann neu oder gibt es einen "Absturz" ?
der Stick war verseucht,,,,
Deshalb noch Onlinescans machen.
Soweit ich es einschätzen kann, brauchst du keine Passworte zu ändern
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.04.2008, 16:26
Member

Themenstarter

Beiträge: 15
#11 leider hat bitdefender erst programme wie winrar gelöscht, danach hat er sich irgendwann aufgehängt, kann ich mit einem anderen onlinescanner auch scannen oder soll ich es einfach nochmal mit dem bitdefender versuchen ??
Seitenanfang Seitenende
18.04.2008, 17:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 du kannst es mit anderen scannern versuchen z.b. F-secure/Onlinescan
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2008, 00:51
Member

Themenstarter

Beiträge: 15
#13 Result: 2 malware found
Tracking Cookie (spyware)

* System

Trojan-Dropper.Win32.Agent.qgq (virus)

* D:\xxx\ALIEN SKIN FULL PACKS 2006\ALIEN SKIN EYE CANDY IMPACT 5.1\ALIENS~1.EXE (Renamed & Submitted)

Statistics
Scanned:

* Files: 27534
* System: 2982
* Not scanned: 7

Actions:

* Disinfected: 0
* Renamed: 1
* Deleted: 0
* None: 1
* Submitted: 1

Files not scanned:

* C:\HIBERFIL.SYS
* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

Options
Scanning engines:

* F-Secure USS: 2.30.0
* F-Secure Hydra: 2.8.8110, 2008-04-18
* F-Secure AVP: 7.0.171, 2008-04-18
* F-Secure Pegasus: 1.20.0, 2008-02-28
* F-Secure Blacklight: 1.0.64

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics
Dieser Beitrag wurde am 19.04.2008 um 12:24 Uhr von profgriff editiert.
Seitenanfang Seitenende
19.04.2008, 01:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 hm..ein Keygen..da hängt normalerweise auch immer ein Trojaner mit drin.. es gibt nix umsonst, nicht mal im Net ;)
geht der Computer immer noch ohne vorwarnung aus ?

scanne mit sdfix im abgesicherten Modus + poste den report
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2008, 12:29
Member

Themenstarter

Beiträge: 15
#15 genau das versuche ich den leuten auch immer zu verklickern, nur den freund dem den rechner gehört will nicht hören, und hat nebenbei keine ahnung von was er so macht...

der computer scheint gerade an zu bleiben, zumindest gabs keine beschwerden mehr. ich werde gleich nochmal scannen. bleibt die frage nach den anderen rechnern wo der stick ran war, könnten die befallen sein, und sollte ich die auch noch scannen...?

---------------------------------------------------------------------------------

SDFix: Version 1.172
Run by moi on 19.04.2008 at 12:50

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-19 12:53:49
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 4 Aug 2004 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Sun 6 Jan 2008 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon 7 May 2007 118,784 A..H. --- "C:\Dokumente und Einstellungen\moi\Desktop\meine arbeit\--diplom\profile\~WRL1842.tmp"
Fri 2 Nov 2007 186,368 A..H. --- "C:\Dokumente und Einstellungen\moi\Desktop\meine arbeit\8_Anhang\Profilauswertung\~WRL1505.tmp"
Fri 1 Jun 2007 62,464 A..H. --- "C:\Dokumente und Einstellungen\moi\Desktop\meine arbeit\--diplom\meine arbeit\2_privat und ”ffentlich\~WRL3536.tmp"

Finished!
Dieser Beitrag wurde am 19.04.2008 um 12:57 Uhr von profgriff editiert.
Seitenanfang Seitenende