Pandascan positiv- Hackprogramm am PC gefunden

#0
05.05.2008, 19:05
Member

Beiträge: 20
#1 Hallo liebe Community !

Ich habe mich schonmal an euch gewandt und ich war damals begeistert , wie schnell und effektiv ich hilfe bekommen habe.

Ich habe wieder mal eine Frage .. Wie entfern ich diese Schädlinge ??

Habe eben den online pandascan ausgeführt und es wurde so einiges gefunden, hier der Bericht:




Ereignis Zustand Standort

Potenziell unerwünschtes Tool:application/myglobalsearch Nicht desinfiziert hkey_classes_root\MyGlobalSearchBar.SettingsPlugin
Spyware:Cookie/Adverserve Nicht desinfiziert C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ifmrlail.default\cookies.txt[.adverserve.net/]
Spyware:Cookie/Adtech Nicht desinfiziert C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ifmrlail.default\cookies.txt[.adtech.de/]
Spyware:Cookie/adultfriendfinder Nicht desinfiziert C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ifmrlail.default\cookies.txt[.adultfriendfinder.com/]
Spyware:Cookie/Atwola Nicht desinfiziert C:\Dokumente und Einstellungen\HP_Administrator\Cookies\hp_administrator@atwola[1].txt
Adware:Adware/SaveNow Nicht desinfiziert C:\Programme\AdVantage\AdVantage.exe
Adware:Adware/MediaAdvantage Nicht desinfiziert C:\Programme\AdVantage\TR.dll

Bitte helft mir
Seitenanfang Seitenende
05.05.2008, 19:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\Programme\AdVantage
Klicke auf den Roten MoveIt!

««
die cookies.. sind allerdings nicht sooo gefährlich, kannst du mit CCleaner entfernen
http://www.ccleaner.de/?protecus.de

«
start - Ausführen - regedit
oben links- suche - gib ein: MyGlobalSearchBar

hkey_classes_root\MyGlobalSearchBar - LÖSCHEN, falls du es findest....
-----------------------------------------------------------------

dann sollte alles wieder o.k. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.05.2008, 19:44
Member

Themenstarter

Beiträge: 20
#3 ok habs gefunden, waren gleich 4 dateien... soll ich jetz nochn pandacheck machen oder mit anderem prog??
Seitenanfang Seitenende
05.05.2008, 19:49
Moderator

Beiträge: 5694
#4 Hallo andi91

Du kannst zur Sicherheit auch noch mit einem anderen OnlineScan scannen.
http://board.protecus.de/t8642.htm
(z.B. Bitdefender/Online )

Gruss
Seitenanfang Seitenende
05.05.2008, 19:54
Member

Themenstarter

Beiträge: 20
#5 so, hab nun nochmal den Panda scan ausgeführt.. leider ist das hackporgramm noch nicht weg.. hier der bericht



Ereignis Zustand Standort

Potenziell unerwünschtes Tool:application/myglobalsearch Nicht desinfiziert HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{37B85A21-692B-4205-9CAD-2626E4993404}
Spyware:Cookie/Adverserve Nicht desinfiziert C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ifmrlail.default\cookies.txt[.adverserve.net/]
Spyware:Cookie/Adtech Nicht desinfiziert C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ifmrlail.default\cookies.txt[.adtech.de/]
Adware:Adware/SaveNow Nicht desinfiziert C:\_OTMoveIt\MovedFiles\05052008_194126\Programme\AdVantage\AdVantage.exe
Adware:Adware/MediaAdvantage Nicht desinfiziert C:\_OTMoveIt\MovedFiles\05052008_194126\Programme\AdVantage\TR.dll
Dieser Beitrag wurde am 05.05.2008 um 21:31 Uhr von andi91 editiert.
Seitenanfang Seitenende
05.05.2008, 22:12
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Starte OTMoveIt nochmal und klicke den CleanUp! button
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.
http://virus-protect.org/artikel/tools/otmoveIt.html

Malwarebytes Anti-Malware
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
__________
MfG Argus
Seitenanfang Seitenende
05.05.2008, 22:38
Member

Themenstarter

Beiträge: 20
#7 ok hier der bericht:


Malwarebytes' Anti-Malware 1.09
Datenbank Version: 568

Scan Art: Schnell Scan
Objekte gescannt: 32606
Scan Dauer: 4 minute(s), 50 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
Seitenanfang Seitenende
06.05.2008, 01:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 andi91

1.
wende Combofix an + poste hier den Report
http://virus-protect.org/artikel/tools/combofix.html


2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern


Zitat

Registry::
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{37B85A21-692B-4205-9CAD-2626E4993404}]
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

------------------

3.
Lösche : C:\_OTMoveIt - falls noch vorhanden.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.05.2008, 16:44
Member

Themenstarter

Beiträge: 20
#9 hier der report vor dem erstellen der Textdatei:

ComboFix 08-05-01.3 - HP_Administrator 2008-05-06 16:35:39.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.592 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HP_Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-06 bis 2008-05-06 ))))))))))))))))))))))))))))))
.

2008-05-05 22:49 . 2008-05-05 22:51 <DIR> d-------- C:\Programme\NCH Software
2008-05-05 22:49 . 2008-05-05 22:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2008-05-05 22:49 . 2008-05-05 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Software
2008-05-05 22:48 . 2008-05-06 16:32 <DIR> d-------- C:\Programme\NCH Swift Sound
2008-05-05 22:48 . 2008-05-06 16:32 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\NCH Swift Sound
2008-04-21 22:09 . 2008-04-21 22:09 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\streamripper
2008-04-21 21:54 . 2008-05-05 19:53 <DIR> d-------- C:\Programme\Streamripper

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-05 18:31 --------- d-----w C:\Programme\MSN Messenger
2008-05-05 18:27 --------- d-----w C:\Programme\ICQToolbar
2008-05-05 18:27 --------- d-----w C:\Programme\HP DigitalMedia Archive
2008-05-05 18:25 --------- d---a-w C:\Programme\Gemeinsame Dateien\LightScribe
2008-05-05 17:53 --------- d-----w C:\Programme\Winamp
2008-05-05 16:58 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-05-05 15:31 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-05-05 15:08 --------- d-----w C:\Programme\Windows Live Safety Center
2008-05-05 14:25 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\teamspeak2
2008-05-03 12:58 --------- d-----w C:\Programme\World of Warcraft
2008-04-26 14:16 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\ICQ
2008-04-26 14:12 --------- d-----w C:\Programme\ICQ6
2008-04-20 16:46 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Canon
2008-04-20 15:42 --------- d-----w C:\Programme\Java
2008-04-16 21:18 --------- d-----w C:\Programme\LimeWire
2008-04-16 14:51 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\CoreFTP
2008-03-31 16:31 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\dyyno-vlc
2008-03-31 16:25 --------- d-----w C:\Programme\Dyyno
2008-03-30 11:42 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-03-30 11:42 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Malwarebytes
2008-03-30 11:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-30 11:41 --------- d-----w C:\Programme\Trend Micro
2008-03-30 10:40 --------- d-----w C:\Programme\CCleaner
2008-03-30 10:09 --------- d-----w C:\Programme\Avira
2008-03-30 10:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-19 17:58 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\dvdcss
2008-03-19 17:13 --------- d-----w C:\Programme\Lavasoft
2008-03-19 17:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-19 17:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-17 11:34 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-03-17 11:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-16 22:10 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\ICQ Toolbar
2008-03-16 10:37 --------- d-----w C:\Programme\Sony
2008-03-16 10:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2008-03-13 21:42 --------- d-----w C:\Programme\Alwil Software
2008-03-07 15:53 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-07 15:49 65,024 ----a-w C:\WINDOWS\IFinst26.exe
2008-03-07 15:49 --------- d-----w C:\Programme\Xvid
2008-03-07 15:49 --------- d-----w C:\Programme\Lame MP3 Codec
2008-03-07 15:48 --------- d-----w C:\Programme\Samsung
2008-03-07 15:48 --------- d-----w C:\Programme\MarkAny
2008-03-07 15:48 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\InstallShield
2008-03-07 15:48 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\DataCast
2008-03-07 15:21 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\ArcSoft
2008-03-07 15:19 --------- d-----w C:\Programme\Gemeinsame Dateien\ArcSoft
2008-03-07 15:19 --------- d-----w C:\Programme\ArcSoft
2008-03-07 15:18 --------- d-----w C:\Programme\Trust
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 09:07 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe
2008-01-17 20:59 22,328 ----a-w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\PnkBstrK.sys
2006-12-23 17:59 251 ----a-w C:\Programme\wt3d.ini
2003-06-02 20:37 1,501,696 ----a-w C:\Programme\beaches.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 06:00 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 21:34 64512]
"ftutil2"="ftutil2.dll" [2004-06-07 14:05 106496 C:\WINDOWS\system32\ftutil2.dll]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-22 01:56 16261632 C:\WINDOWS\RTHDCPL.EXE]
"AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-03 00:19 77312 C:\WINDOWS\arpwrmsg.exe]
"DMAScheduler"="c:\Programme\HP DigitalMedia Archive\DMAScheduler.exe" [2006-04-13 10:05 90112]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 23:14 237568]
"PCDrProfiler"="" []
"HPBootOp"="C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2006-02-15 23:34 249856]
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 13:00 49152]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 12:12 90112]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"tsnp2std"="C:\WINDOWS\tsnp2std.exe" [ ]
"snp2std"="C:\WINDOWS\vsnp2std.exe" [2005-11-16 17:14 344064]
"AAWTray"="C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe" [2007-08-08 16:53 88024]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 10:19 262401]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-02 17:32 180269]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Dienst-Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 17:23:32 74308]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{88485281-8b4b-4f8d-9ede-82e29a064277}"= C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 17:51 192512]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]
C:\Programme\AdVantage\AdVantage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
--a------ 2007-09-08 01:01 43008 C:\Programme\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe]
--a------ 2007-06-29 16:03 36864 C:\Programme\GameSpy\Comrade\Comrade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2007-12-14 15:18 482760 C:\Programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-04-01 12:40 172280 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]
--a------ 2004-12-14 03:23 663552 C:\Windows\Creator\Remind_XP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-10-31 19:42 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSTray]
--a------ 2007-09-20 09:23 132624 C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 04:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-05-15 00:22 35328 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\World of Warcraft\\WoW-1.12.x-to-2.0.1-deDE-patch-downloader.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\Programme\\World of Warcraft\\WoW-2.0.3-deDE-downloader.exe"=
"C:\\Programme\\World of Warcraft\\WoW-2.0.4.6314-to-2.0.5.6320-deDE-downloader.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\WINDOWS\\system32\\muzapp.exe"=
"C:\\Dokumente und Einstellungen\\HP_Administrator\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Dokumente und Einstellungen\\HP_Administrator\\Eigene Dateien\\Meine empfangenen Dateien\\spammer2.exe"=

R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2005-11-18 19:29]
R3 WN5301;LIteon Wireless PCI Network Adapter Service;C:\WINDOWS\system32\DRIVERS\wn5301.sys [2005-10-05 19:44]
S3 k600bus;Sony Ericsson 600i driver (WDM);C:\WINDOWS\system32\DRIVERS\k600bus.sys [2005-05-11 13:12]
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k600mdfl.sys [2005-05-11 13:12]
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;C:\WINDOWS\system32\DRIVERS\k600mdm.sys [2005-05-11 13:12]
S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;C:\WINDOWS\system32\DRIVERS\k600mgmt.sys [2005-05-11 13:12]
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;C:\WINDOWS\system32\DRIVERS\k600obex.sys [2005-05-11 13:12]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 16:37:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 120

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-06 16:39:12
ComboFix-quarantined-files.txt 2008-05-06 14:39:00

12 Verzeichnis(se), 245,211,934,720 Bytes frei
22 Verzeichnis(se), 245,226,708,992 Bytes frei

191 --- E O F --- 2008-04-11 18:23:01








O.k. und hier nach des Erstellens der Txt Datei:



ComboFix 08-05-01.3 - HP_Administrator 2008-05-06 16:45:05.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.579 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HP_Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\HP_Administrator\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-06 bis 2008-05-06 ))))))))))))))))))))))))))))))
.

2008-05-05 22:49 . 2008-05-05 22:51 <DIR> d-------- C:\Programme\NCH Software
2008-05-05 22:49 . 2008-05-05 22:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2008-05-05 22:49 . 2008-05-05 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Software
2008-05-05 22:48 . 2008-05-06 16:32 <DIR> d-------- C:\Programme\NCH Swift Sound
2008-05-05 22:48 . 2008-05-06 16:32 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\NCH Swift Sound
2008-04-21 22:09 . 2008-04-21 22:09 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\streamripper
2008-04-21 21:54 . 2008-05-05 19:53 <DIR> d-------- C:\Programme\Streamripper

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-05 18:31 --------- d-----w C:\Programme\MSN Messenger
2008-05-05 18:27 --------- d-----w C:\Programme\ICQToolbar
2008-05-05 18:27 --------- d-----w C:\Programme\HP DigitalMedia Archive
2008-05-05 18:25 --------- d---a-w C:\Programme\Gemeinsame Dateien\LightScribe
2008-05-05 17:53 --------- d-----w C:\Programme\Winamp
2008-05-05 16:58 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-05-05 15:31 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-05-05 15:08 --------- d-----w C:\Programme\Windows Live Safety Center
2008-05-05 14:25 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\teamspeak2
2008-05-03 12:58 --------- d-----w C:\Programme\World of Warcraft
2008-04-26 14:16 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\ICQ
2008-04-26 14:12 --------- d-----w C:\Programme\ICQ6
2008-04-20 16:46 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Canon
2008-04-20 15:42 --------- d-----w C:\Programme\Java
2008-04-16 21:18 --------- d-----w C:\Programme\LimeWire
2008-04-16 14:51 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\CoreFTP
2008-03-31 16:31 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\dyyno-vlc
2008-03-31 16:25 --------- d-----w C:\Programme\Dyyno
2008-03-30 11:42 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-03-30 11:42 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Malwarebytes
2008-03-30 11:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-30 11:41 --------- d-----w C:\Programme\Trend Micro
2008-03-30 10:40 --------- d-----w C:\Programme\CCleaner
2008-03-30 10:09 --------- d-----w C:\Programme\Avira
2008-03-30 10:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-19 17:58 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\dvdcss
2008-03-19 17:13 --------- d-----w C:\Programme\Lavasoft
2008-03-19 17:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-19 17:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-17 11:34 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-03-17 11:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-16 22:10 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\ICQ Toolbar
2008-03-16 10:37 --------- d-----w C:\Programme\Sony
2008-03-16 10:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2008-03-13 21:42 --------- d-----w C:\Programme\Alwil Software
2008-03-07 15:53 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-07 15:49 65,024 ----a-w C:\WINDOWS\IFinst26.exe
2008-03-07 15:49 --------- d-----w C:\Programme\Xvid
2008-03-07 15:49 --------- d-----w C:\Programme\Lame MP3 Codec
2008-03-07 15:48 --------- d-----w C:\Programme\Samsung
2008-03-07 15:48 --------- d-----w C:\Programme\MarkAny
2008-03-07 15:48 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\InstallShield
2008-03-07 15:48 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\DataCast
2008-03-07 15:21 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\ArcSoft
2008-03-07 15:19 --------- d-----w C:\Programme\Gemeinsame Dateien\ArcSoft
2008-03-07 15:19 --------- d-----w C:\Programme\ArcSoft
2008-03-07 15:18 --------- d-----w C:\Programme\Trust
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 09:07 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe
2008-01-17 20:59 22,328 ----a-w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\PnkBstrK.sys
2006-12-23 17:59 251 ----a-w C:\Programme\wt3d.ini
2003-06-02 20:37 1,501,696 ----a-w C:\Programme\beaches.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 06:00 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 21:34 64512]
"ftutil2"="ftutil2.dll" [2004-06-07 14:05 106496 C:\WINDOWS\system32\ftutil2.dll]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-22 01:56 16261632 C:\WINDOWS\RTHDCPL.EXE]
"AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-03 00:19 77312 C:\WINDOWS\arpwrmsg.exe]
"DMAScheduler"="c:\Programme\HP DigitalMedia Archive\DMAScheduler.exe" [2006-04-13 10:05 90112]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 23:14 237568]
"PCDrProfiler"="" []
"HPBootOp"="C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2006-02-15 23:34 249856]
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 13:00 49152]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 12:12 90112]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"tsnp2std"="C:\WINDOWS\tsnp2std.exe" [ ]
"snp2std"="C:\WINDOWS\vsnp2std.exe" [2005-11-16 17:14 344064]
"AAWTray"="C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe" [2007-08-08 16:53 88024]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 10:19 262401]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-02 17:32 180269]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Dienst-Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 17:23:32 74308]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{88485281-8b4b-4f8d-9ede-82e29a064277}"= C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 17:51 192512]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]
C:\Programme\AdVantage\AdVantage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
--a------ 2007-09-08 01:01 43008 C:\Programme\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe]
--a------ 2007-06-29 16:03 36864 C:\Programme\GameSpy\Comrade\Comrade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2007-12-14 15:18 482760 C:\Programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-04-01 12:40 172280 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]
--a------ 2004-12-14 03:23 663552 C:\Windows\Creator\Remind_XP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-10-31 19:42 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSTray]
--a------ 2007-09-20 09:23 132624 C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 04:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-05-15 00:22 35328 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\World of Warcraft\\WoW-1.12.x-to-2.0.1-deDE-patch-downloader.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\Programme\\World of Warcraft\\WoW-2.0.3-deDE-downloader.exe"=
"C:\\Programme\\World of Warcraft\\WoW-2.0.4.6314-to-2.0.5.6320-deDE-downloader.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\WINDOWS\\system32\\muzapp.exe"=
"C:\\Dokumente und Einstellungen\\HP_Administrator\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Dokumente und Einstellungen\\HP_Administrator\\Eigene Dateien\\Meine empfangenen Dateien\\spammer2.exe"=

R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2005-11-18 19:29]
R3 WN5301;LIteon Wireless PCI Network Adapter Service;C:\WINDOWS\system32\DRIVERS\wn5301.sys [2005-10-05 19:44]
S3 k600bus;Sony Ericsson 600i driver (WDM);C:\WINDOWS\system32\DRIVERS\k600bus.sys [2005-05-11 13:12]
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k600mdfl.sys [2005-05-11 13:12]
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;C:\WINDOWS\system32\DRIVERS\k600mdm.sys [2005-05-11 13:12]
S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;C:\WINDOWS\system32\DRIVERS\k600mgmt.sys [2005-05-11 13:12]
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;C:\WINDOWS\system32\DRIVERS\k600obex.sys [2005-05-11 13:12]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 16:45:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-06 16:46:36
ComboFix-quarantined-files.txt 2008-05-06 14:46:19
ComboFix2.txt 2008-05-06 14:39:13

12 Verzeichnis(se), 245,207,420,928 Bytes frei
22 Verzeichnis(se), 245,194,022,912 Bytes frei

189 --- E O F --- 2008-04-11 18:23:01
Dieser Beitrag wurde am 06.05.2008 um 16:48 Uhr von andi91 editiert.
Seitenanfang Seitenende
07.05.2008, 14:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo,

Virustotal http://www.virustotal.com/flash/index_en.html

«««««««««««««««««««««««««««««««««««««

C:\Programme\beaches.exe

C:\Dokumente und Einstellungen\HP_Administrator\Eigene Dateien\\Meine empfangenen Dateien\spammer2.exe

««««««««««««««««««««««««««««««««««««

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.05.2008, 22:05
Member

Themenstarter

Beiträge: 20
#11 ok hier für beaches:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.3.0 2008.05.07 -
AntiVir 7.8.0.11 2008.05.07 -
Authentium 4.93.8 2008.05.07 -
Avast 4.8.1169.0 2008.05.06 -
AVG 7.5.0.516 2008.05.07 -
BitDefender 7.2 2008.05.07 -
CAT-QuickHeal 9.50 2008.05.06 -
ClamAV 0.92.1 2008.05.07 -
DrWeb 4.44.0.09170 2008.05.07 -
eSafe 7.0.15.0 2008.05.06 -
eTrust-Vet 31.4.5766 2008.05.07 -
Ewido 4.0 2008.05.06 -
F-Prot 4.4.2.54 2008.05.06 -
F-Secure 6.70.13260.0 2008.05.07 -
Fortinet 3.14.0.0 2008.05.07 -
Ikarus T3.1.1.26.0 2008.05.07 -
Kaspersky 7.0.0.125 2008.05.07 -
McAfee 5289 2008.05.06 -
Microsoft 1.3408 2008.05.07 -
NOD32v2 3082 2008.05.07 -
Norman 5.80.02 2008.05.06 -
Panda 9.0.0.4 2008.05.06 -
Prevx1 V2 2008.05.08 -
Rising 20.43.12.00 2008.05.07 -
Sophos 4.29.0 2008.05.07 -
Sunbelt 3.0.1097.0 2008.05.07 -
Symantec 10 2008.05.07 -
TheHacker 6.2.92.302 2008.05.07 -
VBA32 3.12.6.5 2008.05.06 -
VirusBuster 4.3.26:9 2008.05.06 -
Webwasher-Gateway 6.6.2 2008.05.07 -
weitere Informationen
File size: 1501696 bytes
MD5...: 2c003ec31af1e97eae2bbad0daabc584
SHA1..: 4295b5e8f921609b1f0064b3f2de2b8d13b09575
SHA256: ac8267acbd90f635024981ba5a5b4f19f0476a813b9f48c69a7ea92505a56f1f
SHA512: c547fc0a51bef9a46de4dbadcf982fe5a6ccdca8d4a4072a753bdfe7de5e061b
3a448600f0a3afc91150d69e54821c21d68599ccb81ca120cb6cca1b1ef1bc17
PEiD..: -
PEInfo: -


Und hier für spammer2


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.3.0 2008.05.07 Win-AppCare/Udpsz.10752
AntiVir 7.8.0.11 2008.05.07 -
Authentium 4.93.8 2008.05.07 -
Avast 4.8.1169.0 2008.05.06 -
AVG 7.5.0.516 2008.05.07 Potentially harmful program Exploit.BIP
BitDefender 7.2 2008.05.07 -
CAT-QuickHeal 9.50 2008.05.06 -
ClamAV 0.92.1 2008.05.07 -
DrWeb 4.44.0.09170 2008.05.07 Trojan.Proxy.3034
eSafe 7.0.15.0 2008.05.06 -
eTrust-Vet 31.4.5766 2008.05.07 -
Ewido 4.0 2008.05.06 Not-A-Virus.Exploit.Win32.Aluigi.ch
F-Prot 4.4.2.54 2008.05.06 -
F-Secure 6.70.13260.0 2008.05.07 Exploit.Win32.Aluigi.ch
Fortinet 3.14.0.0 2008.05.07 -
Ikarus T3.1.1.26.0 2008.05.07 -
Kaspersky 7.0.0.125 2008.05.07 Exploit.Win32.Aluigi.ch
McAfee 5289 2008.05.06 -
Microsoft 1.3408 2008.05.07 -
NOD32v2 3082 2008.05.07 -
Norman 5.80.02 2008.05.06 -
Panda 9.0.0.4 2008.05.06 -
Prevx1 V2 2008.05.08 -
Rising 20.43.12.00 2008.05.07 -
Sophos 4.29.0 2008.05.07 -
Sunbelt 3.0.1097.0 2008.05.07 -
TheHacker 6.2.92.302 2008.05.07 -
VBA32 3.12.6.5 2008.05.06 Exploit.Win32.Aluigi.ch
VirusBuster 4.3.26:9 2008.05.06 -
Webwasher-Gateway 6.6.2 2008.05.07 -
weitere Informationen
File size: 19456 bytes
MD5...: 25f639f5a1157beca12f968ef9d1d328
SHA1..: dfec885ab1e2c84922e81923083f08b41e86e62f
SHA256: ef80b349f25bafa3c73e0ceebaa61a861627c34841e7288cc8b48b3710ceadea
SHA512: 72960bb21ad5fc0d31b6ec5a0512ffe177127a12ad2b5afd2fb07abb1479d0db
2f4232e98fa5e9312c191ec0d58d982d58d111e6e8ffc19115cfd25853ecbcbf
PEiD..: Dev-C++ 4.9.9.2 -> Bloodshed Software
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401270
timedatestamp.....: 0x4512ecd4 (Thu Sep 21 19:49:40 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2a98 0x2c00 5.81 ef3a817e25ca8c6e5a4ea587b3a80736
.data 0x4000 0x30 0x200 0.14 b44ec442f2664b88f9cba5626ca98c38
.rdata 0x5000 0x1264 0x1400 5.86 343c6f187db77493a61e9704caa7ae9f
.bss 0x7000 0x130 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x8000 0x53c 0x600 3.85 2a07f1ca69d6939458923653e27b967f

( 3 imports )
> KERNEL32.dll: ExitProcess, SetUnhandledExceptionFilter, Sleep
> msvcrt.dll: __getmainargs, __p__environ, __p__fmode, __set_app_type, _cexit, _errno, _iob, _onexit, _setmode, atexit, atoi, exit, fflush, fgets, fprintf, fputc, fwrite, malloc, memcpy, memmove, memset, printf, puts, setbuf, signal, sprintf, sscanf, strchr, strerror, strlen, strncpy, time
> WS2_32.DLL: WSAGetLastError, WSAStartup, bind, closesocket, gethostbyname, htons, inet_addr, inet_ntoa, ntohs, recvfrom, select, sendto, socket



MFG Andi
Seitenanfang Seitenende
08.05.2008, 00:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo,

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]

File::
C:\Dokumente und Einstellungen\HP_Administrator\Eigene Dateien\\Meine empfangenen Dateien\spammer2.exe
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

«««««««««««««««««««««««

scanne mit dr.web und poste den report, falls etwas gefunden wurde
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.05.2008, 10:28
Member

Themenstarter

Beiträge: 20
#13 muss ich dieses dr. web auch im abgesicherten modus starten oder reichts im normalen?

kann's leider ned runterladen.. server is down.. auch über google probiert auf mehreren seiten..
Dieser Beitrag wurde am 12.05.2008 um 10:33 Uhr von andi91 editiert.
Seitenanfang Seitenende
12.05.2008, 10:41
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
12.05.2008, 11:46
Member

Themenstarter

Beiträge: 20
#15 Ok hat nichts gefunden, mache noch einmal nen Pandacheck dann wars das


edit:

Der virus is noch immer am PC -.-


;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-05-12 13:06:36
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition 8.0.1.15 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
01176994 Bck/VB.XB Virus/Trojan No 0 No No C:\Dokumente und Einstellungen\HP_Administrator\Desktop\ComboFix.exe[327882R2FWJFW\NirCmdC.cfexe]
01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP6\A0000246.EXE
01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP3\A0000041.EXE
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP6\A0000237.sys
;===================================================================================================================================================================================
SUSPECTS
Sent Location 2
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description 2
;===================================================================================================================================================================================
108742 MEDIUM MS06-006 2
;===================================================================================================================================================================================
Dieser Beitrag wurde am 12.05.2008 um 13:11 Uhr von andi91 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: