ntos.exe - wsnpoem\audio.dll

#0
12.07.2008, 17:34
...neu hier

Beiträge: 1
#1 hallo, ich habe malwarebytes laufen lassen, nachdem Antivir immer wieder malware gefunden hat, ich sie aber nicht entfernen konnte. Jetzt ist eine Reihe von Dateien in Quarantäne und ich bin mir nicht sicher, ob ich sie alle löschen kann.
Unten 2 scan-Berichte, kann mir jemand helfen? Vielen Dank

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 941
Windows 5.1.2600 Service Pack 2

16:33:25 12.07.2008
mbam-log-7-12-2008 (16-33-25).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|H:\|)
Objekte gescannt: 164258
Scan Dauer: 56 minute(s), 51 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 14
Infizierte Dateien: 10

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
H:\WINDOWS\system32\blphcec9j0e56c.scr (Trojan.FakeAlert) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: h:\windows\system32\ntos.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (H:\WINDOWS\system32\userinit.exe,H:\WINDOWS\system32\ntos.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
H:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> Delete on reboot.
H:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\Wir\Anwendungsdaten\rhcac9j0e56c (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\Wir\Anwendungsdaten\rhcac9j0e56c\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\Wir\Anwendungsdaten\rhcac9j0e56c\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\Wir\Anwendungsdaten\rhcac9j0e56c\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\Wir\Anwendungsdaten\rhcac9j0e56c\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\Wir\Anwendungsdaten\rhcac9j0e56c\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\Wir\Anwendungsdaten\rhcac9j0e56c\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\Wir\Anwendungsdaten\rhcac9j0e56c\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\Wir\Anwendungsdaten\rhcac9j0e56c\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\Wir\Anwendungsdaten\rhcac9j0e56c\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\Wir\Anwendungsdaten\rhcac9j0e56c\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
H:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> Delete on reboot.
H:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> Delete on reboot.
H:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\blphcec9j0e56c.scr (Trojan.FakeAlert) -> Delete on reboot.
H:\WINDOWS\system32\lphcec9j0e56c.exe.VIR (Trojan.FakeAlert) -> Delete on reboot.
H:\WINDOWS\system32\phcec9j0e56c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\ntos.exe (Backdoor.Bot) -> Delete on reboot.
H:\WINDOWS\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\WINDOWS\Temp\.tt9.tmp (Trojan.Downloader) -> Delete on reboot.


Malwarebytes' Anti-Malware 1.20
Datenbank Version: 941
Windows 5.1.2600 Service Pack 2

16:47:19 12.07.2008
mbam-log-7-12-2008 (16-47-19).txt

Scan Art: Schnell Scan
Objekte gescannt: 45713
Scan Dauer: 4 minute(s), 42 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
Seitenanfang Seitenende
12.07.2008, 18:33
Moderator

Beiträge: 7805
#2 H:\WINDOWS\system32\ntos.exe bedeutet, das du alle Passworte, Pin, Tannummern usw. schnellst moeglichst aendern musst.

Wobei zusaetzlich ein neu aufsetzen des Rechners am effektivsten ist....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: