Spyware detected on your computer
blauer Hintergrund mittig folgende Meldung:
Warning! Spyware detected on your computer. Install an antivirus or spyware remover to clean your computer.
HijackThis
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kddco.exe] C:\WINDOWS\system32\kddco.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB6830] command /c del "C:\WINDOWS\Help\45AD9FCA.dll_old"
Combofix
((((((((( Weitere Löschungen )))))))))))))
C:\WINDOWS\system32\0quR8n.syz
C:\WINDOWS\system32\80UIXi.syz
C:\WINDOWS\system32\cssrss.exe
C:\WINDOWS\system32\EIVQRU.syz
C:\WINDOWS\system32\EONSoS.syz
C:\WINDOWS\system32\F.tmp
C:\WINDOWS\system32\GkK4vS.syz
C:\WINDOWS\system32\jAHjYm.syz
C:\WINDOWS\system32\kddco.exe
C:\WINDOWS\system32\KFSmKj.syz
C:\WINDOWS\system32\nCLflu.syz
C:\WINDOWS\system32\qBbhlH.syz
C:\WINDOWS\system32\zLuySO.syz
((( Dateien erstellt von 2008-06-01 bis 2008-07-01 ))
2008-06-30 00:05 . 2008-06-30 00:05 0 --a------ C:\WINDOWS\system32\A.tmp
2008-06-29 19:32 . 2008-06-29 19:32 0 --a------ C:\WINDOWS\system32\6.tmp
2008-06-29 17:56 . 2008-06-29 17:56 DIR d-------- C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\rhcp2tj0e32n
2008-06-29 17:55 . 2008-06-29 17:56 DIR d-------- C:\Programme\rhcp2tj0e32n
2008-06-29 17:55 . 2008-06-30 00:05 60,928 --a------ C:\WINDOWS\system32\blphct2tj0e32n.scr
2008-06-29 17:54 . 2008-06-29 17:54 109,056 --a------ C:\WINDOWS\system32\lphct2tj0e32n.exe
2008-06-29 17:54 . 2008-06-30 00:05 90,838 --a------ C:\WINDOWS\system32\phct2tj0e32n.bmp
2008-06-29 17:54 . 2008-06-29 17:54 20,912 --a------ C:\n2dbr9.exe
2007-03-18 23:05 102,065 --sh--w C:\WINDOWS\Help\45AD9FCA.exe
S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};C:\WINDOWS\TEMP\18.tmp
--------------------
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMDM PMSP Service] - "Cssrss.exe is W32/Forbot-CE"
C:\WINDOWS\system32\cssrss.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMrhcp2tj0e32n]
--a------ 2008-06-29 09:43 1214976 C:\Programme\rhcp2tj0e32n\rhcp2tj0e32n.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lphct2tj0e32n]
--a------ 2008-06-29 17:54 109056 C:\WINDOWS\system32\lphct2tj0e32n.exe
Beispiel:
KILLALL::
Driver::
{DEF85C80-216A-43ab-AF70-1665EDBE2780}
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\WINDOWS\system32\kddco.exe"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32\kddco.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lphct2tj0e32n]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMDM PMSP Service]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\n2dbr9.exe"=-
Folder::
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\rhcp2tj0e32n
C:\Programme\rhcp2tj0e32n
File::
C:\WINDOWS\system32\blphct2tj0e32n.scr
C:\WINDOWS\system32\lphct2tj0e32n.exe
C:\WINDOWS\system32\phct2tj0e32n.bmp
C:\WINDOWS\system32\cssrss.exe
C:\WINDOWS\system32\A.tmp
C:\WINDOWS\system32\6.tmp
C:\WINDOWS\system32\AB.tmp
C:\WINDOWS\system32\A9.tmp
C:\WINDOWS\TEMP\18.tmp
C:\WINDOWS\Help\45AD9FCA.dll_old
C:\WINDOWS\Help\45AD9FCA.dll
C:\WINDOWS\Help\45AD9FCA.exe
C:\n2dbr9.exe
|
|
