unsvchosts.lzma , Outerinfo , WinAntiVirus

unsvchosts.lzma , Outerinfo , WinAntiVirus

- de.wikipedia.org
Die Infektion erfolgt in der Regel per Drive-by-Download, anschließend wird eine Meldung ausgegeben, der Computer sei infiziert. Oft imitiert Rogueware dabei eine Warnmeldung von Windows täuschend echt, wobei die Meldung allerdings häufig englischsprachig ist. Diese Meldung ist aber unabhängig von der Existenz eines Schadprogramms, wobei in den meisten Fällen von Spyware die Rede ist. Außerdem ist keine Datei angegeben, in der sich der angebliche Schädling verstecken soll. Mitunter hat die "kostenpflichtige Vollversion" keine oder aber sogar eine tatsächlich bösartige Funktion, Rogueware kann also ein Trojanisches Pferd im fachsprachlichen Sinn sein. Zudem kann der Inhalt der Internetseite eines solchen Programms fragwürdig sein. Rogue-Software wird in der Regel von seriösen Antivirenprogrammen erkannt.

Combofix

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\wintsu.exe
C:\Programme\Gemeinsame Dateien\{80E2FFED-0A6D-1031-0712-060103060031}

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:
C:\QooBox\Purity\Programme\PPPATC~1
C:\QooBox\Purity\WINDOWS\STEM~1
C:\QooBox\Purity\WINDOWS\STEM~1\??stem

-----------------------------------------------------------------------------
2007-01-06 16:02 118,804 --a------ C:\WINDOWS\system32\ujsphxsy.dll
2006-12-30 16:44 657,491 ---hs---- C:\WINDOWS\system32\hjkmp.ini2
2006-12-30 15:58 DIR d-------- C:\Programme\Outerinfo
2006-12-30 15:57 22,541 ---hs---- C:\WINDOWS\system32\opnklmm.dll
2006-12-29 19:42 277,044 ---hs---- C:\WINDOWS\system32\pmkjh.dll
2006-12-29 19:37 22,541 ---hs---- C:\WINDOWS\system32\fccdcbb.dll
2006-12-29 19:37 16,896 --a------ C:\WINDOWS\system32\winbue32.dll
2007-01-08 16:54 472645 ---hs---- C:\WINDOWS\system32\hjkmp.bak2

datfindbat

Verzeichnis von C:\WINDOWS\system32

01.01.2008 20:22 22.541 wvurpnm.dll
01.01.2008 18:15 657.325 hjkmp.ini
01.01.2008 17:58 81.684 psaopjup.dll
01.01.2008 17:58 44.060 squotpvm.dll
09.01.2007 12:05 658.631 hjkmp.ini2
09.01.2007 11:57 609.495 ysxhpsju.ini
09.01.2007 11:50 3.638 dficon.ico
09.01.2007 11:50 3.638 msicon.ico
09.01.2007 11:50 3.638 sdicon.ico
09.01.2007 11:50 3.638 smicon.ico
09.01.2007 11:50 3.638 cficon.ico
08.01.2007 17:58 466.203 hjkmp.bak2
07.01.2007 18:24 143 mcrh.tmp
07.01.2007 15:36 16.832 amcompat.tlb
07.01.2007 15:36 23.392 nscompat.tlb
06.01.2007 16:02 118.804 ujsphxsy.dll
30.12.2006 16:44 1.800 hjkmp.tmp
30.12.2006 16:00 2.238 ClickToFindandFixErrors_Intl.ico
30.12.2006 15:57 911 unsvchosts.lzma
30.12.2006 15:57 22.541 opnklmm.dll
29.12.2006 19:42 277.044 pmkjh.dll
29.12.2006 19:37 22.541 fccdcbb.dll
29.12.2006 19:37 16.896 winbue32.dll

scanne mit : Vundofix

anwenden: Avenger (Beispiel)

Registry values to delete: HKLM\software\microsoft\windows\currentversion\run|{80E2FFED-0A6D-1031-0712-060103060031} HKLM\software\microsoft\windows\currentversion\run|DllRunning HKLM\software\microsoft\windows\currentversion\run|IpWins registry keys to delete: HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnklmm HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjh HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbue32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COM+_MESSAGES\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COM+_MESSAGES HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ Messages HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_COM+_MESSAGES HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ Messages HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_COM+_MESSAGES HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\COM+ Messages HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM+_MESSAGES HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ Messages Files to delete: C:\WINDOWS\system32\wvurpnm.dll C:\WINDOWS\system32\hjkmp.ini C:\WINDOWS\system32\psaopjup.dll C:\WINDOWS\system32\squotpvm.dll C:\WINDOWS\system32\hjkmp.ini2 C:\WINDOWS\system32\ysxhpsju.ini C:\WINDOWS\system32\dficon.ico C:\WINDOWS\system32\msicon.ico C:\WINDOWS\system32\sdicon.ico C:\WINDOWS\system32\smicon.ico C:\WINDOWS\system32\cficon.ico C:\WINDOWS\system32\hjkmp.bak2 C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\amcompat.tlb C:\WINDOWS\system32\nscompat.tlb C:\WINDOWS\system32\ujsphxsy.dll C:\WINDOWS\system32\hjkmp.tmp C:\WINDOWS\system32\ClickToFindandFixErrors_Intl.ico C:\WINDOWS\system32\unsvchosts.lzma C:\WINDOWS\system32\opnklmm.dll C:\WINDOWS\system32\pmkjh.dll C:\WINDOWS\system32\fccdcbb.dll C:\WINDOWS\system32\winbue32.dll Folders to delete: C:\Programme\Outerinfo C:\Programme\Gemeinsame Dateien\{80E2FFED-0A6D-1031-0712-060103060031}

scanne mit Dr.Web Antivirus