Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: cia.cdc - Malware ??

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.04.2008, 18:54   #1
sammm
 
cia.cdc - Malware ?? - Standard

cia.cdc - Malware ??



Guten Abend !

Nachdem mein Mann offenbar von gestern auf heute sein Notebook teil-gecrasht hat, suchen wir nach der Ursache.

Symptom: Works-Dateien (ältere wie neu erstellte) lassen sich nicht mehr öffnen (dadurch fiel es auf), sind angeblich beschädigt. Öffnet man sie per Editor oder Notepad, ist nicht mehr der komplette Inhalt vorhanden, dafür aber jede Menge "Hyroglyphen". Ätzend - denn gestern abend hatte mein Mann einige wichtige Geschäftsbriefe geschrieben, die sich so heute nicht öffnen / ausdrucken ließen. Die Dateien haben wohl (alle) einen Hau abbekommen, jedenfaölls nutzt es nichts, sie auf einem anderen PC zu öffnen - selbe Symptomatik.

Erster Schritt war nun einfach ein Check mit Antivir.

Antivir "findet" c:/system.sav/util/cia.cdc

und fragt, was er damit machen soll. Ich habe gegooglet bin aber aus den wenigen (englischen) Texten, die ich gefunden habe, nicht wirklich schlau geworden.

Kann uns jemand weiterhelfen ?

Danke und VG,
Sammmm

Alt 22.04.2008, 19:06   #2
BataAlexander
> MalwareDB
 
cia.cdc - Malware ?? - Standard

cia.cdc - Malware ??



Hmm, sieht ernst aus.

Versuchen wir

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
__________________


Alt 22.04.2008, 19:23   #3
sammm
 
cia.cdc - Malware ?? - Standard

cia.cdc - Malware ??



OK, danke, mache ich.

Antivir fand noch c:/system.sav/util/cia.us

Prüfung läuft, melde mich später !

Danke !
__________________

Alt 22.04.2008, 20:49   #4
sammm
 
cia.cdc - Malware ?? - Standard

cia.cdc - Malware ??



ComboFix 08-04-20.5 - xxx 2008-04-22 20:26:30.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.135 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\setup.inf
E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-22 bis 2008-04-22 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-22 18:33 --------- d-----w C:\Programme\Steam
2008-04-22 06:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-04-19 18:55 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-19 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-04-19 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SBSI
2008-04-19 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-04-19 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-04-19 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Infineon
2008-04-19 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpqLog
2008-04-19 18:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-13 10:13 --------- d-----w C:\Programme\StarMoney 5.0 APO-Edition Vollversion
2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Template
2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\SampleView
2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PlayFirst
2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Jasc Software Inc
2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Infineon
2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ChessBase
2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\AtomPark
2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ATI
2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\AdobeUM
2008-03-22 19:39 --------- d-----w C:\Programme\Access Viewer
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-01 19:19 --------- d-----w C:\Programme\Sonic
2008-03-01 19:19 --------- d-----w C:\Programme\ProtectTools
2008-03-01 19:19 --------- d-----w C:\Programme\Programmverknüpfungen
2008-03-01 19:18 --------- d-----w C:\Programme\Outlook Express Datensicherung
2008-03-01 19:18 --------- d-----w C:\Programme\Online-Dienste
2008-03-01 19:18 --------- d-----w C:\Programme\MSXML 4.0
2008-03-01 19:18 --------- d-----w C:\Programme\Microsoft Works
2008-03-01 19:18 --------- d-----w C:\Programme\microsoft frontpage
2008-03-01 19:18 --------- d-----w C:\Programme\Lexmark
2008-03-01 19:17 --------- d-----w C:\Programme\Java
2008-03-01 19:16 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-01 19:16 --------- d-----w C:\Programme\Jasc Software Inc
2008-03-01 19:16 --------- d-----w C:\Programme\InterVideo
2008-03-01 19:16 --------- d-----w C:\Programme\HPQ
2008-03-01 19:16 --------- d-----w C:\Programme\Hp
2008-03-01 19:16 --------- d-----w C:\Programme\Hewlett-Packard
2008-03-01 19:10 --------- d-----w C:\Programme\DTP
2008-03-01 19:10 --------- d-----w C:\Programme\DIFX
2008-03-01 19:10 --------- d-----w C:\Programme\Dell Computer
2008-03-01 19:10 --------- d-----w C:\Programme\Dell 720
2008-03-01 19:10 --------- d-----w C:\Programme\CONEXANT
2008-03-01 19:10 --------- d-----w C:\Programme\ChessBase
2008-03-01 19:10 --------- d-----w C:\Programme\CCleaner
2008-03-01 19:10 --------- d-----w C:\Programme\AuthenTec
2008-03-01 19:10 --------- d-----w C:\Programme\AtomPark
2008-03-01 19:09 --------- d-----w C:\Programme\ATI Technologies
2008-03-01 19:09 --------- d-----w C:\Programme\Analog Devices
2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ------w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 08:55 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 05:44 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-01-06 04:51 56 --sha-w C:\WINDOWS\SMINST\hpboot.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 10:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-19 23:42 68856]
"Steam"="C:\Programme\Steam\Steam.exe" [2008-03-29 10:44 1271032]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 11:11 925696]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 15:06 716800]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"PTHOSTTR"="C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.exe" [2006-02-14 11:56 122880]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-31 05:20 122940]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 18:01 761946]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-03-28 14:13 454656]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 20:12 17920]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-23 11:38 131072]
"Cpqset"="C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe" [2006-04-21 09:30 40960]
"Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 16:51 1187840]
"Reminder"="C:\WINDOWS\Creator\Remind_XP.exe" [2006-03-09 17:38 806912]
"Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-02-15 17:43 892928]
"WatchDog"="C:\Programme\InterVideo\DVD Check\DVDCheck.exe" [2006-03-31 14:58 184320]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-22 18:18 262401]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"PVR Agent"="C:\Programme\V-Stream\PVR Plus\TVR\Scheduled.exe" [2003-11-24 12:14 729088]
"emMON"="emMON.exe" [2006-05-30 21:24 61440 C:\WINDOWS\emMON.exe]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 10:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
IfxWlxEN.dll 2006-03-03 17:08 434176 C:\WINDOWS\system32\IfxWlxEN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 20:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\AtomPark\\Atomic Email Hunter\\AtomicEmailHunter.exe"=

R1 PersonalSecureDrive;PersonalSecureDrive;C:\WINDOWS\system32\drivers\psd.sys [2005-11-29 18:56]
R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe [2004-08-04 10:00]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-10-21 13:19]
S3 USB28xxBGA;USB 2820 Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-09-12 21:21]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-08-21 23:38]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASChannel

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-22 20:31:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

C:\WINDOWS\explorer.exe [1240] 0x84455C88

Scanne versteckte Autostart Eintr„ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe??@?????????????,?@??????X??????R?@?????,?@

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\HPQ\IAM\Bin\asghost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-22 21:20:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-22 19:19:33

11 Verzeichnis(se), 444,542,976 Bytes frei
16 Verzeichnis(se), 1,371,009,024 Bytes frei

185 --- E O F --- 2008-04-11 10:21:25

Alt 22.04.2008, 21:18   #5
BataAlexander
> MalwareDB
 
cia.cdc - Malware ?? - Standard

cia.cdc - Malware ??



Es sind aber nur die Works Dateien betroffen?

F-Secure Blacklight - Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Benennen die Datei um (Beispiel: test.com)
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

GMER - Rootkit Detection

* Lade GMER von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt
* Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Module, -Processes, -Threads, -Libraries


* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

SDFIX ausführen

Download SDFix und speichere es auf dem Desktop.
Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken
(X = Dein Windowslaufwerk)
  • Bitte starte Deinen Pc im abgesicherten Modus neu
  • Starte den PC neu
  • Nachdem dein Rechner einmal bei starten gepiept hat, bevor das Windows Logo erscheint, drücke die F8 Taste mehrfach
  • Anstatt Windows normal zu starten wird ein Menü erscheinen
  • Wähle die Option "Starte Windows im abgesicherten Modus", dann drücke "Enter"
  • Wähle Deinen Anmeldenamen
  • Im abgesicherten Modus, gehst Du zum SDFix Ordner X:\SDFix (X = Dein Windowslaufwerk)
  • Öffne den Ordner und doppelklicke die Datei RunThis.bat um das Script zu starten
  • Drücke "Y" um das Script zu starten.
  • Es entfernt bösartige Dienste und repariert die Registry. Wenn es durchgelaufen ist, bittet es eine Taste zu drücken um zu rebooten.
  • Drücke eine Taste um zu reboooten.
  • Dein System wird länger brauchen um jetzt wieder im normalen Modus zu starten, denn das fixtool startet mit und löscht noch einige Dateien.
  • Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden.
  • Jetzt öffne den SDFix Ordner auf Deinem Desktop und copy & paste den Inhalt der Report.txt in Deinen Thread.


Alt 23.04.2008, 00:07   #6
sammm
 
cia.cdc - Malware ?? - Standard

cia.cdc - Malware ??



Zumindest sind uns bislang nur Works-Dateien aufgefallen. Ich hatte auch nicht ernsthaft an einen Virus gedacht, eher an einen Works-Crash. Bis dann Antivir diesen CIA meldete.

F-Secure Blacklight - Rootkitscanner: Meldet, daß er nichts findet. Das einzige was ich kopieren kann, ist die Textdatei, aber ich denke, die meinst Du nicht ?!

04/22/08 23:37:53 [Info]: BlackLight Engine 1.0.70 initialized
04/22/08 23:37:53 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/22/08 23:37:53 [Note]: 7019 4
04/22/08 23:37:53 [Note]: 7005 0
04/22/08 23:37:57 [Note]: 7006 0
04/22/08 23:37:57 [Note]: 7011 1336
04/22/08 23:37:57 [Note]: 7035 0
04/22/08 23:37:57 [Note]: 7026 0
04/22/08 23:37:57 [Note]: 7026 0
04/22/08 23:37:58 [Note]: FSRAW library version 1.7.1024
04/22/08 23:43:47 [Note]: 2000 1012
04/23/08 00:27:11 [Note]: 7007 0


Jetzt den nächsten Schritt - melde mich wieder !

Danke !
Sammmm

Alt 23.04.2008, 00:30   #7
sammm
 
cia.cdc - Malware ?? - Standard

cia.cdc - Malware ??



GMER - Rootkit Detection

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-04-23 01:28:19
Windows 5.1.2600 Service Pack 2


---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D
@DisplayName ??
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D
@DeviceDesc ??
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D
@ProviderName ???????
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D
@MFG ?????
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D
@ReinstallString .10.1000.6
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D
@DeviceInstanceIds c:\swsetup\vid1\sbdrv\smbus\smbusati.inf
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MT_\xb7ÂËÎ_GB2312 ????_GB2312
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MT_\xbf\xacÌå_GB2312 ????_GB2312
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MT_\xb2Ó\xa9úÅé ??????
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MT_\xb7s\xb2Ó\xa9úÅé ?s??????
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MT_\xbcÐ\xb7\xa2Åé ??????
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MD_\xb9ÙÅÁÃ\xbc ??????
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MD_µ\xb8\xbfòÃ\xbc ??????
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MD_\xb1\xbc\xb8\xb2Ã\xbc ??????
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MD_\xb1Ã\xbc\xadÃ\xbc ??????
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MD_\xb9ÙÅÁ ????
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MD_µ\xb8\xbfò ????
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MD_\xb1\xbc\xb8\xb2 ????
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes@MD_\xb1Ã\xbc\xad ????

---- EOF - GMER 1.0.14 ----



ömpf .... sieht ja schon beängstigend aus ....

nächster Schritt folgt ...

Alt 23.04.2008, 01:20   #8
sammm
 
cia.cdc - Malware ?? - Standard

cia.cdc - Malware ??



SDFIX:

SDFix: Version 1.173
Run by xxx on 23.04.2008 at 01:50

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\sdfix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-23 01:59:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\AtomPark\\Atomic Email Hunter\\AtomicEmailHunter.exe"="C:\\Programme\\AtomPark\\Atomic Email Hunter\\AtomicEmailHunter.exe:*:Enabled:Atomic Email Hunter"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\sdfix\backups\backups.zip

Files with Hidden Attributes :

Sat 6 Jan 2007 56 A.SH. --- "C:\WINDOWS\SMINST\hpboot.sys"
Sat 9 Jun 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Fri 3 Aug 2007 1,415,168 A..H. --- "C:\Programme\AtomPark\Atomic Email Hunter\remove\out.exe"

Finished!


Huhu !

Also wenn ich nicht ganz blöd bin, hat er nichts gefunden ?

Bleibt die Frage, warum Works nicht mehr vernünftig speichert (das checke ich morgen - ähm später) und was die "CIA"-Dateien sind oder sollen ....

Gute Nacht !
Sammmm

Alt 23.04.2008, 08:31   #9
BataAlexander
> MalwareDB
 
cia.cdc - Malware ?? - Standard

cia.cdc - Malware ??



Zitat:
Zitat von sammm Beitrag anzeigen
Also wenn ich nicht ganz blöd bin, hat er nichts gefunden ?
Kein Programm hat was gefunden. Allerdings bekomme ich im Netzt zwei Aussage zu dem cia.cdc Ordner.
Einmal kann er Teil des Rustock Rootkits sein, beim anderen wird er gar nicht beachtet und ist ungefährlich.
Poste doch mal das Antivir Log, unter Berichte zu finden.

Antwort

Themen zu cia.cdc - Malware ??
andere, anderen, angeblich, ausdrucken, check, editor, einfach, erstell, guten, heute, inhalt, komplette, malware, neu, nicht mehr, nicht mehr öffnen, nicht öffnen, nichts, notebook, nutzt, suche, texte, vorhanden, weiterhelfen, wichtige, wirklich, öffnen



Ähnliche Themen: cia.cdc - Malware ??


  1. Unistall-Vo-package (Malware/Virus?) bei Win7 64 bit /Malware-Adware gelöscht -Danke!
    Lob, Kritik und Wünsche - 06.07.2014 (1)
  2. GDATA und Malware Bytes Anti Malware Premium sinnvoll
    Antiviren-, Firewall- und andere Schutzprogramme - 20.06.2014 (1)
  3. Win7, firefox startet nicht, Malware laut Malwarebytes Anti-Malware, Security.Hijack
    Log-Analyse und Auswertung - 30.03.2014 (9)
  4. Malware Anti-Malware Scan meldet: pup.optional.opencandy
    Log-Analyse und Auswertung - 06.03.2014 (15)
  5. Trojaner und Malware auf meinem Laptop! Malwarebytes Anti-Malware hat 733 aufgespuert
    Plagegeister aller Art und deren Bekämpfung - 12.12.2013 (19)
  6. malware: antivirus security pro -anty-malware lässt sich nicht installieren
    Plagegeister aller Art und deren Bekämpfung - 03.10.2013 (15)
  7. Malware trotz OS X Internet Reccovery - VM Malware? Ubuntu in EFI ? Win7 im gleichen Netz infiziert
    Alles rund um Mac OSX & Linux - 26.06.2013 (5)
  8. Malware Yontoo // Malwarebytes-Anti-Malware-Programm keine identifizierte Datei gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.03.2013 (14)
  9. email link Malware Funde Heur.PE@4294967295, Malware@#nwdk01o66rpro, Malware@#2x6qrvr63cjrw
    Plagegeister aller Art und deren Bekämpfung - 29.10.2012 (10)
  10. OpenCandy [Malware] auf dem Rechner, aber Anti-Malware Programme finden keine Bedrohung.
    Plagegeister aller Art und deren Bekämpfung - 03.09.2012 (5)
  11. Virus/Malware verhindert Installation/Start jeglicher Anti-Malware/Virusprogramme
    Plagegeister aller Art und deren Bekämpfung - 03.02.2012 (17)
  12. Log-Analyse nach Trojaner/Malware befall (Malware.Trace / Trojan.BHO)
    Log-Analyse und Auswertung - 26.09.2011 (16)
  13. Malware Spyware.passwords.xgen durch Malwarebyte Anti-Malware erkannt.
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (50)
  14. Rätselhafter Mailversand - Malware.Packer.Gen, Trojan.Patched und Malware.Trace
    Plagegeister aller Art und deren Bekämpfung - 03.11.2010 (25)
  15. Malware, die Google-Suche betrifft und Malware-Entfernungsprogramme blockiert
    Plagegeister aller Art und deren Bekämpfung - 03.10.2010 (2)
  16. Kann Malware nicht löschen! Trojan.Agent und Malware.Trace
    Plagegeister aller Art und deren Bekämpfung - 18.06.2010 (19)
  17. werde Malware nicht los z.B. HEUR/HTML.Malware [heuristic
    Log-Analyse und Auswertung - 31.03.2010 (10)

Zum Thema cia.cdc - Malware ?? - Guten Abend ! Nachdem mein Mann offenbar von gestern auf heute sein Notebook teil-gecrasht hat, suchen wir nach der Ursache. Symptom: Works-Dateien (ältere wie neu erstellte) lassen sich nicht mehr - cia.cdc - Malware ??...
Archiv
Du betrachtest: cia.cdc - Malware ?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.