Datei gnc.exe empfangen 2009.04.13 22:15:15 (CET)Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.13 -
AhnLab-V3 5.0.0.2 2009.04.13 -
AntiVir 7.9.0.138 2009.04.13 -
Antiy-AVL 2.0.3.1 2009.04.13 -
Authentium 5.1.2.4 2009.04.13 W32/Heuristic-210!Eldorado
Avast 4.8.1335.0 2009.04.13 -
AVG 8.5.0.285 2009.04.13 Suspicion: unknown virus
BitDefender 7.2 2009.04.13 -
CAT-QuickHeal 10.00 2009.04.13 Trojan.Agent.IRC
ClamAV 0.94.1 2009.04.13 -
Comodo 1112 2009.04.13 -
DrWeb 4.44.0.09170 2009.04.13 -
eSafe 7.0.17.0 2009.04.13 Suspicious File
eTrust-Vet 31.6.6453 2009.04.13 -
F-Prot 4.4.4.56 2009.04.13 W32/Heuristic-210!Eldorado
F-Secure 8.0.14470.0 2009.04.13 W32/Packed_FSG.D
Fortinet 3.117.0.0 2009.04.13 -
GData 19 2009.04.13 -
Ikarus T3.1.1.49.0 2009.04.13 -
K7AntiVirus 7.10.700 2009.04.11 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.04.13 -
McAfee 5583 2009.04.13 Generic.dx
McAfee+Artemis 5583 2009.04.13 Generic.dx
McAfee-GW-Edition 6.7.6 2009.04.13 Win32.Malware.gen#FSG (suspicious)
Microsoft 1.4502 2009.04.13 -
NOD32 4004 2009.04.13 -
Norman 6.00.06 2009.04.13 W32/Packed_FSG.D
nProtect 2009.1.8.0 2009.04.13 -
Panda 10.0.0.14 2009.04.13 -
PCTools 4.4.2.0 2009.04.08 Packed/FSG
Prevx1 V2 2009.04.13 -
Rising 21.25.04.00 2009.04.13 -
Sophos 4.40.0 2009.04.13 Mal/Packer
Sunbelt 3.2.1858.2 2009.04.13 VIPRE.Suspicious
Symantec 1.4.4.12 2009.04.13 -
TheHacker 6.3.4.0.306 2009.04.12 -
TrendMicro 8.700.0.1004 2009.04.13 Cryp_Bits
VBA32 3.12.10.2 2009.04.12 suspected of Unknown.Win32Virus
ViRobot 2009.4.13.1690 2009.04.13 -
VirusBuster 4.6.5.0 2009.04.13 -
weitere Informationen
File size: 5737 bytes
MD5...: 7fa0c6976717e19449d887ebc6fcafe5
SHA1..: 73f6326379ce1e6ba89ce707d8527f0f3619e5aa
SHA256: a70627d5cedd9795317e8fe7bfbe918ba8ac19fccd835efec9621e80c5a87f29
SHA512: ba2491682c0c11bb7bc5cc27c2fb8c05649dfd1bd5530a968ddf931daaf6ab5d<BR>a521e29d124bc4ed885453cdfe52f92d86b00c0d668862dc715a6f745302c031
ssdeep: 96:Dup1/dF4gGbFALbZ4rZR6CvPi9AXSQ5DVrGyV9wUEpBWQPCBlsQ9zusYyJJuh<BR>y:DCYgGBALbY9Hi9AXSQ5DVrGAwU8Bq9OM<BR>
PEiD..: FSG v2.0 -> bart/xt
TrID..: File type identification<BR>Win32 Executable Generic (67.9%)<BR>Generic Win/DOS Executable (15.9%)<BR>DOS Executable Generic (15.9%)<BR>Targa bitmap (Original TGA Format) (0.0%)<BR>MS Flight Simulator Aircraft Performance Info (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x154<BR>timedatestamp.....: 0xfeedcafeL (invalid)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>_@ 0xf000 0x2000 0x1469 7.74 953703f2c5df847ee06d577243633736<BR><BR>( 1 imports ) <BR>> KERNEL32.dll: LoadLibraryA, GetProcAddress<BR><BR>( 0 exports ) <BR>
RDS...: NSRL Reference Data Set<BR>-
packers (Kaspersky): FSG
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=7fa0c6976717e19449d887ebc6fcafe5' target='_blank'>http://www.threatexpert.com/report.aspx?md5=7fa0c6976717e19449d887ebc6fcafe5</a>
packers (F-Prot): FSG, UPX
packers (Authentium): FSG, UPX
@Burgeule:
http://www.malte-wetz.de/index.php?viewPage=sec-removal.html
Eventuel weist Du nun,warum ich bei schadpogrammen immer formatieren empfehle.Nur mögen dies bestimmte leute nicht sonderlich.
@Burgeule:
http://www.malte-wetz.de/index.php?viewPage=sec-removal.html
Eventuel weist Du nun,warum ich bei schadpogrammen immer formatieren empfehle.Nur mögen dies bestimmte leute nicht sonderlich.
@w
Danke habe deinen Link schon vor einigen Tagen mir angesehen.
Mir ist die Vorgehensweise bei Befall bekannt.
LG Burgeule
@ W
das lass mal den TO entscheiden!!
Starte HijackThis-->open misc tool selection klicken-->nun klicke auf delete a file on reboot
Suche dir nun folgende Einträge aus der Code-Box
C:\WINDOWS\system32\gnc.exe
Beantworte die Frage zum Neustarterst nach der letzten Datei mit YESAnsonsten immer mit NO antworten
Schritt 2
Kaspersky OnlineScanner
- Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
- Java muss installiert, aktiv und erlaubt sein
- Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
- Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
- Die Datenschutzerklärung akzeptieren.
- Programm installieren lassen.
- Update der Signaturen installieren lassen.
- Wenn der Status "Complete" ist,
- Scan-Einstellungen (Settings) Standard lassen
- Links den Link "My Computer" anklicken.
- Scan beginnt automatisch.
- Wenn der Scan fertig ist, auf "View scan report" klicken,
- "Save report as" und Dateityp auf .txt umstellen,
- und auf dem Desktop als Kaspersky.txt speichern.
- Logdatei hier posten.
- Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.
F-Secure Online Scanner[/b]
- Voraussetzung: Funktioniert ausschließlich mit dem Internet Explorer 6.0 oder höher
- Start scanning
- ActiveX-Steuerelement installieren lassen
- Deutsch einstellen
- Lizenz annehmen
- Scan-Optionen einstellen
- Vollständiger Systemscan
- Die nötigen Scanner-Komponenten und Signaturen werden heruntergeladen
- Scan beginnt automatisch
- Scanende
- Bei Funden benutze => Automatische Bereinigung
- Bericht anzeigen
- Menü => Datei speichern unter
- Dateityp auf Text umstellen
- auf dem Desktop als f-secure.txt speichern
- Log hier posten.
Eset OnlineScan (NOD32)
- Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
- Voraussetzung: Internet Explorer (IE) 5.0 oder höher
- Haken bei "YES, I accept the Terms of Use" machen
- Start
- ActiveX-Steuerelement installieren
- Start
- Signaturen werden heruntergeladen
- Haken machen bei "Remove found threads"
- Haken machen bei "Remove found threads" und "Scan unwanted applications"
- Scan
- Scanende
- Browser schließen
- Explorer öffnen
- C:\Programme\EsetOnlineScanner\log.txt
- Log hier posten
Ich geh jetzt ins bett
@Sally1983
Sach mal, merkst Du es noch. ???
Seit 15 Std. führst du Anweisungen vom Rettungspersonal für Windows aus ohne jegliche Gewissheit, ob Du auf diese Art jemals ein funktionierendes und Vertrauenswürdiges System erhältst.
Ich kann dir versichern, Du hast auf diese Art und Weise sicher dazu gelernt wie man/frau eine erneute Infektion mit Zauberei und Voodoo-Mitteln sein System reinigt.
Im Anhang von mir einen Buchtipp (sehr preisgünstig) welches ich dann immer empfehle.
Ich persönlich bevorzuge aber den Rat der Weisen, besorge dir AcronisTrue Image, installiere dein System neu mit allem Drum und Drann.
Danach erstellst Du ein Image welches auf einer anderen Partition gespeichert wird.
So hast Du im Infektionsfall ein in ca. 20 Min. zurück gespieltes neues und vertrauensvolles System.
LG Burgeule
Burgeule
Gehts dir noch gut?
erneute Infektion mit Zauberei und Voodoo-MittelnIch weis zwar nicht was du willst aber eins kann ich dir sagen
Sogenannte Wundermittel sind die von Symantec oder Heise empfohlenen Tools zum entfernen von z.B conficker
Unsere hier verwendeten Remover sind bislang sehr erfolgreich verwendet worden und bestehen auch aus viel Arbeit,genau so wie dein AntiVir Programm und was weis ich was du noch auf deinen System hast
Denkste nicht das auch diese Tools immer am neuesten Stand sind
MalwareBytes und Spybot lese ich hier des öfteren als Schutz
Was sollten die dann noch bringen?
Was bringt dann eigentlich ein AVP?
Für das dass du zu unkompetent bist um solche dinger am Stand der Technik zu entfernen,dafür kann hier niemand was
Also spar dir einfach solche Posts
Von mir aus schick sowas per PN weiter
Wer keine Ahnung hat einfach mal **** halten
@Sally
Lass Kaspersky mal
mach mit den anderen weiter
Burgeule
Gehts dir noch gut?
Für das dass du zu unkompetent bist um solche dinger am Stand der Technik zu entfernen,dafür kann hier niemand was
Also spar dir einfach solche Posts
Von mir aus schick sowas per PN weiter
@Larusso
Schade,Du hast so gut hier angefangen.
Leider bist Du jetzt aber nur noch Arrogant und ohne Selbstkritik.
Deine Dummschwätzereinehme ich dir nicht übel, weil Kinder eben manchmal über Stränge schlagen.
Mit zunehmender Weisheit legt sich das Übel aber.
Gott sei Dank.
LG Burgeule
@Burgeule
Toll Deine Ratschläge, aber von mir nicht gewünscht!!!!!!
Bitte halte Dich aus diesem Thread raus - Danke.
@Larusso
Ich kann jetzt erst weiter machen, meine Netverbindung wollte nicht - lag aber bei Tele2.
Jetzt läufts wieder, auf geht.
Ach ja, und an dieser Stelle mal erwähnt, ich bin echt dankbar, daß Du mir hilfst!
@Burgeule
Toll Deine Ratschläge, aber von mir nicht gewünscht!!!!!!
Bitte halte Dich aus diesem Thread raus - Danke.
Das werde ich mit Sicherheit nicht machen.
Kennst Du die Lebensweisheit:
Gegen Dummheit kämpfen selbst Götter vergebens.
Du setzt dein System schon noch Neu auf, da habe ich keine Zweifel drann.
Burgeule
So nun endlich:
Scanning Report
Tuesday, April 14, 2009 17:43:38 - 19:13:07
Computer name: CELINA
Scanning type: Scan system for malware, rootkits
Target: C:\
------------------------------------------------------------------------
Result: 2 malware found
TrackingCookie.Imrworldwide
<http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Imrworldwide&orig='disk'>
(spyware)
* System
TrackingCookie.Webtrends
<http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Webtrends&orig='disk'>
(spyware)
* System
------------------------------------------------------------------------
Statistics
Scanned:
* Files: 25063
* System: 3049
* Not scanned: 6
Actions:
* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 2
* Submitted: 0
Files not scanned:
* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
------------------------------------------------------------------------
Options
Scanning engines:
* F-Secure USS: 3.0.0
* F-Secure Hydra: 3.8.9080, 2009-04-14
* F-Secure AVP: 7.0.171, 2009-04-14
* F-Secure Pegasus: 1.20.0, 1970-00-01
* F-Secure Blacklight: 0.0.0
Scanning options:
* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT
VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM
ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK
WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML
PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP
MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics
------------------------------------------------------------------------
Copyright © 1998-2007 Product support
<http://support.f-secure.com/> |Send virus sample to
F-Secure
<http://support.f-secure.com/enu/home/virusproblem/sample/>
F-Secure assumes no responsibility for material
created or published by third parties that F-Secure
World Wide Web pages have a link to. Unless you have
clearly stated otherwise, by submitting material to
any of our servers, for example by E-mail or via our
F-Secure's CGI E-mail, you agree that the material you
make available may be published in the F-Secure World
Wide Pages or hard-copy publications. You will reach
F-Secure public web site by clicking on underlined
links. While doing this, your access will be logged to
our private access statistics with your domain
name.This information will not be given to any third
party. You agree not to take action against us in
relation to material that you submit. Unless you have
clearly stated otherwise, by submitting material you
warrant that F-Secure may incorporate any concepts
described in it in the F-Secure products/publications
without liability.
So, hier der Eset scan, hat ja ewig gedauert der Kram...
# version=4
# OnlineScanner.ocx=1.0.0.635
# OnlineScannerDLLA.dll=1, 0, 0, 79
# OnlineScannerDLLW.dll=1, 0, 0, 78
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=4006 (20090414)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=885c3faa45f2a6489dba3393c1c95adc
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2009-04-14 06:28:30
# local_time=2009-04-14 08:28:30 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# osver=5.1.2600 NT Service Pack 3
# scanned=584687
# found=1
# scan_time=3479
C:\Dokumente und Einstellungen\Chrischi\Lokale Einstellungen\Temp\NERO1003378\unit_app_75\Toolbar.exe Win32/Toolbar.AskSBar application (unable to clean - deleted) 00000000000000000000000000000000
« Win XP: Internet Seitenaufbau sehr langsam | Windows XP: Trojaner » | ||