Kann kein Anti Wir / Windos Updates mehr installieren

chucky · 30.05.2008, 18:46

hallo zusammen,
seit langem wollte ich wieder mal das anti wir neu installen.
jedoch kommt immer es sei schon installiert und er kann es nicht installieren.
das stimmt jedoch gar nicht. zudem wollte ich windows service pack 2 runterladen. da kommt immer die meldung das es ebenfalls nicht gehe ich sollte mich auf www.howtohell.com oder so informieren.
ich glaube kaum das dies eine meldung von windows ist

es handelt sich eher um einen virus. oder nicht?

anbei habe ich noch folgende logs. für eure hilfe wäre ich mega dankbar.
merci!

Logfile of HijackThis v1.99.1
Scan saved at 19:30:01, on 30.05.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\mysql\data\dhcpcl.exe
C:\mysql\bin\mysqld-nt.exe
c:\recycler\s-1-5-21-1343024091-412668190-682003330-1003\nvsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\WScript.exe
C:\Dokumente und Einstellungen\Sandro\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.domain.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by126fd.bay126.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.apple.com.edgesuite.net/qtinstall.info.apple.com/lupin/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211115166936
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c10.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DHCP Controller (dhcpcl) - Unknown owner - C:\mysql\data\dhcpcl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - c:\recycler\s-1-5-21-1343024091-412668190-682003330-1003\nvsvc.exe" /service (file missing)

Verzeichnis von C:\

30.05.2008 19:15 754'974'720 pagefile.sys
mehr habe ich nicht... ausser 2007 etc.

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C04-3045

Verzeichnis von C:\WINDOWS\system32

30.05.2008 19:16 2'184 wpa.dbl
30.05.2008 19:15 686'248 FNTCACHE.DAT
20.05.2008 03:02 118 MRT.INI
17.04.2008 00:15 6'641 jupdate-1.6.0_05-b13.log
05.04.2008 22:56 19'836'024 MRT.exe
02.04.2008 02:12 314'508 perfh009.dat
02.04.2008 02:12 40'836 perfc009.dat
02.04.2008 02:12 320'094 perfh007.dat
02.04.2008 02:12 49'174 perfc007.dat
02.04.2008 02:12 732'342 PerfStringBackup.INI
22.02.2008 02:33 139'264 javaws.exe
22.02.2008 02:33 69'632 javacpl.cpl
22.02.2008 01:23 135'168 javaw.exe
22.02.2008 01:23 135'168 java.exe
mehr gibts auch hier nicht ausser vom jahr 07

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C04-3045

Verzeichnis von C:\WINDOWS\Prefetch

30.05.2008 19:31 4'936 FIND.EXE-0EC32F1E.pf
30.05.2008 19:31 4'888 CMD.EXE-087B4001.pf
30.05.2008 19:31 230'550 WINRAR.EXE-3588DFE8.pf
30.05.2008 19:30 13'122 NOTEPAD.EXE-336351A9.pf
30.05.2008 19:29 13'650 THIS.EXE-2AE3E2E4.pf
30.05.2008 19:26 86'208 WMIPRVSE.EXE-28F301A9.pf
30.05.2008 19:26 24'228 WSCRIPT.EXE-32960AB9.pf
30.05.2008 19:26 90'628 IEXPLORE.EXE-2CA9778D.pf
30.05.2008 19:22 52'502 UPDATE.EXE-33BF9CDE.pf
30.05.2008 19:21 43'784 SETUP.EXE-1539F901.pf
30.05.2008 19:21 56'880 RUNDLL32.EXE-2E0FDD21.pf
30.05.2008 19:21 87'572 ANTIVIR_WORKSTATION_WINU_DE_H-2CCB21C3.pf
30.05.2008 19:18 52'796 UPDATE.EXE-2E7C315D.pf
30.05.2008 19:17 22'226 UPDATE.EXE-1E5FFEE8.pf
30.05.2008 19:17 29'456 WINDOWSXP-KB905474-DEU-X86.EX-01F1244D.pf
30.05.2008 19:17 110'310 SMARTFTP.EXE-2198279A.pf
30.05.2008 19:17 28'914 WUAUCLT.EXE-399A8E72.pf
30.05.2008 19:17 742'228 NTOSBOOT-B00DFAAD.pf
30.05.2008 19:10 24'684 FRONTPG.EXE-1FD37B50.pf
30.05.2008 19:10 15'048 MSOHTMED.EXE-14B8D6FE.pf
30.05.2008 19:03 9'824 RUNDLL32.EXE-25E291C8.pf
30.05.2008 19:03 62'362 PHOTOSHOP.EXE-0E12974A.pf
30.05.2008 18:53 71'686 ACRORD32.EXE-0EC716D9.pf
30.05.2008 17:59 8'980 DEFRAG.EXE-273F131E.pf
30.05.2008 17:59 29'162 DFRGNTFS.EXE-269967DF.pf
30.05.2008 17:59 365'102 Layout.ini
30.05.2008 17:58 89'906 HELPSVC.EXE-2878DDA2.pf
30.05.2008 17:45 7'098 LOGON.SCR-151EFAEA.pf
30.05.2008 03:00 51'748 WINDOWS-KB833407-X86-DEU.EXE-057AFA68.pf
30.05.2008 03:00 20'752 UPDATE.EXE-2494725E.pf
29.05.2008 03:00 21'256 UPDATE.EXE-2DCDBE19.pf
28.05.2008 18:05 18'566 MSPAINT.EXE-11CBB631.pf
28.05.2008 18:02 18'718 RUNDLL32.EXE-16AA524B.pf
28.05.2008 18:01 19'502 RUNDLL32.EXE-14DB1684.pf
28.05.2008 18:01 19'596 RUNDLL32.EXE-30E2520F.pf
28.05.2008 13:52 20'066 RUNDLL32.EXE-294E81CB.pf
28.05.2008 13:52 18'850 RUNDLL32.EXE-376C3519.pf
28.05.2008 13:52 19'706 RUNDLL32.EXE-225E42EC.pf
28.05.2008 03:00 21'156 UPDATE.EXE-0ECF1716.pf
27.05.2008 18:30 40'682 PROFAX LERNCENTER.EXE-0C37F775.pf
27.05.2008 18:29 129'568 MSIEXEC.EXE-2F8A8CAE.pf
27.05.2008 18:27 8'632 RUNDLL32.EXE-451FC2C0.pf
24.05.2008 20:12 61'422 WINWORD.EXE-3395695A.pf
24.05.2008 20:12 89'432 OUTLOOK.EXE-21C6162B.pf
15.05.2008 13:22 16'128 LOGONUI.EXE-0AF22957.pf
07.05.2008 20:26 46'350 DWWIN.EXE-30875ADC.pf
01.05.2008 15:57 73'450 DUMPREP.EXE-1B46F901.pf
06.04.2008 21:42 9'134 IMAPI.EXE-0BF740A4.pf
48 Datei(en) 3'103'444 Bytes
0 Verzeichnis(se), 17'756'246'016 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C04-3045

Verzeichnis von C:\WINDOWS

30.05.2008 19:25 49'891 svcpack.log
30.05.2008 19:23 552'378 setupapi.log
30.05.2008 19:23 856'159 WindowsUpdate.log
30.05.2008 19:18 14'601 WgaNotify.log
30.05.2008 19:16 0 0.log
30.05.2008 19:16 159 wiadebug.log
30.05.2008 19:16 50 wiaservc.log
30.05.2008 19:16 2'048 bootstat.dat
30.05.2008 03:00 6'555 KB833407.log
29.05.2008 17:43 32'552 SchedLgU.Txt
20.05.2008 03:04 21'105 xpsp1hfm.log
20.05.2008 03:04 15'425 Q329834.log
20.05.2008 03:04 15'956 ntdtcsetup.log
20.05.2008 03:04 26'266 comsetup.log
20.05.2008 03:04 36'517 tsoc.log
20.05.2008 03:04 1'374 imsins.log
20.05.2008 03:04 100'635 iis6.log
20.05.2008 03:04 2'756 ocmsn.log
20.05.2008 03:04 32'240 ocgen.log
20.05.2008 03:04 3'991 msgsocm.log
20.05.2008 03:04 80'373 FaxSetup.log
20.05.2008 03:04 24'018 msmqinst.log
20.05.2008 03:04 16'565 KB823559.log
20.05.2008 03:04 1'374 imsins.BAK
20.05.2008 03:03 15'048 Q329048.log
20.05.2008 03:03 13'247 Q810577.log
20.05.2008 03:03 10'465 Q810833.log
20.05.2008 03:02 7'459 Q811630.log
20.05.2008 03:01 6'280 Q815021.log
20.05.2008 03:01 5'642 Q329441.log
20.05.2008 03:01 2'474 Q329170.log
19.05.2008 09:04 1'611 Q329115.log
19.05.2008 09:04 1'249 Q329390.log
19.05.2008 09:04 960 Q323255.log
19.05.2008 03:00 5'772 KB842773.log
19.05.2008 03:00 4'399 setupact.log
15.05.2008 13:21 95 winamp.ini
03.04.2008 01:10 54'156 QTFont.qfn
04.03.2008 22:31 1'409 QTFont.for
27.02.2008 21:39 499 nsw.log
02.01.2008 16:42 400 ODBC.INI

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C04-3045

Verzeichnis von C:\WINDOWS\tasks

30.05.2008 19:16 6 SA.DAT
30.05.2008 17:15 398 1-Klick-Wartung.job
18.08.2001 16:00 65 desktop.ini

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C04-3045

Verzeichnis von C:\DOKUME~1\****\LOKALE~1\Temp

30.05.2008 19:31 104'722 filelist.txt
30.05.2008 19:21 2'158 jusched.log
30.05.2008 19:10 195 wecerr.txt
30.05.2008 19:09 564'461'568 Photoshop Temp44427734
30.05.2008 18:53 426 AcrEC.tmp
30.05.2008 18:53 2'048'000 AcrE8.tmp
29.05.2008 11:32 2'445 ~WRD0002.doc
28.05.2008 12:42 11'409 FRONTPG.log
28.05.2008 08:37 695 TWAIN.LOG
28.05.2008 08:37 3 Twain001.Mtx
28.05.2008 08:37 156 Twunk001.MTX
27.05.2008 18:30 25'732 AAX68.tmp
24.05.2008 20:12 512 ~DF3990.tmp
19.05.2008 12:46 138'817'536 Photoshop Temp1478478
19.05.2008 09:41 0 is33.tmp
06.05.2008 16:56 2'445 ~WRD0001.doc
06.05.2008 16:55 82'722'816 Photoshop Temp15185332
06.05.2008 16:54 512 ~DF58FF.tmp
04.05.2008 13:28 17'116 home1.htm
01.05.2008 00:31 135'979'008 Photoshop Temp5231
30.04.2008 02:48 65 38D7FD1A.TMP
29.04.2008 16:34 294'801'408 Photoshop Temp8724307
27.04.2008 07:33 70 3EE68A68.TMP
17.04.2008 00:16 0 is3F.tmp
17.04.2008 00:15 0 is3D.tmp
17.04.2008 00:15 585 java_install_reg.log
17.04.2008 00:14 0 java_install.log
17.04.2008 00:14 1'202 java_install_sp.log
17.04.2008 00:13 8'242 jinstall.cfg
17.04.2008 00:12 0 isA.tmp
16.04.2008 23:39 0 is4.tmp
09.04.2008 18:02 31'232 ~WRS3077.tmp
09.04.2008 18:02 2'517 ~WRD0000.doc
07.04.2008 21:37 835'160 IMT21.xml
07.04.2008 21:37 426 IMT20.xml
07.04.2008 21:37 2'036 IMT1F.xml
07.04.2008 21:37 835'160 IMT1E.xml
07.04.2008 21:37 426 IMT1D.xml
07.04.2008 21:37 2'036 IMT1C.xml
07.04.2008 21:37 835'160 IMT1B.xml
07.04.2008 21:37 426 IMT1A.xml
07.04.2008 21:37 2'036 IMT19.xml
07.04.2008 21:37 16'384 ~DF8F4A.tmp
07.04.2008 21:37 835'160 IMT18.xml
07.04.2008 21:37 426 IMT17.xml
07.04.2008 21:37 2'036 IMT16.xml
07.04.2008 21:37 835'160 IMT15.xml
07.04.2008 21:37 426 IMT14.xml
07.04.2008 21:37 2'036 IMT13.xml
07.04.2008 21:37 835'160 IMT12.xml
07.04.2008 21:37 426 IMT11.xml
07.04.2008 21:37 2'036 IMT10.xml
07.04.2008 21:37 16'384 ~DF898A.tmp
07.04.2008 21:31 835'160 IMTE.xml
07.04.2008 21:31 426 IMTD.xml
07.04.2008 21:31 2'036 IMTC.xml
07.04.2008 21:31 835'160 IMTB.xml
07.04.2008 21:31 426 IMTA.xml
07.04.2008 21:31 2'036 IMT9.xml
07.04.2008 21:31 835'160 IMT8.xml
07.04.2008 21:31 426 IMT7.xml
07.04.2008 21:31 2'036 IMT6.xml
07.04.2008 20:03 512 ~DF7579.tmp
06.04.2008 13:32 288'583'680 Photoshop Temp23728869
29.03.2008 00:04 0 WERB0.tmp
24.03.2008 15:47 820 _isdelet.ini
27.02.2008 21:38 835'160 IMT24.xml
27.02.2008 21:38 426 IMT23.xml
27.02.2008 21:38 2'036 IMT22.xml

ich hoffe habe alles : merci für die hilfe!

KarlKarl · 30.05.2008, 19:35

Hi,

da ist ja einiges sehr seltsam:

Zitat:

C:\mysql\data\dhcpcl.exe
O23 - Service: DHCP Controller (dhcpcl) - Unknown owner - C:\mysql\data\dhcpcl.exe

Wieso braucht MySQL einen DHCP Controller?

Zitat:

c:\recycler\s-1-5-21-1343024091-412668190-682003330-1003\nvsvc.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - c:\recycler\s-1-5-21-1343024091-412668190-682003330-1003\nvsvc.exe" /service (file missing)

Wieso hast Du einen Remote Administrator Service im Papierkorb installiert???

Lass die beiden Dateien mal bei VirusTotal auswerten und kopiere die Ergebnisse hierher.

"H+BEDV Datentechnik GmbH" wurde vor Jahren in "Avira" umbenannt, entsprechend veraltet und sinnlos dürfte dein Virenscanner sein. Passt wenigstens zum Betriebssystem, für das es schon drei Servicepacks gibt. Ich würd eben mal formatieren und neu aufsetzen.

Gruß, Karl

Nachtrag: Und das wscript.exe läuft ist auch interessant.

chucky · 30.05.2008, 20:26

also hier die mysql datei:

MD5: 461d8e0ce38d0e307fa832dd3211f4d3
First received: 2006.05.26 20:29:41 (CET)
Datum 2007.04.02 18:26:53 (CET) [>424D]
Ergebnisse 22/32
Permalink: analisis/aa32ad3a1c1bb4b39b0471e69a713b15

und hier dieses file:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.05.30 Win-AppCare/Remadm.241664
AntiVir 7.8.0.25 2008.05.30 SPR/BDoor.JD
Authentium 5.1.0.4 2008.05.29 -
Avast 4.8.1195.0 2008.05.30 -
AVG 7.5.0.516 2008.05.30 Potentially harmful program RemoteAdmin.O
BitDefender 7.2 2008.05.30 -
CAT-QuickHeal 9.50 2008.05.30 -
ClamAV 0.92.1 2008.05.30 PUA.RAT.RAdmin-1
DrWeb 4.44.0.09170 2008.05.30 -
eSafe 7.0.15.0 2008.05.29 -
eTrust-Vet 31.4.5834 2008.05.29 -
Ewido 4.0 2008.05.30 Not-A-Virus.RemoteAdmin.Win32.RAdmin.21
F-Prot 4.4.4.56 2008.05.29 W32/RemoteAdmin.A
F-Secure 6.70.13260.0 2008.05.30 -
Fortinet 3.14.0.0 2008.05.30 RAT/RAdmin
GData 2.0.7306.1023 2008.05.30 -
Ikarus T3.1.1.26.0 2008.05.30 not-a-virus:RemoteAdmin.Win32.RAdmin.21
Kaspersky 7.0.0.125 2008.05.30 not-a-virus:RemoteAdmin.Win32.RAdmin.21
McAfee 5307 2008.05.30 potentially unwanted program RemAdm-RemoteAdmin
Microsoft 1.3520 2008.05.30 RemoteAccess:Win32/GhostRadmin
NOD32v2 3148 2008.05.30 Win32/RemoteAdmin
Norman 5.80.02 2008.05.29 -
Panda 9.0.0.4 2008.05.30 -
Prevx1 V2 2008.05.30 -
Rising 20.46.42.00 2008.05.30 -
Sophos 4.29.0 2008.05.30 RemoteAdmin
Sunbelt 3.0.1139.1 2008.05.29 -
Symantec 10 2008.05.30 Remacc.Radmin
TheHacker 6.2.92.326 2008.05.30 -
VBA32 3.12.6.6 2008.05.30 -
VirusBuster 4.3.26:9 2008.05.30 -
Webwasher-Gateway 6.6.2 2008.05.30 Riskware.BDoor.JD
weitere Informationen
File size: 241664 bytes
MD5...: 50c58cc40ec3748323c23a51d10fea59
SHA1..: 561d44d9599cab85fc714b19e121d0eeb2c5213c
SHA256: 585dcebd6ce73c661e5d212a4d7158a54bb35fdbedeaef1453846da4d07c92c8
SHA512: 09bf47c5930db16a46348ebc14c7231caf94d55057980cd092e52924c053a145
acf7fbf3f5a036a2cc4f573e6a44ccc362a47774e1da4e1e5f7724326114e617
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x140d816
timedatestamp.....: 0x3d3ec4a9 (Wed Jul 24 15:15:53 2002)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xfb7e 0x10000 6.22 b394fc87735d6e803debf2793367f11a
.rdata 0x11000 0x19ec 0x2000 5.04 6ae1b116a38a7fc638a5391b79f15220
.data 0x13000 0x43a0 0x4000 2.04 10d4f06fcabbbdd020a7e967902eb5a0
.rsrc 0x18000 0x23390 0x24000 7.73 c111cabb5f8f34651804c6c0c6e2f34d
.mjg 0x3c000 0x1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 2 imports )
> KERNEL32.dll: HeapReAlloc, GetModuleHandleA, GetModuleFileNameW, LockResource, LoadResource, FindResourceA, LoadLibraryA, VirtualFree, VirtualAlloc, FreeEnvironmentStringsA, UnhandledExceptionFilter, RtlUnwind, HeapAlloc, HeapFree, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, GetModuleFileNameA, TerminateProcess, GetCurrentProcess, GetStringTypeA, GetStringTypeW, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, MultiByteToWideChar, LCMapStringA, LCMapStringW
> USER32.dll: MessageBoxA

( 0 exports )

ich wollte ja schon lang die neusten sp installieren nur kann ich das gar nicht.
und auch kein neues anti vir läst sich installieren. merci für die hilfe!

KarlKarl · 30.05.2008, 20:47

Ich füge hier mal die Details für die andere Datei ein:

Code:

ATTFilter

 File dhcpcl.exe received on 04.02.2007 18:26:53 (CET)
Current status: finished
Result: 22/32 (68.75%)
Compact Compact
Print results Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3 	- 	- 	-
AntiVir 	- 	- 	BDS/ServU-769537.A
Authentium 	- 	- 	-
Avast 	- 	- 	-
AVG 	- 	- 	Potentially harmful program ServU.BX
BitDefender 	- 	- 	Generic.ServU.D019BD4A
CAT-QuickHeal 	- 	- 	ServerFTP.Serv-U.5004 (Not a Virus)
ClamAV 	- 	- 	Trojan.Servu.1
DrWeb 	- 	- 	BackDoor.Servu.5004
eSafe 	- 	- 	suspicious Trojan/Worm
eTrust-Vet 	- 	- 	-
Ewido 	- 	- 	-
F-Prot 	- 	- 	W32/Servu.A
F-Secure 	- 	- 	Backdoor.Win32.ServU-based
FileAdvisor 	- 	- 	-
Fortinet 	- 	- 	W32/Servu.R!tr
Ikarus 	- 	- 	not-a-virus:Server-FTP.Win32.Serv-U.5004
Kaspersky 	- 	- 	not-a-virus:Server-FTP.Win32.Serv-U.5004
McAfee 	- 	- 	potentially unwanted program ServU-Daemon
Microsoft 	- 	- 	-
NOD32v2 	- 	- 	Win32/ServU-Daemon
Norman 	- 	- 	W32/ServU.5_0N
Panda 	- 	- 	Application/ServUBased.A
Prevx1 	- 	- 	-
Sophos 	- 	- 	Troj/Servu-R
Sunbelt 	- 	- 	Backdoor.Usirf
Symantec 	- 	- 	Backdoor.Usirf
TheHacker 	- 	- 	Aplicacion/Riskware.FTP.Serv-U.5004
UNA 	- 	- 	Backdoor.ServU.F846
VBA32 	- 	- 	-
VirusBuster 	- 	- 	-
Webwasher-Gateway 	- 	- 	Trojan.ServU-769537.A
Additional information
MD5: 461d8e0ce38d0e307fa832dd3211f4d3
SHA1: 5e486e19265500cb9382313c84736562fc61f069
SHA256: 79abb7708aca696baad4abafbfaba10b06e178643eb4cfef24ee7e33096aeff0
SHA512: a1de781350fe03bd85608307caa119da492aec3b6eb7bbaa0b324f44425d72f8fa323d726a77e9f29f9f78ba0967ae244e4cadb696abf3306cd22dec84c5cda4

Offensichtlich sind die beide nicht von dir installiert, du hättest ja keinen Grund gehabt, sie so zu "tarnen". Das heißt, dein Rechner ist eine ferngesteuerte Drohne mit einem FTP-Server drauf. Ich möchte garnicht so genau erfahren, was über den FTP von deinem Rechner verbreitet wird, könnte extrem kriminell sein, da droht auch dir Gefängnis. Bitte trenne diesen Rechner sofort (aber wirklich in dieser Sekunde) vom Internet und formatiere die Festplatte. Ist auch zu deinem eigenen Schutz.

chucky · 30.05.2008, 20:52

vielen dank für deine nachricht. habe nun der compi vom internet getrennt.
ist das im ernst so kras?

wie kann man sich denn davor schützen`?
msyql hatte ich früher für eine software gebraucht und ein ftp programm nähmlich smart ftp brauche ich ebenfalls.

also was nun? echt alles neu aufsetzten? meine güüte das kakkt mich aber an.
ist wenn ich die cd einlege und dann neu aufsetzte wirklich alles weg????

grüsse

KarlKarl · 30.05.2008, 20:58

Ja, sehr krass. Übersolche Server werden auch extrem kriminelle Inhalte verbreitet. Z.B. gewisse Filme.

Auf jeden Fall neu installieren. hättest Du das Servicepack 2 bereits vor ein paar Jahren installiert (und eventuell noch ab und wann ma nachgesehen, ob Antivir noch aktuell ist), dann wäre das sehr wahrscheinlich nicht passiert. Ja, bitte neu installieren. Bei der Installation drauf achten, dass formaitert wird und zwar langsam. Falls der Rechner mehrere Platten/Partitionen hat sollten die alle formaitert werden, da wir nicht genau wissen können, wo was gespeichert worden sein könnte. MySQL schön und gut, aber da hat sich der FTP-Server in das Verzeichnis reingesetzt. Und SmartFTP ist auch noch mal was anderes als dieser ServU.

chucky · 30.05.2008, 21:04

wow. extrem nett von dir, dass du mich da aus der möglichen schei***
gerettet hast!

jedoch könnte man mich, sofern da echt etwas schlimmes gemacht worden ist, ja trotzdem durch die IP adresse wieder finden oder?

zudem: wieso merkt man dabei nie etwas? das sollte ich doch irgendwie mitbekommen.

werde nun alles neu install. wie kann ich beim neuinstallierten windows
dann schauen ob nun wirklich alles weg ist und nicht wieder das selbe prob. habe? einfach mit antivir etc... ?

und zu guter letzt:
an dieser leitung sind auch noch andere compis angeschlossen (teils vernetzwerkt) sind diese auch betroffen? alle haben jeweils die neuste version von anti vir drauf und SP2.

ich danke dir MEGA für deine hilfe!

KarlKarl · 30.05.2008, 21:10

Ich weiß natürlich nicht was im einzelnen auf dem Computer abgeht, wie gesagt will das auch nicht wissen. aber es ist bestimmt nichts legales und ehrenhaftes.

Bei der Neuinstallation dies beachten. Damit sollte das schon mal klappen. Dass noch andere Computer vorhanden sind ist gut. Da kannst Du dir bestimmt das Servicepack auf denen runterladen, denn vorher sollte der neu installierte nicht online gehen.

SP2 ist schon mal gut, danach kommen aber noch eine Menge späterer Updates. Ob wirklich alle drauf sind, sollte auch auf den anderen kontrolliert werden. Am einfachsten: Das neue Servicepack 3 installieren, das ist nämlich die Zusammenfassung von allen.

chucky · 30.05.2008, 21:20

alles klar, die andern wurden aber nicht angegriffen? sind jeweils immer auf dem neusten stand.

und eben: kann ich, wenn da etwas los ist jetzt auch noch nachverfolgt werden?

thx

KarlKarl · 30.05.2008, 21:37

Ich kann über die anderen nur sagen, dass es bei denen wesentlich unwahrscheinlicher ist. Wenn der Rechner nicht mehr online geht, dann ist kein Risiko mehr gegeben, dass er im Zuge von Ermittlungen gefunden werden könnte. Rückwirkend für die Vergangenheit halte ich das für weniger wahrscheinlich, kann aber natürlich auch nicht wissen, was für Akten gerade bei der Staatsanwaltschaft auf dem Tisch liegen. Umso wichtiger, dass die Kiste sehr gründlich formaitert wird.

chucky · 01.06.2008, 14:20

so nun hat mein antivir bereits wieder etwas gemeldet. habe die datei mal auswerten lassen. kann ich diese datei freigegebenlassen oder soll sie antivir blokieren? hab sie vorübergehend mal auf block gestellt.

hier das ergebniss:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.05.30 -
AntiVir 7.8.0.26 2008.06.01 -
Authentium 5.1.0.4 2008.06.01 -
Avast 4.8.1195.0 2008.05.31 -
AVG 7.5.0.516 2008.05.31 -
BitDefender 7.2 2008.06.01 -
CAT-QuickHeal 9.50 2008.05.31 -
ClamAV 0.92.1 2008.06.01 -
DrWeb 4.44.0.09170 2008.06.01 -
eSafe 7.0.15.0 2008.05.29 -
eTrust-Vet 31.4.5837 2008.05.30 -
Ewido 4.0 2008.06.01 -
F-Prot 4.4.4.56 2008.06.01 -
F-Secure 6.70.13260.0 2008.06.01 -
Fortinet 3.14.0.0 2008.06.01 -
GData 2.0.7306.1023 2008.06.01 -
Ikarus T3.1.1.26.0 2008.06.01 -
Kaspersky 7.0.0.125 2008.06.01 -
McAfee 5307 2008.05.30 -
Microsoft 1.3520 2008.06.01 -
NOD32v2 3149 2008.05.31 -
Norman 5.80.02 2008.05.30 -
Panda 9.0.0.4 2008.06.01 -
Prevx1 V2 2008.06.01 -
Rising 20.46.62.00 2008.06.01 -
Sophos 4.29.0 2008.06.01 -
Sunbelt 3.0.1139.1 2008.05.29 -
Symantec 10 2008.06.01 -
VBA32 3.12.6.6 2008.06.01 -
VirusBuster 4.3.26:9 2008.05.31 -
Webwasher-Gateway 6.6.2 2008.06.01 -
weitere Informationen
File size: 398336 bytes
MD5...: 59cdb2d1ee19908ab3d988d9d1e8f8cf
SHA1..: e279a06bdc930d07689ec3e10c27e141b90088b0
SHA256: c4ce3afe12ad3e64dc6e218d56fd6ab747d843ed436a2b11e86f3ea365403d38
SHA512: a725c04147306876492074553889b4a3312e83ce85479574f11d4460b3b8ba35
a732168643fa69e2df82c8be4f58dd1a541a8668caada458061fee8fd88fcd0e
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41242d
timedatestamp.....: 0x480cd1b7 (Mon Apr 21 17:41:11 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x11b62 0x11c00 6.63 80dbfe6261a0aa5074358bb34b3c8055
.rdata 0x13000 0x3b132 0x3b200 4.75 44cdac993d1b747e83503605f26bdc10
.data 0x4f000 0x17040 0x13e00 4.32 3cfa366e8eda1566716d9bc68f59b88f
.rsrc 0x67000 0x2b0 0x400 5.20 1f6c603253fcc3730d9a15cb448c31cd

( 3 imports )
> WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCR90.dll: _get_osfhandle, _fstat64i32, _stat64i32, _open_osfhandle, rename, malloc, strspn, strchr, strstr, strpbrk, strncmp, memcmp, memmove, memchr, free, sscanf, _localtime64, strcspn, _amsg_exit, __getmainargs, _cexit, strerror, _XcptFilter, __initenv, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, _encode_pointer, __set_app_type, _unlock, __dllonexit, _lock, _onexit, _decode_pointer, _crt_debugger_hook, _getcwd, _except_handler4_common, _invoke_watson, _controlfp_s, puts, sprintf, strncpy, memset, _time64, memcpy, fflush, strrchr, __iob_func, strcmp, fopen, strtoul, fprintf, signal, strftime, fclose, fgets, strlen, getc, ungetc, ferror, fread, abort, exit, feof, fwrite, strcpy, fputs, _open, _exit, _terminate@@YAXXZ, _strdup, _mkdir, _getpid, _stricmp, _strnicmp, _unlink, _lseek, _read, _write, _close
> KERNEL32.dll: GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, InterlockedExchange, SetCurrentDirectoryA, GetFullPathNameA, FlushViewOfFile, CreateFileA, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, CloseHandle, GetVersionExA, GetTempPathA, FormatMessageA, SetLastError, UnlockFile, LockFileEx, LockFile, GetLastError, Sleep, SystemTimeToFileTime, GetSystemTimeAsFileTime, GetCurrentProcessId

( 0 exports )

KarlKarl · 01.06.2008, 18:20

Schon neu installiert?

Ich kann in dem Virustotalergebnis nichts besonders schlimmes entdecken, bei dne Importen stehen ein paar Funktionen, bei denen ich mich frage, wofür die wohl gebraucht werden, aber das muss so nichts heißen. Mehr kann man damit auch nicht anfangen, da eine Menge wichtige Informationen fehlen: Wie heißt die Datei, wo auf deinem System gibt es sie, was meldet Antivir für sie?

Kann kein Anti Wir / Windos Updates mehr installieren

Log-Analyse und Auswertung: Kann kein Anti Wir / Windos Updates mehr installieren