AdobeRd9.0.exe - mit Antivirus-Programm nicht zu entfernen

ringo · 30.06.2008, 16:09

Hallo,

habe mir in der letzten Woche über meinen USB-Stick einen Virus eingefangen, welcher unter dem Namen AdobeRd9.0.exe zusammen mit den versteckten Dateien autorun.inf und services.exe auf Laufwerk C: liegt.

C:\AdobeRd9.0.exe
C:\autorun.inf
C:\scene.exe

Antivir, Kaspersky und F-Secure Online Scan finden und löschen ihn auch, jedoch erscheint er nach 1 Sekunde wieder. Leider gibt es kaum Informationen zu ergooglen, die mir bisher weiterhelfen konnten. Auch eine realistische Gefährundungseinschätzung ist nicht zu bekommen.

Es wurde bereits ein Beitrag dazu gepostet auch mit den entsprechenden Screenshots allerdings hatte sich dort das Problem denkbar ungünstig erledigt, indem der infizeirte Rechner neu formatiert werden musste. Hoffe es hat jemand eine weniger drastische Lösung für das Problem.

Um einen ersten überblick zu verschaffen, hier einmal den HijackThis-Log

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:07:14, on 30/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\services.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINDOWS\system32\hpnra.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\****\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: run=C:\WINDOWS\services.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\system32\hpnra.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Microsoft Windows Update Client] C:\WINDOWS\services.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - h**p://support.f-secure.com/ols/fscax.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe

--
End of file - 3409 bytes

Sowie das Ergbnis von VirusTotal:

Code:

ATTFilter

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - HEUR/Malware
Authentium - - -
Avast - - Win32:Rootkit-gen
AVG - - Generic10.AMAT
BitDefender - - BehavesLike:Win32.Malware
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - Win32:Rootkit-gen
Ikarus - - Virus.Win32.Rootkit
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - probably unknown NewHeur_PE virus
Norman - - -
Panda - - Suspicious file
Prevx1 - - -
Rising - - Suspicious.Trojan.Win32.Downldr.a
Sophos - - Mal/Behav-232
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Heuristic.Malware
Information additionnelle
MD5: 1f2e2798f95710d07c7abe1a5b3fb9f7
SHA1: 63d662b7291cfabea62a28e22e668d1e043ee92e
SHA256: 74dd21884f0b89db1c7cc46082f7d4f75568e8e829a9f80b1b 0855391f527a00
SHA512: 7882b949b272aa694c06b39929e66ae6bbf5f58d74fd23485c c79fe4bb2f9a0c8202eb561b0b4997de94f4cfc395512967ef 5e85bca813b9c99fbf1b87d2dcd6

Danke schonmal für jede Hilfe!!

AdobeRd9.0.exe - mit Antivirus-Programm nicht zu entfernen

Plagegeister aller Art und deren Bekämpfung: AdobeRd9.0.exe - mit Antivirus-Programm nicht zu entfernen

AdobeRd9.0.exe - mit Antivirus-Programm nicht zu entfernen

Ähnliche Themen: AdobeRd9.0.exe - mit Antivirus-Programm nicht zu entfernen