Hallo zusammen,

ich habe eben das programm adware away ausprobiert und bekam folgende meldung:

Search Backdoor Berbew ... Start
Found [1] Backdoor Berbew Objects.
Search Backdoor Berbew ... Finished

ich habe gegoogelt und auf der symantec seite stand das dieser backdoor scharf auf passwörter ist. ich habe keine paßwörter auf der festplatte gespeichert, aber in einigen emails sind welche, könnten diese jetzt bekannt sein ? ich habe kav (normaler modus) und escan im abgesicherten modus laufen lassen, es wurde nichts gefunden. gibt es hinsichtlich adware away diesbezüglich "bekannte" fehlmeldungen ? ich habe mal mein hjt log beigefügt, es wäre nett, wenn jemand mal einen blick darauf werfen könnte, mir ist nichts kritisches aufgefallen, die R0, R1 (netcologne-einträge) sind ok. SP2 habe ich bewußt nochn nicht installiert.
vielen dank im voraus, gruß jochen



Logfile of HijackThis v1.98.2
Scan saved at 20:01:15, on 30.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092984806468
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEAB3DE4-4631-4AF0-BC7E-B6561F0DD555}: NameServer = 213.168.112.60 194.8.194.60

jo dein system sieht normal aus!

danke für deine antwort steveman.

@Sean15

Welche Datei wird denn als infiziert gemeldet?

Schick sie mal an Suggest@AdwareAway.com und mach denen klar, dass du vermutest, dass es sich um ein False Positive handelt.

Hallo Christian,

es handelte sich dabei um einen eintrag in der registry, den habe ich aber auch nicht finden können, deshalb war es wohl wirklich nur eine falsche positv meldung.