Hat mich erwischt: (Zahl)exmodul32.exe - Hijack inside

Thema ist geschlossen!
Thema ist geschlossen!
15.05.2006, 21:25
...neu hier

Beiträge: 5
#1 Hallo,
hätte nicht gedacht, dass es mir passieren würde ;)
Seit gestern habe ich Selbsläufer nach dem Schema xx(2 Zahlen)exmodul.exe im Taskmanager, die über Bitdefender versuchen, aufs Netz zuzugreifen. Adaware hat gestern nur ein paar Cookies gefunden.

Würde mich über Unterstützung freuen!
schönen Abend noch
Cr.

Hier das komplette Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 21:12:56, on 15.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
D:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
d:\Programme\HideF\HF30Service.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\System32\Drivers\SAP\FD.exe
C:\WINDOWS\System32\Drivers\SAP\FD_Hide.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Stardock\ObjectDock\ObjectDock.exe
D:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
D:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
D:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
D:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\PROGRA~1\QSCAG~1\QSCENT~1\app\EnterNet.exe
D:\Programme\Trillian\trillian.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mehmet\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RepliGoIEHelperCtl Class - {91DE4477-9CDC-4806-9BCB-28A963988E94} - d:\Programme\RepliGo\RepliGoIEHelper.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &RepliGo - {81F4066B-F330-4872-8094-3E9FBCCEC8C1} - d:\Programme\RepliGo\RepliGoIEBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [FD_SAP] C:\WINDOWS\System32\Drivers\SAP\FD.exe
O4 - HKLM\..\Run: [FD_HIDE] C:\WINDOWS\System32\Drivers\SAP\FD_Hide.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DiskeeperSystray] "D:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Hide IP Platinum] d:\Programme\Hide IP Platinum\hideippla.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Stardock ObjectDock.lnk = D:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: Yahoo! Widget Engine.lnk = D:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142639948609
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142639932796
O17 - HKLM\System\CCS\Services\Tcpip\..\{6592ACE8-A7A0-4626-A9C9-CEE3F1B3AF68}: NameServer = 192.168.1.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - D:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Diskeeper - Diskeeper Corporation - D:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: HF30Service - Unknown owner - d:\Programme\HideF\HF30Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender9\vsserv.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 90A9-3A9C

Verzeichnis von C:\WINDOWS\system32

15.05.2006 21:34 43.573 nvapps.xml
15.05.2006 21:10 309.866 getfile.dat
15.05.2006 20:10 81.984 bdod.bin
15.05.2006 19:00 49.152 nvsvcd.exe
14.05.2006 18:47 2.206 wpa.dbl
11.05.2006 23:34 816.640 wodfamoh.dll

07.05.2006 19:02 324.320 FNTCACHE.DAT
03.05.2006 21:46 53.608 perfc009.dat
03.05.2006 21:46 383.254 perfh009.dat
03.05.2006 21:46 64.598 perfc007.dat
03.05.2006 21:46 899.052 PerfStringBackup.INI
03.05.2006 21:46 394.500 perfh007.dat
30.04.2006 18:32 550.120 LegitCheckControl.dll
28.04.2006 01:27 81.920 ElbyCDIO.dll
22.04.2006 17:22 60.200 sirenacm.dll
20.04.2006 23:58 14.622 muzika.xm
16.04.2006 14:29 73.728 sockspy.dll
16.04.2006 14:28 77.824 xcomm.dll
14.04.2006 13:30 2.147 SpoonUninstall-dBpowerAMP WMA V9 Codec.dat
14.04.2006 13:29 164.352 SpoonUninstall.exe
14.04.2006 13:29 27.958 SpoonUninstall-dBpowerAMP WMA V9 Codec.bmp
14.04.2006 13:29 2.084 SpoonUninstall-dBpowerAMP Ogg Vorbis Codec.dat
14.04.2006 13:29 27.958 SpoonUninstall-dBpowerAMP Ogg Vorbis Codec.bmp
14.04.2006 13:25 20.894 SpoonUninstall-dBpowerAMP Music Converter.dat
14.04.2006 13:24 27.958 SpoonUninstall-dBpowerAMP Music Converter.bmp
10.04.2006 17:08 15.360 BASSMOD.dll
06.04.2006 12:48 5.143.456 MRT.exe
04.04.2006 20:09 2.339 SpoonUninstall-dBpowerAMP Mp4 Codec.dat
04.04.2006 20:09 33.846 SpoonUninstall-dBpowerAMP Mp4 Codec.bmp

Volumeseriennummer: 90A9-3A9C

Verzeichnis von C:\DOKUME~1\Mehmet\LOKALE~1\Temp

15.05.2006 21:34 375 WCESCOMM.LOG
15.05.2006 21:34 49.152 tmp1.tmp
15.05.2006 21:33 215.245 WCESLog.log
3 Datei(en) 264.772 Bytes
0 Verzeichnis(se), 14.048.788.480 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 90A9-3A9C

Verzeichnis von C:\WINDOWS

15.05.2006 21:10 921 win.ini
15.05.2006 21:10 227 system.ini
15.05.2006 19:50 1.692 WMFDist11.log
15.05.2006 19:50 975.893 setupapi.log
15.05.2006 18:59 0 0.log
15.05.2006 18:59 159 wiadebug.log
15.05.2006 18:57 2.048 bootstat.dat
15.05.2006 11:27 12 bthservsdp.dat
15.05.2006 11:27 32.546 SchedLgU.Txt
15.05.2006 11:27 833.741 WindowsUpdate.log
15.05.2006 11:27 50 wiaservc.log
15.05.2006 00:18 184.879 setupact.log
13.05.2006 11:30 1.037 QUICKEN.INI
12.05.2006 19:55 74 MPLAYER.INI
05.05.2006 23:00 223 BeckLStTab.ini
04.05.2006 22:43 4.712 ie7beta2_main.log
03.05.2006 21:42 400 ODBC.INI
01.05.2006 15:39 923 spupdsvc.log
30.04.2006 23:19 32 go
30.04.2006 23:01 32 hip
30.04.2006 22:56 194 videodeLuxe.INI
30.04.2006 19:11 16.491 msgsocm.log
30.04.2006 19:11 70.968 ntdtcsetup.log
30.04.2006 19:11 119.587 comsetup.log
30.04.2006 19:11 383.497 iis6.log
30.04.2006 19:11 321.287 FaxSetup.log
30.04.2006 19:11 163.392 ocgen.log
30.04.2006 19:11 16.802 tabletoc.log
30.04.2006 19:11 57.449 netfxocm.log
30.04.2006 19:11 18.112 ocmsn.log
30.04.2006 19:11 153.007 tsoc.log

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 90A9-3A9C

Verzeichnis von C:\

15.05.2006 21:37 0 sys.txt
15.05.2006 21:37 10.049 system.txt
15.05.2006 21:37 380 systemtemp.txt
15.05.2006 21:37 120.705 system32.txt
15.05.2006 21:10 389 boot.ini
15.05.2006 18:57 2.401.239.040 pagefile.sys
14.05.2006 20:14 46.633 data.exe
13.05.2006 11:28 95 mwmlog.txt
17.04.2006 16:19 684 sendcomz.htm
16.04.2006 10:41 6.693 78875.sym
02.03.2006 22:33 20 sccfg.sys
02.03.2006 22:32 228 hook.log


10)DPF????
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 90A9-3A9C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

15.05.2005 23:07 <DIR> .
15.05.2005 23:07 <DIR> ..
25.07.2002 17:05 172.032 isusweb.dll
25.07.2002 17:13 196.608 dwusplay.exe
25.07.2002 17:13 24.576 dwusplay.dll
26.05.2005 04:19 293 muweb.inf
26.05.2005 04:19 291 wuweb.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
6 Datei(en) 394.962 Bytes

Anzahl der angezeigten Dateien:
6 Datei(en) 394.962 Bytes
2 Verzeichnis(se), 14.048.133.120 Bytes frei



Hoffe, dass ich nun alles drin hab.

Vielen Dank im Voraus für die Unterstützung!!!
Dieser Beitrag wurde am 15.05.2006 um 21:44 Uhr von Cruzetown editiert.
Seitenanfang Seitenende
16.05.2006, 11:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Cruzetown

Backdoor.Win32.IRCBot.nw
http://virus-protect.org/artikel/dienste/nvsvcd.html

-------------------------------------------------------------------
0.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren

Dann kopiere folgenden Text rein:

Zitat

sc stop Windows Log
sc delete Windows Log
del delete.bat
Auf dem Desktop abspeichern [Gebe bei Dateityp 'Alle Dateien' an.] als delete.bat. --> Doppeltklicken

------------------

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log]
------------
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

Files to delete:
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\getfile.dat
C:\Temp\data.exe
C:\data.exe
C:\WINDOWS\system32\bdod.bin
C:\Dokumente und Einstellungen\Mehmet\Lokale Einstellungen\Temp\tmp1.tmp
C:\WINDOWS\system32\nvsvcd.exe
C:\WINDOWS\system32\wodfamoh.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
poste HIER das Log vom Avenger

---------------------------------------------------------------------------
4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
5..
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

6.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

7..
Start > Programme > Zubehör > Systemprogramme >
Datenträgerbereinigung
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

----------------------------------------------
8.
poste das log
http://virus-protect.org/registry_stuff.html

*
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.05.2006, 20:45
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo Sabina, zunächst vielen Dank.
Hier nun das Log-File von Avenger zu Schritt 3 ( darunter ist das Log-File von look1.txt):

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iyswbgby

*******************

Script file located at: \??\C:\WINDOWS\daojcvil.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log
Status: 0xc0000034

File C:\WINDOWS\system\smss.exe deleted successfully.
File C:\WINDOWS\system32\getfile.dat deleted successfully.


Could not open file C:\Temp\data.exe for deletion
Deletion of file C:\Temp\data.exe failed!

Could not process line:
C:\Temp\data.exe
Status: 0xc000003a

File C:\data.exe deleted successfully.
File C:\WINDOWS\system32\bdod.bin deleted successfully.
File C:\Dokumente und Einstellungen\Mehmet\Lokale Einstellungen\Temp\tmp1.tmp deleted successfully.
File C:\WINDOWS\system32\nvsvcd.exe deleted successfully.
File C:\WINDOWS\system32\wodfamoh.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Hallo, und nun das letzte Posting Schritt "look1.txt"


doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
-----------------------


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\eMule\\emule.exe"="D:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"D:\\Programme\\ICQLite\\ICQLite.exe"="D:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Sprite Software\\Sprite Backup\\SpriteService.exe"="C:\\Programme\\Sprite Software\\Sprite Backup\\SpriteService.exe:*:Enabled:Sprite Backup PC Service"
"C:\\Dokumente und Einstellungen\\Mehmet\\Desktop\\cs2d_0100\\CounterStrike2D.exe"="C:\\Dokumente und Einstellungen\\Mehmet\\Desktop\\cs2d_0100\\CounterStrike2D.exe:*:Enabled:CounterStrike2D"
"D:\\Programme\\iTunes\\iTunes.exe"="D:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"D:\\Programme\\Trillian\\trillian.exe"="D:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"D:\\Programme\\mIRC\\mirc.exe"="D:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"D:\\Programme\\vlc\\vlc.exe"="D:\\Programme\\vlc\\vlc.exe:*;)isabled:VLC media player"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"D:\\-=Download=-\\Downloads\\[PC Game] Counter Strike - Condition Zero\\cz\\hltv.exe"="D:\\-=Download=-\\Downloads\\[PC Game] Counter Strike - Condition Zero\\cz\\hltv.exe:*:Enabled:HLTV Launcher"
"D:\\-=Download=-\\Downloads\\[PC Game] Counter Strike - Condition Zero\\cz\\czero.exe"="D:\\-=Download=-\\Downloads\\[PC Game] Counter Strike - Condition Zero\\cz\\czero.exe:*:Enabled:Condition Zero Launcher"
"D:\\-=Download=-\\Downloads\\[PC Game] Counter Strike - Condition Zero\\cz\\dod.exe"="D:\\-=Download=-\\Downloads\\[PC Game] Counter Strike - Condition Zero\\cz\\dod.exe:*:Enabled;)ay of Defeat Launcher"
"D:\\-=Download=-\\Downloads\\[PC Game] Counter Strike - Condition Zero\\cz\\hl.exe"="D:\\-=Download=-\\Downloads\\[PC Game] Counter Strike - Condition Zero\\cz\\hl.exe:*:Enabled:Half-Life Launcher"
"D:\\-=Download=-\\Downloads\\[PC Game] Counter Strike - Condition Zero\\cz\\hlds.exe"="D:\\-=Download=-\\Downloads\\[PC Game] Counter Strike - Condition Zero\\cz\\hlds.exe:*:Enabled:HLDS Launcher"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\WINDOWS\\TEMP\\82exmodul32.exe"="C:\\WINDOWS\\TEMP\\82exmodul32.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

edit sabina
Dieser Beitrag wurde am 16.05.2006 um 21:06 Uhr von Cruzetown editiert.
Seitenanfang Seitenende
17.05.2006, 01:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Cruzetown

1.
Gehe in die Registry
Start-Ausfuehren - regedit

bearbeiten - suchen - 82exmodul32.exe

loesche diese exe aus der Registry

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
C:\\WINDOWS\\TEMP\\82exmodul32.exe

**

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 -> aendere in 0

--------------------------------------------------------------------------------
2.
kopiere in den Avenger:

Zitat

Files to delete:
C:\WINDOWS\TEMP\82exmodul32.exe
klicke das gruene Kreuz... PC wird neustarten

-----------------
3.
scanne mit kaspersky und poste den report
http://virus-protect.org/onlinescan.html

+
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.05.2006, 18:53
...neu hier

Themenstarter

Beiträge: 5
#5 Hallo, Kaspersky hat folgendes gefunden:


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, May 17, 2006 6:50:59 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 17/05/2006
Kaspersky Anti-Virus database records: 182797
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\

Scan Statistics:
Total number of scanned objects: 28465
Number of viruses found: 1
Number of infected objects: 0
Number of suspicious objects: 6
Duration of the scan process: 00:20:38

Infected Object Name / Virus Name / Last Action
C:\Programme\NoAdware4\NoAdwareBackup\5,15,2006_23,4,51.zip/smss.exe Suspicious: Password-protected-EXE skipped
C:\Programme\NoAdware4\NoAdwareBackup\5,15,2006_23,4,51.zip ZIP: suspicious - 1 skipped
C:\Programme\NoAdware4\NoAdwareBackup\5,15,2006_23,57,21.zip/smss.exe Suspicious: Password-protected-EXE skipped
C:\Programme\NoAdware4\NoAdwareBackup\5,15,2006_23,57,21.zip ZIP: suspicious - 1 skipped
C:\Programme\NoAdware4\NoAdwareBackup\5,16,2006_0,13,40.zip/smss.exe Suspicious: Password-protected-EXE skipped
C:\Programme\NoAdware4\NoAdwareBackup\5,16,2006_0,13,40.zip ZIP: suspicious - 1 skipped

Scan process completed.
Seitenanfang Seitenende
17.05.2006, 18:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

NoAdware4

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.05.2006, 19:00
...neu hier

Themenstarter

Beiträge: 5
#7 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 17.05.2006 18:58:08 for strings:
; 'noadware4'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NoAdware 4.0_is1]
"Inno Setup: App Path"="C:\\Programme\\NoAdware4"
"InstallLocation"="C:\\Programme\\NoAdware4\\"
"UninstallString"="\"C:\\Programme\\NoAdware4\\unins000.exe\""
"QuietUninstallString"="\"C:\\Programme\\NoAdware4\\unins000.exe\" /SILENT"

[HKEY_USERS\S-1-5-21-299502267-573735546-682003330-1003\Software\NoAdware4]

[HKEY_USERS\S-1-5-21-299502267-573735546-682003330-1003\Software\NoAdware4]
"df"="noadware4_051506.na"
"path"="C:\\Programme\\NoAdware4"
"xpath"="C:\\Programme\\NoAdware4\\xblk.na"
"lfp"="C:\\Programme\\NoAdware4\\logs"
"rfp"="C:\\Programme\\NoAdware4\\noadware4_051506.na"

[HKEY_USERS\S-1-5-21-299502267-573735546-682003330-1003\Software\NVIDIA Corporation\Global\nView\WindowManagement\noadware4]

; End Of The Log...
Seitenanfang Seitenende
17.05.2006, 19:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Cruzetown

noadware4
http://virus-protect.org/artikel/spyware/noadware4.html

-------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NoAdware 4.0_is1]
[-HKEY_USERS\S-1-5-21-299502267-573735546-682003330-1003\Software\NoAdware4]

PC neustarten


deinstalliere: C:\Programme\NoAdware4

**
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.05.2006, 19:21
...neu hier

Themenstarter

Beiträge: 5
#9 Vielen Dank, NoAdaware4 ist nun auch runter!

Ich bedanke mich für die zuvorkommende und hilfsbereite Unterstützung. Paypal folgt!

schöne Grüße
Cruzetown
Seitenanfang Seitenende
06.12.2006, 22:38
...neu hier

Beiträge: 4
#10 Hey Sabine, ich habe genau das gleich problem wie bei Cruztown, nur irgendwie komme ich mit deine anleitung nicht weiter,könntest du mir weiter helfen?
Hier schonmal mein HijackThis Log:

Code

Logfile of HijackThis v1.99.1
Scan saved at 22:35:12, on 06.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\Ben\Desktop\Fix\regsearch\regsearch.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\Ben\Desktop\Fix\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165265078714
O17 - HKLM\System\CCS\Services\Tcpip\..\{23049ADE-75F7-4F0D-89B6-0F9B977787C7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{23049ADE-75F7-4F0D-89B6-0F9B977787C7}: NameServer = 192.168.2.1
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Seitenanfang Seitenende
06.12.2006, 22:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 ChillY1985

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.12.2006, 22:57
...neu hier

Beiträge: 4
#12 So, alles gemacht:

system32.txt

Code

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8DA-70B2

Verzeichnis von C:\WINDOWS\system32

06.12.2006  22:22            88.566 nvapps.xml
06.12.2006  22:10            92.680 FNTCACHE.DAT
06.12.2006  21:41           185.952 rmoc3260.dll
06.12.2006  21:39             5.632 pndx5032.dll
06.12.2006  21:39             6.656 pndx5016.dll
06.12.2006  18:57            13.002 wpa.dbl
05.12.2006  21:14           278.528 pncrt.dll
05.12.2006  20:31            16.832 amcompat.tlb
05.12.2006  20:31            23.392 nscompat.tlb
05.12.2006  00:24            48.354 perfc007.dat
05.12.2006  00:24           311.740 perfh009.dat
05.12.2006  00:24            40.128 perfc009.dat
05.12.2006  00:24           316.924 perfh007.dat
05.12.2006  00:24           723.744 PerfStringBackup.INI
04.12.2006  23:44               251 spupdwxp.log
04.12.2006  22:27            12.980 wpa.bak
04.12.2006  21:42                44 msssc.dll
04.12.2006  21:36            25.065 wmpscheme.xml
04.12.2006  21:33               261 $winnt$.inf
04.12.2006  21:31             2.951 CONFIG.NT
04.12.2006  21:30               488 logonui.exe.manifest
04.12.2006  21:30               488 WindowsLogon.manifest
04.12.2006  21:30               749 nwc.cpl.manifest
04.12.2006  21:30               749 cdplayer.exe.manifest
04.12.2006  21:30               749 sapi.cpl.manifest
04.12.2006  21:30               749 wuaucpl.cpl.manifest
04.12.2006  21:30               749 ncpa.cpl.manifest
04.12.2006  21:29            21.740 emptyregdb.dat
04.12.2006  21:27                 0 h323log.txt
17.11.2006  18:54         1.040.384 ieframe.dll.mui
17.11.2006  18:53            12.288 advpack.dll.mui
15.11.2006  21:20        10.474.920 MRT.exe
07.11.2006  21:03         6.049.280 ieframe.dll
07.11.2006  21:03           156.160 msls31.dll
07.11.2006  21:03           670.720 mstime.dll
07.11.2006  21:03           413.696 vbscript.dll
07.11.2006  21:03         1.162.240 urlmon.dll
07.11.2006  21:03           818.688 wininet.dll
07.11.2006  21:03            27.136 jsproxy.dll
07.11.2006  21:03         3.577.856 mshtml.dll
07.11.2006  21:03           191.488 iepeers.dll
07.11.2006  21:03           180.736 ieui.dll
07.11.2006  21:03           131.584 extmgr.dll
07.11.2006  21:03            50.688 msfeedsbs.dll
07.11.2006  21:03           231.424 webcheck.dll
07.11.2006  21:03           458.752 msfeeds.dll
07.11.2006  21:03           475.648 mshtmled.dll
07.11.2006  03:27           382.976 iedkcs32.dll
07.11.2006  03:27           229.376 ieaksie.dll
07.11.2006  03:26           152.064 ieakeng.dll
07.11.2006  03:26            71.680 admparse.dll
07.11.2006  03:26            55.296 iesetup.dll
07.11.2006  03:26            13.312 ieudinit.exe
07.11.2006  03:26            54.784 ie4uinit.exe
07.11.2006  03:26            43.008 iernonce.dll
07.11.2006  03:26            92.672 inseng.dll
07.11.2006  03:26           123.904 advpack.dll
07.11.2006  03:25           161.792 ieakui.dll
07.11.2006  03:24            56.483 ieuinit.inf
24.10.2006  20:33         8.282.112 wmploc.dll
24.10.2006  20:04            99.840 wmpshell.dll
24.10.2006  20:04           275.968 wmerror.dll
24.10.2006  20:02             8.192 asferror.dll
22.10.2006  15:06           208.896 NVUNINST.EXE
22.10.2006  12:22         1.662.976 nvwdmcpl.dll
22.10.2006  12:22            81.920 nvwddi.dll
22.10.2006  12:22         2.973.696 nvvitvsr.dll
22.10.2006  12:22         2.924.544 nvvitvs.dll
22.10.2006  12:22         1.019.904 nvwimg.dll
22.10.2006  12:22           282.624 nvwrsar.dll
22.10.2006  12:22           286.720 nvwrscs.dll
22.10.2006  12:22           294.912 nvwrsda.dll
22.10.2006  12:22           208.896 nvudisp.exe
22.10.2006  12:22            73.728 nvtuicpl.cpl
22.10.2006  12:22           311.296 nvwrsde.dll
22.10.2006  12:22           327.680 nvwrsfr.dll
22.10.2006  12:22           466.944 nvshell.dll
22.10.2006  12:22           118.784 nvrszht.dll
22.10.2006  12:22           221.184 nvrszhc.dll
22.10.2006  12:22           249.856 nvrstr.dll
22.10.2006  12:22           278.528 nvwrshe.dll
22.10.2006  12:22           245.760 nvrssv.dll
22.10.2006  12:22           286.720 nvwrseng.dll
22.10.2006  12:22           249.856 nvrssl.dll
22.10.2006  12:22           249.856 nvrssk.dll
22.10.2006  12:22           262.144 nvrsru.dll
22.10.2006  12:22           262.144 nvrsptb.dll
22.10.2006  12:22           315.392 nvwrshu.dll
22.10.2006  12:22           266.240 nvrspt.dll
22.10.2006  12:22           249.856 nvrspl.dll
22.10.2006  12:22           249.856 nvrsno.dll
22.10.2006  12:22           266.240 nvrsnl.dll
22.10.2006  12:22           258.048 nvrsko.dll
22.10.2006  12:22           262.144 nvrsja.dll
22.10.2006  12:22           335.872 nvwrses.dll
22.10.2006  12:22           274.432 nvrsit.dll
22.10.2006  12:22           253.952 nvrshu.dll
22.10.2006  12:22           323.584 nvrshe.dll
22.10.2006  12:22           278.528 nvrsfr.dll
22.10.2006  12:22           167.936 nvwrszht.dll
22.10.2006  12:22           241.664 nvrsfi.dll
22.10.2006  12:22           163.840 nvwrszhc.dll
22.10.2006  12:22           266.240 nvrsesm.dll
22.10.2006  12:22           425.984 keystone.exe
22.10.2006  12:22           274.432 nvrses.dll
22.10.2006  12:22           241.664 nvrseng.dll
22.10.2006  12:22           212.992 nvwrsja.dll
22.10.2006  12:22           274.432 nvrsel.dll
22.10.2006  12:22           196.608 nvwrsko.dll
22.10.2006  12:22           319.488 nvwrsnl.dll
22.10.2006  12:22           270.336 nvrsde.dll
22.10.2006  12:22           299.008 nvwrsno.dll
22.10.2006  12:22           245.760 nvrsda.dll
22.10.2006  12:22           294.912 nvwrspl.dll
22.10.2006  12:22           323.584 nvwrspt.dll
22.10.2006  12:22           319.488 nvwrsptb.dll
22.10.2006  12:22           241.664 nvrscs.dll
22.10.2006  12:22           323.584 nvrsar.dll
22.10.2006  12:22         5.644.288 nvoglnt.dll
22.10.2006  12:22           315.392 nvwrsru.dll
22.10.2006  12:22           286.720 nvnt4cpl.dll
22.10.2006  12:22           335.872 nvwrsel.dll
22.10.2006  12:22         2.859.008 nvmoblsr.dll
22.10.2006  12:22           303.104 nvwrstr.dll
22.10.2006  12:22           327.680 nvwrsesm.dll
22.10.2006  12:22           888.832 nvmobls.dll
22.10.2006  12:22            86.016 nvmctray.dll
22.10.2006  12:22           458.752 nvmccssr.dll
22.10.2006  12:22           188.416 nvmccss.dll
22.10.2006  12:22           299.008 nvwrssk.dll
22.10.2006  12:22            45.056 nvmccsrs.dll
22.10.2006  12:22           229.376 nvmccs.dll
22.10.2006  12:22           323.584 nvwrsit.dll
22.10.2006  12:22         1.732.608 nvwssr.dll
22.10.2006  12:22           294.912 nvwrssv.dll
22.10.2006  12:22           303.104 nvwrsfi.dll
22.10.2006  12:22         1.470.464 nview.dll
22.10.2006  12:22           581.632 nvhwvid.dll
22.10.2006  12:22         1.622.016 nwiz.exe
22.10.2006  12:22         3.203.072 nvgamesr.dll
22.10.2006  12:22           303.104 nvwrssl.dll
22.10.2006  12:22         1.236.992 nvwss.dll
22.10.2006  12:22         4.527.488 nv4_disp.dll
22.10.2006  12:22         3.047.424 nvgames.dll
22.10.2006  12:22           311.296 nvexpbar.dll
22.10.2006  12:22         1.339.392 nvdspsch.exe
22.10.2006  12:22         5.255.168 nvdispsr.dll
22.10.2006  12:22           212.992 nvapi.dll
22.10.2006  12:22           442.368 nvappbar.exe
22.10.2006  12:22           159.810 nvsvc32.exe
22.10.2006  12:22            35.840 nvcod.dll
22.10.2006  12:22            35.840 nvcodins.dll
22.10.2006  12:22           147.456 nvcolor.exe
22.10.2006  12:22            69.632 nvcpl.cpl
22.10.2006  12:22         7.700.480 nvcpl.dll
22.10.2006  12:22           794.624 nvcplui.exe
22.10.2006  12:22         1.011.712 nvcpluir.dll
22.10.2006  12:22            17.056 nvdisp.nvu
22.10.2006  12:22         5.619.712 nvdisps.dll
18.10.2006  23:03            43.008 wpdshextres.dll
18.10.2006  22:58             8.704 uwdf.exe
18.10.2006  22:58             8.704 wdfmgr.exe
18.10.2006  22:47             4.096 SET4C.tmp
18.10.2006  22:47             4.096 wmsdmod.dll
18.10.2006  22:47             4.096 wmsdmoe2.dll
18.10.2006  22:47           603.648 WMSPDMOD.dll
18.10.2006  22:47         1.329.152 WMSPDMOE.dll
18.10.2006  22:47             4.096 WMVADVD.dll
18.10.2006  22:47           133.632 WPDShServiceObj.dll
18.10.2006  22:47           356.352 wpdsp.dll
18.10.2006  22:47         2.603.008 WpdShext.dll
18.10.2006  22:47             4.096 WMVADVE.DLL
18.10.2006  22:47         1.543.680 WMVDECOD.dll
18.10.2006  22:47             4.096 wmvdmod.dll
18.10.2006  22:47           629.760 wpd_ci.dll
18.10.2006  22:47            63.488 wpdmtpus.dll
18.10.2006  22:47           154.624 wpdmtp.dll
18.10.2006  22:47            35.840 wpdconns.dll
18.10.2006  22:47         2.450.944 SET4A.tmp
18.10.2006  22:47         2.450.944 wmvcore.dll
18.10.2006  22:47           656.896 WMVXENCD.dll
18.10.2006  22:47           767.488 WMVSENCD.dll
18.10.2006  22:47         1.382.912 WMVSDECD.dll
18.10.2006  22:47         1.574.912 WMVENCOD.dll
18.10.2006  22:47             4.096 wmvdmoe2.dll
18.10.2006  22:47           130.048 wmpps.dll
18.10.2006  22:47           348.672 wmdrmnet.dll
18.10.2006  22:47           157.184 SET40.tmp
18.10.2006  22:47         1.661.440 wmpencen.dll
18.10.2006  22:47           613.376 wmpmde.dll
18.10.2006  22:47           535.040 wmdrmsdk.dll
18.10.2006  22:47           157.184 wmidx.dll
18.10.2006  22:47           937.984 WMNetMgr.dll
18.10.2006  22:47        10.834.432 wmp.dll
18.10.2006  22:47           242.688 wmpasf.dll
18.10.2006  22:47           314.880 wmpdxm.dll
18.10.2006  22:47           204.288 wmpsrcwp.dll
18.10.2006  22:47           295.936 wmpeffects.dll
18.10.2006  22:47           222.208 SET3C.tmp
18.10.2006  22:47           211.456 SET39.tmp
18.10.2006  22:47             4.096 wdfapi.dll
18.10.2006  22:47           284.160 PortableDeviceApi.dll
18.10.2006  22:47           757.248 WMADMOD.dll
18.10.2006  22:47         1.117.696 WMADMOE.dll
18.10.2006  22:47           222.208 wmasf.dll
18.10.2006  22:47            33.792 wmdmlog.dll
18.10.2006  22:47            37.376 wmdmps.dll
18.10.2006  22:47           429.056 wmdrmdev.dll
18.10.2006  22:47           101.888 PortableDeviceClassExtension.dll
18.10.2006  22:47           166.912 PortableDeviceTypes.dll
18.10.2006  22:47           199.168 PortableDeviceWMDRM.dll
18.10.2006  22:47           132.096 PortableDeviceWiaCompat.dll
18.10.2006  22:47           211.456 qasf.dll
18.10.2006  22:47            27.136 mspmsnsv.dll
18.10.2006  22:47           179.712 msnetobj.dll
18.10.2006  22:47           175.616 mspmsp.dll
18.10.2006  22:47           414.208 msscp.dll
18.10.2006  22:47           321.536 mswmdm.dll
18.10.2006  22:47             4.096 MPG4DMOD.dll
18.10.2006  22:47            11.264 LAPRXY.dll
18.10.2006  22:47             4.096 MP4SDMOD.dll
18.10.2006  22:47           212.992 MFPLAT.dll
18.10.2006  22:47           259.072 MP43DECD.dll
18.10.2006  22:47           317.440 MP4SDECD.dll
18.10.2006  22:47             4.096 MP43DMOD.dll
18.10.2006  22:47           259.072 MPG4DECD.dll
18.10.2006  22:47           229.376 cewmdm.dll
18.10.2006  22:47           542.720 blackbox.dll
18.10.2006  22:47           991.744 drmv2clt.dll
18.10.2006  22:47           276.992 audiodev.dll
18.10.2006  21:05           232.448 l3codecp.acm
18.10.2006  21:03           100.864 logagent.exe
18.10.2006  21:00           249.856 drmupgds.exe
18.10.2006  21:00            17.408 wpdshextautoplay.exe
17.10.2006  12:06           443.904 html.iec
17.10.2006  12:06            78.336 ieencode.dll
17.10.2006  12:05           206.336 WinFXDocObj.exe
17.10.2006  12:05         1.817.088 inetcpl.cpl
17.10.2006  12:05           105.984 url.dll
17.10.2006  12:05           192.000 msrating.dll
17.10.2006  12:05            40.960 licmgr10.dll
17.10.2006  12:04           101.376 occache.dll
17.10.2006  12:03            17.408 corpol.dll
17.10.2006  12:00           491.520 jscript.dll
17.10.2006  11:58            12.288 msfeedssync.exe
17.10.2006  11:58            61.952 icardie.dll
17.10.2006  11:58            44.544 pngfilt.dll
17.10.2006  11:58           346.624 dxtmsft.dll
17.10.2006  11:57            36.352 imgutil.dll
17.10.2006  11:57           214.528 dxtrans.dll
17.10.2006  11:57           266.752 iertutil.dll
17.10.2006  11:56            45.568 mshta.exe
17.10.2006  11:55            66.560 tdc.ocx
17.10.2006  11:28            48.128 mshtmler.dll
17.10.2006  11:27           380.928 ieapfltr.dll
17.10.2006  11:19         1.383.424 mshtml.tlb
16.10.2006  12:19           270.336 xpsp3res.dll
13.10.2006  13:35           146.432 nwprovau.dll
02.10.2006  15:28           312.128 msdelta.dll
28.09.2006  20:13            95.344 WUDFCoinstaller.dll
28.09.2006  18:56           146.432 WudfHost.exe
28.09.2006  18:56           316.416 WUDFx.dll
28.09.2006  18:56           165.376 WudfPlatform.dll
28.09.2006  18:56            55.808 WudfSvc.dll
25.09.2006  17:58            23.856 spupdsvc.exe
25.09.2006  17:58            14.640 spmsg.dll
23.09.2006  12:12         1.497.088 shdocvw.dll
23.09.2006  12:12           474.624 shlwapi.dll
23.09.2006  12:12            82.428 IE7Eula.rtf
23.09.2006  12:12         1.022.976 browseui.dll
14.09.2006  09:39         1.056.256 danim.dll
14.09.2006  09:39           152.064 cdfview.dll
13.09.2006  06:02         1.084.416 msxml3.dll
systemtemp.txt

Code

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8DA-70B2

Verzeichnis von C:\DOKUME~1\Ben\LOKALE~1\Temp

06.12.2006  22:40            16.384 Perflib_Perfdata_2e4.dat
06.12.2006  22:22            16.384 Perflib_Perfdata_a0c.dat
06.12.2006  22:22            16.384 ~DFD25C.tmp
06.12.2006  22:22               512 ~DF4FF3.tmp
06.12.2006  22:22            16.384 ~DF4FE8.tmp
06.12.2006  22:11            16.384 ~DF5520.tmp
06.12.2006  22:11            16.384 ~DF329C.tmp
06.12.2006  22:05                48 modul32f.i.exe.conf
06.12.2006  22:04                43 hdd.p.exe.conf
06.12.2006  22:04                45 ssd32.s.exe.conf
06.12.2006  21:53               983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}21715.html
06.12.2006  21:37               978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}2599.html
06.12.2006  21:26            25.088 42exhdd.p.exe
06.12.2006  21:26            25.088 45exhdd.p.exe
06.12.2006  21:26            25.088 61exhdd.p.exe
06.12.2006  21:26            25.088 87exhdd.p.exe
06.12.2006  21:26            47.104 82exmodul32f.i.exe
06.12.2006  21:26            47.104 43exmodul32f.i.exe
06.12.2006  21:26            47.104 47exmodul32f.i.exe
06.12.2006  21:26            47.104 39exmodul32f.i.exe
06.12.2006  20:37            16.384 ~DFA118.tmp
06.12.2006  20:37            16.384 ~DF7C68.tmp
06.12.2006  19:40         6.696.004 Norton Internet Security 12-6-2006 19h32m47s.log
06.12.2006  19:39             5.905 SYMEVENT.LOG
06.12.2006  19:39             3.285 LSInstall.log
06.12.2006  19:39             2.515 SNDunin.log
06.12.2006  19:39             1.870 IDSinst.LOG
06.12.2006  19:37            89.892 symcprop.dat
06.12.2006  19:33               124 AVRES_OPTRF_LiveUpdate.dat
06.12.2006  18:28               896 MSI5cd21.LOG
06.12.2006  01:49                43 hdd.o.exe.conf
06.12.2006  01:49                48 modul32f.f.exe.conf
06.12.2006  01:33             1.900 wmplog00.sqm
06.12.2006  01:02                43 injs.s.exe.conf
06.12.2006  01:02            85.470 lnames.txt.cab
06.12.2006  01:02           187.993 lnames.txt
06.12.2006  01:02            28.894 fnames.txt.cab
06.12.2006  01:02            88.071 fnames.txt
06.12.2006  01:02           368.243 domains.txt
06.12.2006  01:02           126.354 domains.txt.cab
06.12.2006  00:54                 0 28exssd32.s.exe
06.12.2006  00:54                 0 93exssd32.s.exe
06.12.2006  00:54                 0 8exssd32.s.exe
06.12.2006  00:54                 0 80exssd32.s.exe
06.12.2006  00:54                 0 6exssd32.s.exe
06.12.2006  00:54                 0 62exssd32.s.exe
06.12.2006  00:54                 0 60exssd32.s.exe
06.12.2006  00:54                 0 38exssd32.s.exe
06.12.2006  00:54                 0 43exssd32.s.exe
06.12.2006  00:54                 0 20exssd32.s.exe
06.12.2006  00:54            25.088 97exhdd.o.exe
06.12.2006  00:54            25.088 28exhdd.o.exe
06.12.2006  00:54            25.088 22exhdd.o.exe
06.12.2006  00:54            25.088 60exhdd.o.exe
06.12.2006  00:54            25.088 58exhdd.o.exe
06.12.2006  00:54            25.088 15exhdd.o.exe
              56 Datei(en)      8.260.527 Bytes
               0 Verzeichnis(se), 14.680.219.648 Bytes frei
windows.txt

Code

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8DA-70B2

Verzeichnis von C:\WINDOWS

06.12.2006  22:43               749 win.ini
06.12.2006  22:22                 0 0.log
06.12.2006  22:21             2.048 bootstat.dat
06.12.2006  22:21         1.038.623 WindowsUpdate.log
06.12.2006  22:21           125.824 ntbtlog.txt
06.12.2006  22:16           174.240 setupact.log
06.12.2006  22:14            13.060 SchedLgU.Txt
06.12.2006  21:13            98.850 setupapi.log
05.12.2006  23:42            70.232 spupdsvc.log
05.12.2006  20:49                 0 nsreg.dat
05.12.2006  20:49             3.428 mozver.dat
05.12.2006  20:33            19.387 wmsetup.log
05.12.2006  20:31             2.481 wmsetup10.log
05.12.2006  20:31            92.830 iis6.log
05.12.2006  20:31           125.179 ntdtcsetup.log
05.12.2006  20:31           207.082 comsetup.log
05.12.2006  20:31           233.801 tsoc.log
05.12.2006  20:31            31.204 ocmsn.log
05.12.2006  20:31             1.374 imsins.log
05.12.2006  20:31             4.931 KB926239.log
05.12.2006  20:31           290.976 ocgen.log
05.12.2006  20:31            30.401 msgsocm.log
05.12.2006  20:31           597.575 FaxSetup.log
05.12.2006  20:31            43.828 updspapi.log
05.12.2006  20:31             1.374 imsins.BAK
05.12.2006  20:31             3.279 MSCompPackV1.log
05.12.2006  20:31            13.441 wmp11.log
05.12.2006  20:30            21.165 WMFDist11.log
05.12.2006  20:30           316.640 WMSysPr9.prx
05.12.2006  20:29            13.806 Wudf01000Inst.log
05.12.2006  00:17            24.441 ie7_main.log
05.12.2006  00:16            75.846 ie7.log
05.12.2006  00:15            31.406 IDNMitigationAPIs.log
05.12.2006  00:15            31.353 NLSDownlevelMapping.log
05.12.2006  00:15            32.789 KB915865.log
05.12.2006  00:15            30.754 KB914440.log
05.12.2006  00:15            65.764 KB920213.log
05.12.2006  00:15            62.230 KB904942.log
05.12.2006  00:11            41.555 KB922760.log
05.12.2006  00:11            36.654 KB924270.log
05.12.2006  00:11            36.066 KB923980.log
05.12.2006  00:11            36.548 KB922819.log
05.12.2006  00:11            35.915 KB924191.log
05.12.2006  00:11            30.084 KB923191.log
05.12.2006  00:11            33.856 KB924496.log
05.12.2006  00:11            34.531 KB923414.log
05.12.2006  00:11            31.522 KB925486.log
05.12.2006  00:10            34.294 KB920872.log
05.12.2006  00:10            34.203 KB920685.log
05.12.2006  00:10            32.761 KB919007.log
05.12.2006  00:10            31.131 KB916595.log
05.12.2006  00:10            25.748 KB922582.log
05.12.2006  00:10            33.680 KB920214.log
05.12.2006  00:10            33.580 KB922616.log
05.12.2006  00:10            33.779 KB921398.log
05.12.2006  00:10            37.961 KB920683.log
05.12.2006  00:10            31.958 KB920670.log
05.12.2006  00:10            31.027 KB917422.log
05.12.2006  00:10            31.761 KB914388.log
05.12.2006  00:09            31.489 KB911280.log
05.12.2006  00:09            30.044 KB917953.log
05.12.2006  00:09         1.024.192 setupapi.log.0.old
05.12.2006  00:09            29.624 KB913580.log
05.12.2006  00:09            30.796 KB918439.log
05.12.2006  00:09            31.077 KB917344.log
05.12.2006  00:09            28.142 KB914389.log
05.12.2006  00:09            19.119 KB917734.log
05.12.2006  00:09            29.285 KB908531.log
05.12.2006  00:09            32.585 KB900485.log
05.12.2006  00:09            31.909 KB911562.log
05.12.2006  00:09            27.691 KB911567.log
05.12.2006  00:09            18.237 KB911564.log
05.12.2006  00:08            32.012 KB911927.log
05.12.2006  00:08            28.716 KB912919.log
05.12.2006  00:08            26.933 KB908519.log
05.12.2006  00:08            27.726 KB904706.log
05.12.2006  00:08            23.075 KB910437.log
05.12.2006  00:08            31.743 KB896424.log
05.12.2006  00:08            29.210 KB900725.log
05.12.2006  00:08            25.852 KB905749.log
05.12.2006  00:08            27.106 KB905414.log
05.12.2006  00:08            27.577 KB901017.log
05.12.2006  00:08            31.182 KB902400.log
05.12.2006  00:07            20.888 KB894391.log
05.12.2006  00:07            25.327 KB896423.log
05.12.2006  00:07            22.033 KB899587.log
05.12.2006  00:07            21.531 KB899591.log
05.12.2006  00:07            21.337 KB893756.log
05.12.2006  00:07            21.239 KB896358.log
05.12.2006  00:07            19.964 KB890859.log
05.12.2006  00:07            18.441 KB901214.log
05.12.2006  00:07            16.729 KB896428.log
05.12.2006  00:07            18.621 KB885835.log
05.12.2006  00:07            17.316 KB891781.log
05.12.2006  00:07            17.378 KB887472.log
05.12.2006  00:07            16.631 KB888302.log
05.12.2006  00:06            15.945 KB885836.log
05.12.2006  00:06            10.725 KB886185.log
05.12.2006  00:06            15.841 KB873339.log
04.12.2006  23:48             7.131 KB898461.log
04.12.2006  23:48             5.325 KB893803v2.log
04.12.2006  23:45               360 DtcInstall.log
04.12.2006  23:44             1.165 OEWABLog.txt
04.12.2006  23:44           724.907 setuplog.txt
04.12.2006  23:42           417.946 svcpack.log
04.12.2006  23:40               200 cmsetacl.log
04.12.2006  23:40             1.330 sessmgr.setup.log
04.12.2006  22:42            30.153 xpsp1hfm.log
04.12.2006  22:42            36.104 KB835732.log
04.12.2006  22:41            30.781 Q810833.log
04.12.2006  22:41            24.667 KB834707-IE6-20040929.115007.log
04.12.2006  22:41            24.101 KB828741.log
04.12.2006  22:40            14.324 Q329834.log
04.12.2006  22:40            18.923 KB823559.log
04.12.2006  22:40            18.473 Q817606.log
04.12.2006  22:39            17.901 Q815021.log
04.12.2006  22:39            17.260 Q329441.log
04.12.2006  22:38            13.674 Q810577.log
04.12.2006  22:38            10.996 Q811630.log
04.12.2006  22:38             7.183 Q329170.log
04.12.2006  22:37             2.139 Q329115.log
04.12.2006  22:37             1.776 Q329390.log
04.12.2006  22:37             1.419 Q323255.log
04.12.2006  22:37               650 Q329048.log
04.12.2006  21:48           115.373 WGA.log
04.12.2006  21:48           115.693 KB842773.log
04.12.2006  21:43               307 nsw.log
04.12.2006  21:42               478 Windows Update.log
04.12.2006  21:41             3.422 Ascd_tmp.ini
04.12.2006  21:40           132.213 Q312370.log
04.12.2006  21:34             8.192 REGLOCS.OLD
04.12.2006  21:31                 0 control.ini
04.12.2006  21:31           299.552 WMSysPrx.prx
04.12.2006  21:31             4.161 ODBCINST.INI
04.12.2006  21:30               749 WindowsShell.Manifest
04.12.2006  21:28                37 vbaddin.ini
04.12.2006  21:28                36 vb.ini
04.12.2006  21:26             1.920 regopt.log
04.12.2006  21:25                50 wiaservc.log
04.12.2006  21:25               509 wiadebug.log
04.12.2006  21:25                 0 Sti_Trace.log
04.12.2006  21:23               231 system.ini
04.12.2006  21:23                 0 setuperr.log
temp.txt

Code

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8DA-70B2

Verzeichnis von C:\WINDOWS\Temp

06.12.2006  22:04                 0 dec77.tmp
06.12.2006  22:04                 0 dec76.tmp
06.12.2006  22:04                 0 dec75.tmp
06.12.2006  22:04                 0 dec74.tmp
06.12.2006  22:04                 0 dec73.tmp
06.12.2006  22:04                 0 dec72.tmp
06.12.2006  21:59                 0 dec70.tmp
06.12.2006  21:59                 0 dec6F.tmp
06.12.2006  21:52                 0 dec66.tmp
06.12.2006  21:52                 0 dec65.tmp
06.12.2006  21:50                 0 dec62.tmp
06.12.2006  21:50                 0 dec61.tmp
06.12.2006  21:49                 0 dec60.tmp
06.12.2006  21:49                 0 dec5F.tmp
06.12.2006  21:48                 0 dec5E.tmp
06.12.2006  21:48                 0 dec5D.tmp
06.12.2006  21:48                 0 dec5C.tmp
06.12.2006  21:48                 0 dec5B.tmp
06.12.2006  21:48                 0 dec5A.tmp
06.12.2006  21:48                 0 dec59.tmp
06.12.2006  21:48                 0 dec58.tmp
06.12.2006  21:48                 0 dec57.tmp
06.12.2006  21:48                 0 dec56.tmp
06.12.2006  21:48                 0 dec55.tmp
06.12.2006  21:48                 0 dec54.tmp
06.12.2006  21:48                 0 dec53.tmp
06.12.2006  21:48                 0 dec52.tmp
06.12.2006  21:45                 0 dec4F.tmp
06.12.2006  21:45                 0 dec4E.tmp
06.12.2006  21:45                 0 dec4D.tmp
06.12.2006  21:44                 0 dec4C.tmp
06.12.2006  21:43                 0 dec4B.tmp
06.12.2006  21:43                 0 dec4A.tmp
06.12.2006  21:40                 0 dec49.tmp
06.12.2006  21:40                 0 dec48.tmp
06.12.2006  21:40                 0 dec47.tmp
06.12.2006  21:39                 0 dec46.tmp
06.12.2006  21:39                 0 dec45.tmp
06.12.2006  21:39                 0 dec44.tmp
06.12.2006  21:39                 0 dec43.tmp
06.12.2006  21:39                 0 dec42.tmp
06.12.2006  21:38                 0 dec40.tmp
06.12.2006  21:38                 0 dec3F.tmp
06.12.2006  21:38                 0 dec3E.tmp
06.12.2006  21:38                 0 dec3D.tmp
06.12.2006  21:37                 0 dec3C.tmp
06.12.2006  21:37                 0 dec3B.tmp
06.12.2006  21:37                 0 dec3A.tmp
06.12.2006  21:37                 0 dec39.tmp
06.12.2006  21:36                 0 dec38.tmp
06.12.2006  21:35                 0 dec37.tmp
06.12.2006  21:35                 0 dec36.tmp
06.12.2006  21:35                 0 dec35.tmp
06.12.2006  21:35                 0 dec34.tmp
06.12.2006  21:35                 0 dec33.tmp
06.12.2006  21:34                 0 dec32.tmp
06.12.2006  21:34                 0 dec31.tmp
06.12.2006  21:34                 0 dec30.tmp
06.12.2006  21:33                 0 dec2F.tmp
06.12.2006  21:33                 0 dec2C.tmp
06.12.2006  21:33                 0 dec2B.tmp
06.12.2006  21:32                 0 dec2A.tmp
06.12.2006  21:32                 0 dec29.tmp
06.12.2006  21:32                 0 dec28.tmp
06.12.2006  21:32                 0 dec27.tmp
06.12.2006  21:32                 0 dec26.tmp
06.12.2006  21:32                 0 dec25.tmp
06.12.2006  21:32                 0 dec24.tmp
06.12.2006  21:32             8.192 httproxycc_tmp05CAEB501165437126
06.12.2006  21:31                 0 dec23.tmp
              70 Datei(en)          8.192 Bytes
               0 Verzeichnis(se), 14.680.076.288 Bytes frei
down.txt

Code

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8DA-70B2

Verzeichnis von C:\WINDOWS\Downloaded Program Files

04.12.2006  21:30                65 desktop.ini
09.11.2006  14:36             5.019 swflash.inf
26.05.2005  04:19               291 wuweb.inf
               3 Datei(en)          5.375 Bytes
               0 Verzeichnis(se), 14.680.064.000 Bytes frei
c.txt

Code

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8DA-70B2

Verzeichnis von C:\

06.12.2006  22:52                 0 sys.txt
06.12.2006  22:52               392 down.txt
06.12.2006  22:51             3.540 tmp.txt
06.12.2006  22:50             9.214 system.txt
06.12.2006  22:50             3.291 systemtemp.txt
06.12.2006  22:48            96.931 system32.txt
06.12.2006  22:21       805.306.368 pagefile.sys
06.12.2006  22:10             7.378 avenger.txt
04.12.2006  23:40               211 boot.ini
04.12.2006  23:36            47.564 NTDETECT.COM
04.12.2006  23:36           251.184 ntldr
04.12.2006  21:31                 0 IO.SYS
04.12.2006  21:31                 0 CONFIG.SYS
04.12.2006  21:31                 0 AUTOEXEC.BAT
04.12.2006  21:31                 0 MSDOS.SYS
18.08.2001  13:00             4.952 bootfont.bin
              16 Datei(en)    805.731.025 Bytes
               0 Verzeichnis(se), 14.679.994.368 Bytes frei
Seitenanfang Seitenende
06.12.2006, 23:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 ChillY1985

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

Files to delete:
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DFD25C.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF4FF3.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF4FE8.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF5520.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF329C.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\modul32f.i.exe.conf
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\hdd.p.exe.conf
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\ssd32.s.exe.conf
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\42exhdd.p.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\45exhdd.p.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\61exhdd.p.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\87exhdd.p.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\82exmodul32f.i.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\43exmodul32f.i.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\47exmodul32f.i.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\39exmodul32f.i.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DFA118.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF7C68.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\hdd.o.exe.conf
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\modul32f.f.exe.conf
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\wmplog00.sqm
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\injs.s.exe.conf
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\lnames.txt.cab
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\lnames.txt
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\fnames.txt.cab
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\fnames.txt
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\domains.txt
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\domains.txt.cab
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\28exssd32.s.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\93exssd32.s.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\8exssd32.s.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\80exssd32.s.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\6exssd32.s.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\62exssd32.s.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\60exssd32.s.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\38exssd32.s.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\43exssd32.s.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\20exssd32.s.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\97exhdd.o.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\28exhdd.o.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\22exhdd.o.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\60exhdd.o.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\58exhdd.o.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\15exhdd.o.exe
Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

___________

Klicke: Start -Ausfuehren- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y

____________

Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

____________

scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2006, 00:41
...neu hier

Beiträge: 4
#14 So gemacht:

Code

vsserv.exe;c:\programme\softwin\bitdefender10;möglicherweise DLOADER.Trojan;;
vsserv.exe;C:\Programme\Softwin\BitDefender10;möglicherweise DLOADER.Trojan;;
Seitenanfang Seitenende
07.12.2006, 00:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 poste dieses log
http://virus-protect.org/registry_stuff.html

+
noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende