Trojaner/Virus erstellt win**.tmp.exe dateien - folge: systemüberlastung

#211 Andy1984

Counterspy scheint alles rausgeloescht zu haben
scanne noch mal mit ihm, bis alles sauber bleibt

dann scanne mit smitfraudfix (option 2)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#212 Hallo Sabina,
hatte jetzt die vergangenen Tage Ruhe und heute hat Norton "Trojan.Zlob" gefunden. Ist der sehr kritisch, oder vergleichbar mit dem anderen?
Langsam geht mir das ganze Virus Zeug auf den Nerv... :-)

Andy

#213 gefunden und auch geloescht , oder nur gefunden ???
__________
MfG Sabina

rund um die PC-Sicherheit

#214 Hat ihn gefunden und gelöscht, aber das war schon mal. Naja schauen mer mal was noch passiert.

Hoffe ich hab jetzt erst mal Ruhe.

Schönes Wochenende

Mfg Andy

#215 Hallo erstmal bin auch durch ein wenig suchen hier über diesen Forums Thread gestolpert hab mir das mistviech auch eingefangen aber bei mir wirkt er sich grundsetzlich nur auf meine Internet Verbindung aus ,besitze ein 6mbit Leutung die durch eine dfü verbindung angewählt wird nun wenn ich jetzt länger als 30 bis 40 min im Internet surfe ,...,etc bekomme ich jedesmal eine Trennung der dfü verbindung und wenn ich den Task Manager öffne befinden sich dort die genannten idd**.tmp.exe und win**.tmp.exe ,wenn ich danach neu verbinden möchte wird mir eine neue vebindung angezeigt die sich "0202" in den Netzwerkverbindungen nennt des weiteren habe ich auch in der regedit eine gewisse svhost.exe gefunden die da scheinbar nicht hingehört und sich auch im Autostart bemerkbar macht, würde mich freuhen wenn mir einer eine hilfestellung geben könnte wie ich das drecksviech killen kann , mfg tr0y

Logfile of HijackThis v1.99.1
Scan saved at 18:35:05, on 24.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Dokumente und Einstellungen\tr0y\Desktop\HijackThis.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F2F2CF5-78D5-4687-BB9E-3D4F4819874F}: NameServer = 217.237.150.51 217.237.150.188
O17 - HKLM\System\CS4\Services\Tcpip\..\{0F2F2CF5-78D5-4687-BB9E-3D4F4819874F}: NameServer = 217.237.150.51 217.237.150.188

--

#216 tr0y

««
poste bitte dieses log
http://virus-protect.org/artikel/tools/combofix.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#217 tr0y - 06-11-25 2:39:18,92 Service Pack 2
ComboFix 06.11.22 - Running from: "C:\Programme\Mozilla Firefox"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\wtscc.exe
C:\Programme\Gemeinsame Dateien\{30D892BB-070C-1031-0811-040404090031}
C:\Programme\Gemeinsame Dateien\{80D892BB-070C-1031-0811-040404090031}

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\tr0y\Eigene Dateien\ICROSO~1.NET
C:\QooBox\Purity\Dokumente und Einstellungen\tr0y\Eigene Dateien\ICROSO~1.NET\fast.exe
C:\QooBox\Purity\Dokumente und Einstellungen\tr0y\Eigene Dateien\ICROSO~1.NET\?icrosoft.NET
C:\QooBox\Purity\WINDOWS\FNTS~1
C:\QooBox\Purity\WINDOWS\FNTS~1\j?vaw.exe


((((((((((((((((((((((((((((((( Files Created from 2006-10-25 to 2006-11-25 ))))))))))))))))))))))))))))))))))


2006-11-24 18:59 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2006-11-24 18:59 <DIR> d-------- C:\Dokumente und Einstellungen\tr0y\Anwendungsdaten\SUPERAntiSpyware.com
2006-11-24 18:07 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-11-24 18:07 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-11-24 18:07 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-11-24 18:07 214 --a------ C:\WINDOWS\system32\tmp.reg
2006-11-24 18:07 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-11-24 17:56 <DIR> d-------- C:\avenger
2006-11-24 17:54 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2006-11-24 17:51 <DIR> d-------- C:\VundoFix Backups
2006-11-24 16:32 131,072 --a------ C:\WINDOWS\system32\qtquhuyr.dll
2006-11-24 01:08 <DIR> d-------- C:\Programme\Sunbelt Software
2006-11-24 00:44 <DIR> d-------- C:\Programme\CleanUp!
2006-11-22 14:23 <DIR> d-------- C:\Programme\ICQ FORCE
2006-11-22 14:07 <DIR> d-------- C:\Programme\SpyCQ
2006-11-22 13:59 17,408 --a------ C:\WINDOWS\system32\winmyy32.dll
2006-11-21 18:16 <DIR> d-------- C:\Programme\Activision
2006-11-20 23:25 516,096 --------- C:\WINDOWS\system32\ati2sgag.exe
2006-11-20 23:23 451,072 --a------ C:\WINDOWS\Radeon Omega Drivers v3.8.291 Uninstall.exe
2006-11-20 22:54 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys
2006-11-20 22:54 270,336 --a------ C:\WINDOWS\system32\imon.dll
2006-11-20 22:54 <DIR> d-------- C:\Programme\ESET
2006-11-20 22:53 33,952 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2006-11-20 22:48 <DIR> d-------- C:\Programme\OO Software
2006-11-18 22:04 <DIR> d-------- C:\Programme\Anno 1701
2006-11-18 20:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MumboJumbo
2006-11-18 20:46 <DIR> d-------- C:\Programme\MumboJumbo
2006-11-17 01:00 <DIR> d-------- C:\Programme\QuickPar
2006-11-12 22:51 <DIR> d-------- C:\Programme\Total Video Converter
2006-11-10 11:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Application Data
2006-11-08 16:02 <DIR> d-------- C:\Programme\PPMate
2006-11-08 16:02 <DIR> d-------- C:\Dokumente und Einstellungen\tr0y\Anwendungsdaten\PPMate
2006-11-03 23:13 <DIR> d-------- C:\Programme\F1 Challenge 06
2006-11-02 22:34 <DIR> d-------- C:\Dokumente und Einstellungen\tr0y\Anwendungsdaten\temp
2006-11-02 21:43 <DIR> dr-h----- C:\Dokumente und Einstellungen\tr0y\Anwendungsdaten\SecuROM
2006-11-02 19:54 <DIR> d-------- C:\Programme\FlashFXP
2006-11-02 00:06 <DIR> d-------- C:\Programme\Electronic Arts
2006-11-01 15:58 <DIR> d-------- C:\Programme\DAEMON Tools


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-25 02:40 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-25 02:39 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-24 18:59 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-11-24 03:59 -------- d-------- C:\Dokumente und Einstellungen\tr0y\Anwendungsdaten\uTorrent
2006-11-21 18:23 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-20 23:39 -------- d-------- C:\Dokumente und Einstellungen\tr0y\Anwendungsdaten\UseNeXT
2006-11-20 23:23 -------- d-------- C:\Programme\Radeon Omega Drivers
2006-11-20 23:23 -------- d-------- C:\Programme\MultiRes
2006-11-20 22:56 -------- d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2006-11-20 22:42 -------- d-------- C:\Programme\Trillian
2006-11-20 22:39 -------- d-------- C:\Programme\Xilisoft
2006-11-20 22:38 -------- d-------- C:\Programme\CyberLeadingCorp
2006-11-20 22:35 -------- d-------- C:\Programme\KiFFERSTUEBCHEN.de Anticheat
2006-11-20 22:34 -------- d-------- C:\Programme\Game Graphic Studio
2006-11-20 22:31 -------- d-------- C:\Programme\DaViDeo 4 professional
2006-11-20 22:31 -------- d-------- C:\Dokumente und Einstellungen\tr0y\Anwendungsdaten\concept design
2006-11-20 22:27 -------- d-------- C:\Programme\VSO
2006-11-20 21:45 -------- d-------- C:\Programme\1Click DVD to Divx Avi
2006-11-17 04:35 -------- d-------- C:\Programme\PPStream
2006-11-17 04:35 -------- d-------- C:\Programme\MSN Messenger
2006-11-17 04:35 -------- d-------- C:\Programme\Internet Explorer
2006-11-17 04:35 -------- d-------- C:\Dokumente und Einstellungen\tr0y\Anwendungsdaten\ppstream
2006-11-11 15:10 -------- d-------- C:\Programme\Windows Media Player
2006-11-10 09:49 -------- d-------- C:\Programme\EA SPORTS
2006-11-07 02:23 -------- d-------- C:\Programme\cFosSpeed
2006-11-02 19:26 -------- d-------- C:\Programme\IRCXpro
2006-11-02 19:23 -------- d-------- C:\Programme\sixteen tons entertainment
2006-11-02 00:02 -------- d-------- C:\Programme\EA GAMES
2006-11-01 15:50 611064 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-10-29 05:33 -------- d-------- C:\Programme\Anti-Blaxx
2006-10-24 02:45 147495 --a------ C:\WINDOWS\system32\rmocx.dll
2006-10-24 02:43 -------- d-------- C:\Dokumente und Einstellungen\tr0y\Anwendungsdaten\Real
2006-10-22 22:12 -------- d-------- C:\Programme\UseNeXT
2006-10-21 15:24 -------- d-------- C:\Dokumente und Einstellungen\tr0y\Anwendungsdaten\SopCast
2006-10-21 15:21 -------- d-------- C:\Programme\SopCast
2006-10-21 15:03 -------- d-------- C:\Programme\tvants
2006-10-21 14:46 359808 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS
2006-10-21 14:46 -------- d-------- C:\Programme\PPLive
2006-10-17 15:15 -------- d-------- C:\Programme\Virtual CD v8
2006-10-17 14:13 271360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2006-10-17 14:13 18048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-07 14:22 -------- d-------- C:\Programme\Teamspeak2_RC2
2006-10-05 23:11 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-10-03 20:11 -------- d-------- C:\Programme\XBox 360 Controller for Windows Software
2006-10-02 00:15 -------- d-------- C:\Programme\THQ
2006-10-01 14:16 -------- d-------- C:\Programme\Outlook Express
2006-10-01 14:16 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{076394AD-7FDD-44EF-A075-32C68DBAB99B}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:5b,00,00,00
"NoDriveAutoRun"=hex:00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveAutoRun"=dword:00200000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Monitor Apache Servers.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Monitor Apache Servers.lnk"
"backup"="C:\\WINDOWS\\pss\\Monitor Apache Servers.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\APACHE~1\\Apache2\\bin\\APACHE~1.EXE "
"item"="Monitor Apache Servers"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^tr0y^Startmenü^Programme^Autostart^WlanUtility.lnk]
"path"="C:\\Dokumente und Einstellungen\\tr0y\\Startmenü\\Programme\\Autostart\\WlanUtility.lnk"
"backup"="C:\\WINDOWS\\pss\\WlanUtility.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\WLANUT~1\\WLANUT~1.EXE "
"item"="WlanUtility"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^tr0y^Startmenü^Programme^Autostart^Xfire.lnk]
"path"="C:\\Dokumente und Einstellungen\\tr0y\\Startmenü\\Programme\\Autostart\\Xfire.lnk"
"backup"="C:\\WINDOWS\\pss\\Xfire.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Xfire\\Xfire.exe "
"item"="Xfire"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeReaderPro]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="directx"
"hkey"="HKLM"
"command"="directx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cli"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BearShare"
"hkey"="HKLM"
"command"="\"C:\\Programme\\BearShare\\BearShare.exe\" /pause"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTDrive]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="drvgup"
"hkey"="HKLM"
"command"="rundll32.exe C:\\WINDOWS\\system32\\drvgup.dll,startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\D-G ownage]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="D-G ownage"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\D-G ownage.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DU Meter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DUMeter"
"hkey"="HKLM"
"command"="C:\\Programme\\DU Meter\\DUMeter.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NEWDOT~2"
"hkey"="HKLM"
"command"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~2.DLL,ClientStartup -s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nod32kui]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nod32kui"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Eset\\nod32kui.exe\" /WAITSERVICE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ooccctrl.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ooccctrl"
"hkey"="HKLM"
"command"="C:\\Programme\\OO Software\\CleverCache\\ooccctrl.exe /tasktray"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\startkey]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="svchost"
"hkey"="HKCU"
"command"="C:\\svchost.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunServer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sunserver"
"hkey"="HKLM"
"command"="C:\\Programme\\Sunbelt Software\\CounterSpy\\Consumer\\sunserver.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"UserAccess7"=dword:00000002
"UleadBurningHelper"=dword:00000002
"TUWinStylerThemeSvc"=dword:00000003
"TODslService"=dword:00000003
"StyleXPService"=dword:00000002
"StarWindService"=dword:00000002
"mysql"=dword:00000002
"FileZilla Server"=dword:00000002
"Electronic Arts Licensing Service"=dword:00000003
"cFosSpeedS"=dword:00000002
"Ati HotKey Poller"=dword:00000002
"Apache2"=dword:00000002
"VC8SecS"=dword:00000002
"iPodService"=dword:00000003
"IDriverT"=dword:00000003
"NOD32krn"=dword:00000002
"OOCleverCacheAgent"=dword:00000002
"O&O Defrag"=dword:00000002

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 06-11-25 2:41:42.67
C:\ComboFix.txt ... 06-11-25 02:41

-----------
Datentr„ger in Laufwerk C: ist HDD in 1
Volumeseriennummer: 80D8-92BB

Verzeichnis von C:\WINDOWS\system32

24.11.2006 18:53 3.492 OODBS.lor
24.11.2006 18:09 0 tmp.txt
24.11.2006 18:09 214 tmp.reg
24.11.2006 16:42 72.566 MobileSidewalkRON_2.ico
22.11.2006 23:59 3.976 goc.log
22.11.2006 23:59 13.684 wpa.dbl
22.11.2006 13:59 17.408 winmyy32.dll
20.11.2006 22:54 270.336 imon.dll
16.11.2006 09:09 126.912 FNTCACHE.DAT
11.11.2006 15:10 16.832 amcompat.tlb
11.11.2006 15:10 23.392 nscompat.tlb
08.11.2006 02:38 10.342.824 MRT.exe
01.11.2006 14:32 63.698 perfc009.dat
01.11.2006 14:32 416.044 perfh007.dat
01.11.2006 14:32 404.458 perfh009.dat
01.11.2006 14:32 75.392 perfc007.dat
01.11.2006 14:32 970.618 PerfStringBackup.INI
25.10.2006 14:17 131.072 qtquhuyr.dll
24.10.2006 02:45 24.576 rmoc3260.dll
24.10.2006 02:45 147.495 rmocx.dll
24.10.2006 02:18 3.785 qtplugin.log
16.10.2006 11:40 123.392 xpsp3res.dll
13.10.2006 13:35 146.432 nwprovau.dll
05.10.2006 23:11 98.304 CmdLineExt.dll
14.09.2006 09:39 615.936 urlmon.dll
14.09.2006 09:39 664.576 wininet.dll
14.09.2006 09:39 474.624 shlwapi.dll
14.09.2006 09:39 39.424 pngfilt.dll
14.09.2006 09:39 532.480 mstime.dll
14.09.2006 09:39 3.075.584 mshtml.dll
14.09.2006 09:39 448.512 mshtmled.dll
14.09.2006 09:39 146.432 msrating.dll
14.09.2006 09:39 96.768 inseng.dll
14.09.2006 09:39 251.392 iepeers.dll
14.09.2006 09:39 16.384 jsproxy.dll
14.09.2006 09:39 55.808 extmgr.dll
14.09.2006 09:39 357.888 dxtmsft.dll
14.09.2006 09:39 205.312 dxtrans.dll
14.09.2006 09:39 152.064 cdfview.dll
14.09.2006 09:39 1.022.976 browseui.dll
14.09.2006 09:39 1.056.256 danim.dll
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
29.08.2006 18:43 135.168 swreg.exe
25.08.2006 16:46 617.472 comctl32.dll
23.08.2006 04:11 307.200 atiiiexx.dll
23.08.2006 03:53 260.096 ati2dvag.dll
23.08.2006 03:47 114.688 atipdlxx.dll
23.08.2006 03:46 77.824 Oemdspif.dll
23.08.2006 03:46 26.112 Ati2mdxx.exe
23.08.2006 03:46 41.984 ati2edxx.dll
23.08.2006 03:46 86.016 ati2evxx.dll
23.08.2006 03:45 413.696 ati2evxx.exe
23.08.2006 03:44 53.248 ATIDDC.DLL
23.08.2006 03:38 2.401.984 ati3duag.dll
23.08.2006 03:33 303.104 ATIDEMGR.dll
23.08.2006 03:33 2.510.752 ativvaxx.dll
23.08.2006 03:27 6.684.672 atioglx1.dll
23.08.2006 03:24 5.140.480 atioglxx.dll
23.08.2006 03:21 221.184 atikvmag.dll
23.08.2006 03:19 17.408 atitvo32.dll
23.08.2006 03:14 290.816 ati2cqag.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
17.08.2006 13:28 729.600 lsasrv.dll
17.08.2006 13:28 332.288 netapi32.dll
17.08.2006 13:28 132.096 wkssvc.dll
16.08.2006 19:52 133.583 atiicdxx.dat
16.08.2006 12:58 100.352 6to4svc.dll
---------
Datentr„ger in Laufwerk C: ist HDD in 1
Volumeseriennummer: 80D8-92BB

Verzeichnis von C:\DOKUME~1\tr0y\LOKALE~1\Temp

25.11.2006 02:41 32.768 ~DF83C9.tmp
24.11.2006 19:57 512 ~DF1F73.tmp
24.11.2006 19:57 512 ~DF1F43.tmp
24.11.2006 19:57 16.384 ~DF1F4B.tmp
24.11.2006 19:57 512 ~DF1F53.tmp
24.11.2006 19:57 16.384 ~DF1F5B.tmp
24.11.2006 19:57 512 ~DF1F63.tmp
24.11.2006 19:57 16.384 ~DF1F6B.tmp
24.11.2006 19:57 16.384 ~DF1F3B.tmp
24.11.2006 19:52 16.384 ~DF1C21.tmp
24.11.2006 19:52 512 ~DF97A.tmp
24.11.2006 19:52 16.384 ~DF972.tmp
24.11.2006 19:01 32.768 ~DF36E1.tmp
24.11.2006 19:01 16.384 ~DF224C.tmp
14 Datei(en) 182.784 Bytes
0 Verzeichnis(se), 10.371.268.608 Bytes frei
-----
Datentr„ger in Laufwerk C: ist HDD in 1
Volumeseriennummer: 80D8-92BB

Verzeichnis von C:\WINDOWS

25.11.2006 02:27 116 NeroDigital.ini
24.11.2006 19:01 1.867.963 WindowsUpdate.log
24.11.2006 18:54 0 0.log
24.11.2006 18:53 159 wiadebug.log
24.11.2006 18:53 50 wiaservc.log
24.11.2006 18:53 2.048 bootstat.dat
24.11.2006 18:13 184.579 setupact.log
24.11.2006 18:01 32.612 SchedLgU.Txt
24.11.2006 16:34 588.785 setupapi.log
24.11.2006 16:34 1.409 QTFont.for
24.11.2006 16:34 54.156 QTFont.qfn
24.11.2006 16:28 150.068 ntbtlog.txt
24.11.2006 04:09 256 system.ini
24.11.2006 04:09 558 win.ini
23.11.2006 01:32 66.141 cFosSpeed_Setup_Log.txt
21.11.2006 18:23 276 game.ini
20.11.2006 23:49 345.855 DirectX.log
20.11.2006 23:25 77.348 Omega Drivers v3.8.291.log
20.11.2006 23:23 451.072 Radeon Omega Drivers v3.8.291 Uninstall.exe
20.11.2006 22:43 19.338 hhdrvi.log
20.11.2006 22:40 32.839 Radeon Omega Drivers v3.8.252 Uninstall Log.txt
20.11.2006 22:40 54 Wininit.ini
17.11.2006 04:37 400 psnetwork.ini
17.11.2006 04:37 18 powerplayer.ini
16.11.2006 09:09 89.191 spupdsvc.log
16.11.2006 09:01 116.096 ntdtcsetup.log
16.11.2006 09:01 1.393 imsins.log
16.11.2006 09:01 191.219 comsetup.log
16.11.2006 09:01 30.699 ocmsn.log
16.11.2006 09:01 214.392 tsoc.log
16.11.2006 09:01 84.543 iis6.log
16.11.2006 09:01 19.321 KB923980.log
16.11.2006 09:01 282.863 ocgen.log
16.11.2006 09:01 27.963 msgsocm.log
16.11.2006 09:01 540.544 FaxSetup.log
16.11.2006 09:01 1.393 imsins.BAK
16.11.2006 09:01 19.517 KB924270.log
16.11.2006 09:01 35.445 updspapi.log
16.11.2006 09:01 19.164 KB920213.log
16.11.2006 09:01 21.283 KB922760.log
12.11.2006 09:00 12.878 KB917734.log
12.11.2006 09:00 273.336 wmsetup.log
11.11.2006 15:28 876 setuperr.log
11.11.2006 15:14 461 wmsetup10.log
11.11.2006 15:07 11.513 wmp11Uninst.log
12.10.2006 08:09 13.628 KB924191.log
12.10.2006 08:09 13.223 KB922819.log
12.10.2006 08:09 11.426 KB923414.log
12.10.2006 08:09 11.489 KB924496.log
12.10.2006 08:04 8.783 KB923191.log
10.10.2006 02:13 461 EAGRAPH.INI
03.10.2006 20:12 10.302 Xbox_360_CC_Driver.log
01.10.2006 14:43 1.454 COM+.log
01.10.2006 14:32 32.758 KB925486.log
01.10.2006 14:30 35.071 KB920872.log
01.10.2006 14:30 33.630 KB920685.log
01.10.2006 14:30 32.886 KB919007.log
01.10.2006 14:30 32.499 KB916595.log
01.10.2006 14:30 22.556 KB922582.log
01.10.2006 14:29 26.282 KB920214.log
01.10.2006 14:29 26.282 KB922616.log
01.10.2006 14:29 26.919 KB921398.log
01.10.2006 14:29 30.173 KB920683.log
01.10.2006 14:29 30.118 KB920670.log
01.10.2006 14:28 29.717 KB917422.log
01.10.2006 14:28 29.060 KB918899.log
01.10.2006 14:28 23.666 KB921883.log
01.10.2006 14:27 19.665 KB917159.log
01.10.2006 14:27 24.369 KB914388.log
01.10.2006 14:18 18.756 KB911280.log
01.10.2006 14:18 22.083 KB917953.log
01.10.2006 14:18 22.156 KB913580.log
01.10.2006 14:18 15.004 KB918439.log
01.10.2006 14:18 15.388 KB917344.log
01.10.2006 14:18 19.188 KB914389.log
01.10.2006 14:17 19.060 KB908531.log
01.10.2006 14:17 15.970 KB900485.log
01.10.2006 14:17 15.450 KB911562.log
01.10.2006 14:16 13.245 KB911567.log
01.10.2006 13:58 10.249 WGA.log
-----
Datentr„ger in Laufwerk C: ist HDD in 1
Volumeseriennummer: 80D8-92BB

Verzeichnis von C:\WINDOWS\Temp
-----
Datentr„ger in Laufwerk C: ist HDD in 1
Volumeseriennummer: 80D8-92BB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

30.11.2005 16:14 65 desktop.ini
16.06.2004 05:02 323.584 isusweb.dll
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
4 Datei(en) 544.833 Bytes
0 Verzeichnis(se), 10.371.268.608 Bytes frei
-----
Datentr„ger in Laufwerk C: ist HDD in 1
Volumeseriennummer: 80D8-92BB

Verzeichnis von C:\

25.11.2006 02:46 0 sys.txt
25.11.2006 02:45 440 down.txt
25.11.2006 02:45 112 tmp.txt
25.11.2006 02:45 11.994 system.txt
25.11.2006 02:44 921 systemtemp.txt
25.11.2006 02:43 112.409 system32.txt
25.11.2006 02:41 16.475 ComboFix.txt
24.11.2006 18:53 1.153.433.600 pagefile.sys
24.11.2006 18:10 880 rapport.txt
24.11.2006 17:55 13.896 avenger.txt
24.11.2006 17:51 187 VundoFix.txt
24.11.2006 04:09 211 boot.ini
23.11.2006 02:15 32.039 SysPr.prx
22.04.2005 01:13 161.792 Thumbs.db
28.03.2005 15:16 0 MSDOS.SYS
28.03.2005 15:16 0 IO.SYS
28.03.2005 15:16 0 CONFIG.SYS
28.03.2005 15:16 0 AUTOEXEC.BAT
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 251.184 ntldr
04.08.2004 13:00 47.564 NTDETECT.COM
21 Datei(en) 1.154.088.656 Bytes
0 Verzeichnis(se), 10.371.268.608 Bytes frei

#218 1.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

directx.exe

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

svchost.exe

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

---------------------------------------------------------------------------
3.
Avenger
http://virus-protect.org/artikel/tools/avenger1.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\startkey
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTDrive
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare

Files to delete:
C:\WINDOWS\system32\MobileSidewalkRON_2.ico
C:\WINDOWS\system32\qtquhuyr.dll
C:\WINDOWS\system32\goc.log
C:\WINDOWS\system32\winmyy32.dll
C:\svchost.exe

Folders to delete:
C:\Programme\Gemeinsame Dateien\{30D892BB-070C-1031-0811-040404090031}

Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

**
poste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#219 ServiceFilter 1.1

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Nov 26, 2006 00:54:34
===> Begin Service Listing <===
Unknown Service #1
Service Name: aspnet_state
Display Name: ASP.NET State Service
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 2
Service Name: BthServ
Display Name: Bluetooth Support Service
Start Mode: Auto
Start Name: NT AUTHORITY\LocalService
Description: ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k bthsvcs
State: Running
Process ID: 1584
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 3
Service Name: cFosSpeedS
Display Name: cFosSpeed System Service
Start Mode: Disabled
Start Name: LocalSystem
Description: Performs latency measurement and privileged operations for ...
Service Type: Own Process
Path: "c:\programme\cfosspeed\spd.exe" -service
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 4
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 5
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Disabled
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #6
Service Name: iPodService
Display Name: iPod Service
Start Mode: Disabled
Start Name: LocalSystem
Description: iPod hardware management ...
Service Type: Own Process
Path: c:\programme\ipod\bin\ipodservice.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #7
Service Name: mysql
Display Name: mysql
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\xampp\mysql\bin\mysqld-nt.exe --defaults-file=c:\programme\xampp\mysql\bin\my.cnf mysql
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 8
Service Name: NOD32krn
Display Name: NOD32 Kernel Service
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\eset\nod32krn.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: O&O Defrag
Display Name: O&O Defrag
Start Mode: Disabled
Start Name: LocalSystem
Description: O&O Defragmentation ...
Service Type: Own Process
Path: c:\windows\system32\oodag.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 10
Service Name: OOCleverCacheAgent
Display Name: O&O CleverCache Agent
Start Mode: Disabled
Start Name: LocalSystem
Description: O&O CleverCache ...
Service Type: Own Process
Path: "c:\programme\oo software\clevercache\ooccag.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 11
Service Name: StarWindService
Display Name: StarWind iSCSI Service
Start Mode: Disabled
Start Name: LocalSystem
Description: Enables network access to local devices via iSCSI ...
Service Type: Own Process
Path: c:\programme\alcohol soft\alcohol 120\starwind\starwindservice.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #12
Service Name: StyleXPService
Display Name: StyleXPService
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\tgtsoft\stylexp\stylexpservice.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #13
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{d2057f03-6168-4dec-8481-ef6576d31aab}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 14
Service Name: TUWinStylerThemeSvc
Display Name: TuneUp WinStyler Theme Service
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\tuneup utilities 2006\winstylerthemesvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 15
Service Name: UleadBurningHelper
Display Name: Ulead Burning Helper
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\ulead systems\dvd\ulcdrsvr.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 16
Service Name: UserAccess7
Display Name: SecuROM User Access Service (V7)
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\uaservice7.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 17
Service Name: WudfSvc
Display Name: Windows Driver Foundation - User-mode Driver Framework
Start Mode: Manual
Start Name: LocalSystem
Description: Manages user-mode driver host ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k wudfservicegroup
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 87 Win32 services on this machine.
17 were unrecognized.

Script Execution Time: 2,047119 seconds.
--
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.11.2006 00:57:18 for strings:
; 'directx.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeReaderPro]
"command"="directx.exe"

[HKEY_USERS\S-1-5-21-796845957-630328440-839522115-1004\Software\Microsoft\OLE]
"AdobeReaderPro"="directx.exe"

; End Of The Log...
--
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.11.2006 01:00:34 for strings:
; 'svchost.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A1E75357-881A-419E-83E2-BB16DB197C68}\LocalServer32]
@="C:\\WINDOWS\\system32\\svchost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A1F4E726-8CF1-11D1-BF92-0060081ED811}\LocalServer32]
@="C:\\WINDOWS\\system32\\svchost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E9376CC6-121A-447e-81CF-D8BCC200007C}\LocalServer32]
@="C:\\WINDOWS\\system32\\svchost.exe"



[HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Modules\Imon\Settings]
"UserAgentList"="Adclient Massive Inc./3.2.1.55\\NFSC.exe|Microsoft Internet Explorer\\ICQLite.exe|Microsoft-CryptoAPI/5.131.2600.2180\\msiexec.exe|Mozilla/3.0 AAW SE\\Ad-Aware.exe|Mozilla/4.0\\firefox.exe|Mozilla/4.0\\ICQLite.exe|Mozilla/4.0\\iexplore.exe|Mozilla/4.0\\UseNeXT.exe|Mozilla/4.0
\\wmplayer.exe|Mozilla/5.0\\firefox.exe|NOD32 Update\\nod32krn.exe|uTorrent/1300\\utorrent.exe|Windows-Media-Player/10.00.00.4036\\
wmplayer.exe|Windows-Update-Agent\\svchost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\startkey]
"command"="C:\\svchost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\TuneUp\Utilities\ProcessManager\Important Processes]
"svchost.exe"=""

#220 tr0y

es stimmt was nicht auf diesem Rechner, sieht stark nach einem Wurm aus
O4 - HKLM\..\Run: [AdobeReaderPro] directx.exe

««
wenn nicht alles rein passt, poste es als Anhang (siehe unten)


0.
poste hier das log vom HijackThis
http://virus-protect.org/hjtkurz.html


1.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\startkey]
"command"="C:\\svchost.exe"

- muss aus der registry geloescht werden, es war uebrigens im Avengerscript angegeben, hast du den avenger nicht ausgefuehrt ???

_______________________________________________________________

2.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\directx*.*" > c:\find.txt & start notepad c:\find.txt


und poste alles, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#221 doch habe den avenger ausgefürt nur hab ich das mit dem anhang nicht wahrgenommen und hab die logs nicht posten können ich reiche sie hiermit nach ,

edit (Sabina)

----
avenger log
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hcfsuuyo

*******************

Script file located at: \??\C:\Documents and Settings\lcnqhlut.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\MobileSidewalkRON_2.ico deleted successfully.
File C:\WINDOWS\system32\qtquhuyr.dll deleted successfully.
File C:\WINDOWS\system32\goc.log deleted successfully.
File C:\WINDOWS\system32\winmyy32.dll deleted successfully.


File C:\svchost.exe not found!
Deletion of file C:\svchost.exe failed!

Could not process line:
C:\svchost.exe
Status: 0xc0000034



Folder C:\Programme\Gemeinsame Dateien\{30D892BB-070C-1031-0811-040404090031} not found!
Deletion of folder C:\Programme\Gemeinsame Dateien\{30D892BB-070C-1031-0811-040404090031} failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{30D892BB-070C-1031-0811-040404090031}
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\startkey deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTDrive deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#222 tr0y

falls du einen Virenscanner auf dem system hast, deaktiviere /oder deinstalliere ihn.

Lade Kaspersky Anti-Virus 6.0 - scanne und berichte, (scanreport)
http://virus-protect.org/antivirenfree.html
__________
MfG Sabina

rund um die PC-Sicherheit

#223 gelöscht: Adware not-a-virus:AdWare.Win32.PurityScan.ak Datei: C:\avenger\backup.zip\avenger/qtquhuyr.dll
gelöscht: Virus Packed.Win32.Klone.t Datei: C:\avenger\backup.zip\avenger/winmyy32.dll/PE_Patch.PECompact/PecBundle/PECompact
gelöscht: trojanisches Programm Trojan-Spy.Win32.Small.es Datei: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
gelöscht: trojanisches Programm Trojan-Downloader.Win32.PurityScan.dt Datei: C:\QooBox\Purity\Dokumente und Einstellungen\tr0y\Eigene Dateien\ICROSO~1.NET\fast.exe/UPX
gelöscht: Adware not-a-virus:AdWare.Win32.PurityScan.ex Datei: C:\QooBox\Purity\WINDOWS\FNTS~1\jаvaw.exe
gelöscht: trojanisches Programm Trojan-Downloader.Win32.Small.bke Datei: F:\-Eigene Dat´s-\-Eigene Bilder-\Cs takke usw\ex3dstylewb.exe/WiseSFX Dropper/WISE0019.BIN
gelöscht: Adware not-a-virus:AdWare.Win32.NewDotNet Datei: F:\-Eigene Dat´s-\-Eigene Bilder-\Cs takke usw\ex3dstylewb.exe/WiseSFX Dropper/WISE0020.BIN
gelöscht: Adware not-a-virus:AdWare.Win32.ActivShopper.a Datei: F:\-Eigene Dat´s-\-Eigene Bilder-\Cs takke usw\ex3dstylewb.exe/WiseSFX Dropper/WISE0021.BIN/stream/data0004
gelöscht: Adware not-a-virus:AdWare.Win32.ActivShopper.a Datei: F:\-Eigene Dat´s-\-Eigene Bilder-\Cs takke usw\ex3dstylewb.exe/WiseSFX Dropper/WISE0021.BIN/stream/data0005

Es wurden 9 Objekte gefunden und davon alle gelöscht glaub ich habs jetzt soweit oder ? hab nochmal ne hijackthis log hinten ran gehängt

Logfile of HijackThis v1.99.1
Scan saved at 05:02:19, on 28.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Dokumente und Einstellungen\tr0y\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F2F2CF5-78D5-4687-BB9E-3D4F4819874F}: NameServer = 217.237.150.51 217.237.150.188
O17 - HKLM\System\CS4\Services\Tcpip\..\{0F2F2CF5-78D5-4687-BB9E-3D4F4819874F}: NameServer = 217.237.150.51 217.237.150.188
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

#224 tr0y

««
dein Rechner ist wieder sauber
bedenke, dass du nur eine Trialversion vom Kaspersky geladen hast, nach einem monat kaufe das proggie oder deinstalliere ihn wieder.
dann lade das free (oder wieder deinen NOD32 )
http://virus-protect.org/antivirus.html

««
und lade den browser Firefox, der IE bleibt fuer die Windowsupdates
http://virus-protect.org/firefox.html

Alles Gute - fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

#225 Möcht mich nochmals Bedanke wäre ohne die professionelle hilfe hier aufgeschmissen gewesen , also großes DANKESCHÖN