Command.exe als Prozess

#46 Sabrina
welche 6 dateien????????? und was soll ich kopieren? den clenup report?? da steht aber kein datum? nur die dateien die gelöscht(deletet) wurden.

#47 http://virus-protect.org/datfindbat.html
1.Log Verzeichnis von C:\WINDOWS\system32\
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp\
3.Log Verzeichnis von C:\WINDOWS\
4.Log Verzeichnis von C:\WINDOWS\temp\
5.Log Verzeichnis von C:\WINDOWS\Downloaded Program Files
6.Log Verzeichnis von C:\

Zitat

datFind.zip --> entzippe datFind.zip --> datFind.bat
http://virus-protect.org/zip/datFind.zip

1. Doppel-klick DATFINDBAT

2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

3. auf das Command Fenster klicken und beliebige Taste drücken

---------------------------------------------------------------------

4. Es öffnet sich der Texteditor. Speichern als systemtemp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

6. Wiederhole Schritt 3 und speichere als temp.txt

7. Wiederhole Schritt 3 und speichere als down.txt

8. Wiederhole Schritt 3 und speichere als c.txt

9. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig)

__________
MfG Sabina

rund um die PC-Sicherheit

#48 Datentr„ger in Laufwerk F: ist HaTcE
Volumeseriennummer: E8CA-3CBF

Verzeichnis von F:\

05.11.2006 17:36 105.984 Thumbs.db
22.10.2006 08:55 25.600 profil.wps
20.10.2006 18:16 10.240 gez.wps
07.05.2005 16:22 118.784 Yama.exe
4 Datei(en) 260.608 Bytes
0 Verzeichnis(se), 37.926.927.872 Bytes frei

#49 die datfindbat auf F:\ zu entpacken und anzuwenden - war keine gute Idee
bitte auf C:\ anwenden !
__________
MfG Sabina

rund um die PC-Sicherheit

#50 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30F4-A862

Verzeichnis von C:\WINDOWS\system32

04.11.2006 21:40 15 d2lh9jkdq8.exe
02.11.2006 22:30 0 j84o0ih3e84.dll
02.11.2006 20:51 14.210 dl2h9jkdq7.exe
02.11.2006 20:51 13.186 dl2h9jkdq6.exe
02.11.2006 20:51 36.738 d2lh9jkdq2.exe
29.10.2006 09:26 39.992 perfc009.dat
29.10.2006 09:26 311.604 perfh009.dat
29.10.2006 09:26 48.156 perfc007.dat
29.10.2006 09:26 316.594 perfh007.dat
29.10.2006 09:26 723.744 PerfStringBackup.INI
26.10.2006 18:31 2.206 wpa.dbl
21.10.2006 22:09 6.870 jupdate-1.5.0_06-b05.log
30.09.2006 20:29 197.752 FNTCACHE.DAT
28.09.2006 19:25 1.503 lvcoinst.log
17.09.2006 17:34 147.456 vbzip10.dll
17.09.2006 10:00 16.832 amcompat.tlb
17.09.2006 10:00 23.392 nscompat.tlb
12.09.2006 16:19 552 d3d8caps.dat
12.09.2006 14:24 0 TFTP484
11.09.2006 15:55 0 h323log.txt
11.09.2006 15:17 25.065 wmpscheme.xml
11.09.2006 15:09 261 $winnt$.inf
11.09.2006 15:06 2.951 CONFIG.NT
11.09.2006 15:03 488 logonui.exe.manifest
11.09.2006 15:03 488 WindowsLogon.manifest
11.09.2006 15:03 749 wuaucpl.cpl.manifest
11.09.2006 15:03 749 ncpa.cpl.manifest
11.09.2006 15:03 749 nwc.cpl.manifest
11.09.2006 15:03 749 cdplayer.exe.manifest
11.09.2006 15:03 749 sapi.cpl.manifest
11.09.2006 15:00 21.740 emptyregdb.dat
07.09.2006 12:54 57.384 avsda.dll




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30F4-A862

Verzeichnis von C:\DOKUME~1\GNEY~1\LOKALE~1\Temp

08.11.2006 17:47 201 jusched.log
08.11.2006 17:42 704.512 ~DFCBC8.tmp
08.11.2006 17:42 704.512 ~DFD94A.tmp
08.11.2006 17:41 32.768 ~DFCC05.tmp
08.11.2006 17:41 32.768 ~DFD9E3.tmp
08.11.2006 17:37 781 LVCOMSX.LOG
6 Datei(en) 1.475.542 Bytes
0 Verzeichnis(se), 120.807.424 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30F4-A862

Verzeichnis von C:\WINDOWS

08.11.2006 17:38 0 0.log
08.11.2006 17:37 159 wiadebug.log
08.11.2006 17:37 50 wiaservc.log
08.11.2006 17:37 2.048 bootstat.dat
07.11.2006 23:03 29.532 SchedLgU.Txt
07.11.2006 19:58 183.767 setupact.log
07.11.2006 16:31 0 keyboard1.dat
05.11.2006 22:33 30 Iedit.INI
05.11.2006 21:06 116 NeroDigital.ini
05.11.2006 14:06 754 WORDPAD.INI
05.11.2006 00:08 0 1.dat
04.11.2006 23:29 0 nsreg.dat
04.11.2006 21:58 9.728 Thumbs.db
02.11.2006 20:56 77.660 wmsetup.log
27.10.2006 21:58 1.074 win.ini
27.10.2006 19:46 72 Pex.INI
21.10.2006 22:09 431.439 setupapi.log
11.10.2006 21:07 0 MSDraw.ini
25.09.2006 21:01 264 _delis32.ini
25.09.2006 20:45 316.640 WMSysPr9.prx
24.09.2006 14:24 62 ANS2000.INI
24.09.2006 14:24 20 akebook.ini
24.09.2006 14:24 4 a3kebook.ini
24.09.2006 14:24 289 system.ini
20.09.2006 20:22 94.330 iis6.log
20.09.2006 20:22 33.477 comsetup.log
20.09.2006 20:22 20.675 ntdtcsetup.log
20.09.2006 20:22 42.348 tsoc.log
20.09.2006 20:22 3.492 tabletoc.log
20.09.2006 20:22 1.917 imsins.log
20.09.2006 20:22 13.621 netfxocm.log
20.09.2006 20:22 3.848 ocmsn.log
20.09.2006 20:22 58.051 ocgen.log
20.09.2006 20:22 4.189 msgsocm.log
20.09.2006 20:22 59.068 FaxSetup.log
20.09.2006 20:21 23.180 msmqinst.log
17.09.2006 20:55 66.368 DirectX.log
17.09.2006 14:12 1.917 imsins.BAK
17.09.2006 10:02 378 wmsetup10.log
14.09.2006 21:29 219 winzip.ini
14.09.2006 21:12 299.552 WMSysPrx.prx
13.09.2006 09:54 558 Windows Update.log
11.09.2006 15:47 0 Sti_Trace.log
11.09.2006 15:43 1.348 regopt.log
11.09.2006 15:42 0 setuperr.log
11.09.2006 15:17 829 OEWABLog.txt
11.09.2006 15:17 754.010 setuplog.txt
11.09.2006 15:16 178 nsw.log
11.09.2006 15:11 8.192 REGLOCS.OLD
11.09.2006 15:06 0 control.ini
11.09.2006 15:06 4.161 ODBCINST.INI
11.09.2006 15:03 749 WindowsShell.Manifest
11.09.2006 15:00 1.060 sessmgr.setup.log
11.09.2006 14:59 37 vbaddin.ini
11.09.2006 14:59 36 vb.ini
11.09.2006 14:59 128 DtcInstall.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30F4-A862

Verzeichnis von C:\WINDOWS\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30F4-A862

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.09.2006 15:03 65 desktop.ini
25.06.2006 11:50 1.793 erma.inf
22.06.2006 10:41 5.032 swflash.inf


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30F4-A862

Verzeichnis von C:\

08.11.2006 18:57 0 sys.txt
08.11.2006 18:57 990 down.txt
08.11.2006 18:57 117 tmp.txt
08.11.2006 18:57 4.663 system.txt
08.11.2006 18:57 538 systemtemp.txt
08.11.2006 18:56 94.097 system32.txt
08.11.2006 18:55 289 datFind.zip
08.11.2006 17:37 10.976 ComboFix.txt
08.11.2006 17:37 402.653.184 pagefile.sys
08.11.2006 17:02 16.369 ComboFix2.txt
07.11.2006 16:33 136 sqmdata07.sqm
07.11.2006 16:33 136 sqmnoopt05.sqm
07.11.2006 16:31 442.368 windows_e51.exe
07.11.2006 16:31 364.544 nwnmff_e51.exe_tobedeleted
05.11.2006 22:39 268 sqmdata06.sqm
05.11.2006 22:39 244 sqmnoopt04.sqm
05.11.2006 20:04 268 sqmdata05.sqm
05.11.2006 20:04 244 sqmnoopt03.sqm
05.11.2006 16:13 268 sqmdata04.sqm
05.11.2006 16:13 244 sqmnoopt02.sqm
04.11.2006 22:12 268 sqmdata03.sqm
04.11.2006 22:12 244 sqmnoopt01.sqm
04.11.2006 21:42 434.176 windows.exe
04.11.2006 15:56 136 sqmdata02.sqm
04.11.2006 15:56 136 sqmnoopt00.sqm
01.11.2006 22:07 268 sqmdata01.sqm
01.11.2006 22:07 244 sqmnoopt19.sqm
27.10.2006 19:24 268 sqmdata00.sqm
27.10.2006 19:24 244 sqmnoopt18.sqm
24.10.2006 18:44 232 sqmdata19.sqm
24.10.2006 18:44 244 sqmnoopt17.sqm
24.10.2006 18:43 136 sqmdata18.sqm
24.10.2006 18:43 268 sqmdata17.sqm
24.10.2006 18:43 244 sqmnoopt16.sqm
23.10.2006 20:24 280 sqmdata16.sqm
23.10.2006 20:24 244 sqmnoopt15.sqm
23.10.2006 10:13 268 sqmdata15.sqm
23.10.2006 10:13 244 sqmnoopt14.sqm
15.10.2006 21:07 268 sqmdata14.sqm
15.10.2006 21:07 244 sqmnoopt13.sqm
13.10.2006 19:28 268 sqmdata13.sqm
13.10.2006 19:28 244 sqmnoopt12.sqm
10.10.2006 14:18 268 sqmdata12.sqm
10.10.2006 14:18 244 sqmnoopt11.sqm
09.10.2006 17:07 136 sqmdata11.sqm
09.10.2006 17:07 268 sqmdata10.sqm
09.10.2006 17:07 244 sqmnoopt10.sqm
08.10.2006 22:09 268 sqmdata09.sqm
08.10.2006 22:09 244 sqmnoopt09.sqm
08.10.2006 14:45 268 sqmdata08.sqm
08.10.2006 14:45 244 sqmnoopt08.sqm
07.10.2006 22:26 244 sqmnoopt07.sqm
07.10.2006 21:23 244 sqmnoopt06.sqm
11.09.2006 15:06 0 AUTOEXEC.BAT
11.09.2006 15:06 0 MSDOS.SYS
11.09.2006 15:06 0 IO.SYS
11.09.2006 15:06 0 CONFIG.SYS



BEKOMM ICH KEINE ANTWORT????????????

#51 ich bin nicht immer online ...

__________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|ACTX1

Files to delete:
C:\WINDOWS\system32\d2lh9jkdq8.exe
C:\WINDOWS\system32\j84o0ih3e84.dll
C:\WINDOWS\system32\jtl6073se.dll
C:\WINDOWS\system32\dl2h9jkdq7.exe
C:\WINDOWS\system32\dl2h9jkdq6.exe
C:\WINDOWS\system32\d2lh9jkdq2.exe
C:\WINDOWS\system32\vbzip10.dll
C:\Programme\Windows NT\vimo.html
C:\WINDOWS\system32\TFTP484
C:\windows.exe
C:\windows_e51.exe
C:\nwnmff_e51.exe_tobedeleted
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\1.dat
C:\windows\TEMP\update16526125.exe

Folders to delete:
C:\Programme\Zango
C:\Programme\MyGlobalSearch

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste hier das log vom avenger, was nach neustart erscheint

»»
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Programme\DeluxeCommunications\DxcBho.dll

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL (file missing)

O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto

O4 - HKLM\..\Run: [ACTX1] C:\windows\v1201.exe
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe

O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
O4 - HKCU\..\Run: [WinMedia] C:\windows\TEMP\update16526125.exe

O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/download/2006/cabs/
ErrorSafeGermanNewReleaseInstall.cab

O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: MediaContentIndex - C:\windows\system32\jtl6073se.dll

PC neustarten

**
arbeite die bfu genau nach Anweisung ab und poste den report
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

**
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#52 ich hab auf die ampel geklickt dann ist ein fenster gekommen wo steht: fatal error could not create new script file. wenn ich auf ok klicke kommt noch ein fenster wo steht:error code : 0 error logged to errorlog.txt. aborting now! wenn ich da auch auf ok klicke kommt noch ein fenster wo steht: einige dateien die aus avenger.zip entpackt wurden, wuden geändert oder neue dateine wurden erstellt. wollen sie diese zum archiv hinzufügen? Ja / Nein?
wenn ich auf ja kommt nix mehr...

#53 ich hoffe doch, du fuehrst den avenger von C:\ aus
kopiere nur rein:

Zitat

Files to delete:
C:\WINDOWS\system32\d2lh9jkdq8.exe
C:\WINDOWS\system32\j84o0ih3e84.dll
C:\WINDOWS\system32\jtl6073se.dll
C:\WINDOWS\system32\dl2h9jkdq7.exe
C:\WINDOWS\system32\dl2h9jkdq6.exe
C:\WINDOWS\system32\d2lh9jkdq2.exe
C:\WINDOWS\system32\vbzip10.dll
C:\Programme\Windows NT\vimo.html
C:\WINDOWS\system32\TFTP484
C:\windows.exe
C:\windows_e51.exe
C:\nwnmff_e51.exe_tobedeleted
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\1.dat
C:\windows\TEMP\update16526125.exe

Folders to delete:
C:\Programme\Zango
C:\Programme\MyGlobalSearch

__________
MfG Sabina

rund um die PC-Sicherheit

#54 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ilksscfg

*******************

Script file located at: \??\C:\ex^ofaur.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\d2lh9jkdq8.exe deleted successfully.
File C:\WINDOWS\system32\j84o0ih3e84.dll deleted successfully.


File C:\WINDOWS\system32\jtl6073se.dll not found!
Deletion of file C:\WINDOWS\system32\jtl6073se.dll failed!

Could not process line:
C:\WINDOWS\system32\jtl6073se.dll
Status: 0xc0000034

File C:\WINDOWS\system32\dl2h9jkdq7.exe deleted successfully.
File C:\WINDOWS\system32\dl2h9jkdq6.exe deleted successfully.
File C:\WINDOWS\system32\d2lh9jkdq2.exe deleted successfully.
File C:\WINDOWS\system32\vbzip10.dll deleted successfully.
File C:\Programme\Windows NT\vimo.html deleted successfully.
File C:\WINDOWS\system32\TFTP484 deleted successfully.
File C:\windows.exe deleted successfully.
File C:\windows_e51.exe deleted successfully.
File C:\nwnmff_e51.exe_tobedeleted deleted successfully.
File C:\WINDOWS\keyboard1.dat deleted successfully.
File C:\WINDOWS\1.dat deleted successfully.


File C:\windows\TEMP\update16526125.exe not found!
Deletion of file C:\windows\TEMP\update16526125.exe failed!

Could not process line:
C:\windows\TEMP\update16526125.exe
Status: 0xc0000034

Folder C:\Programme\Zango deleted successfully.


Folder C:\Programme\MyGlobalSearch not found!
Deletion of folder C:\Programme\MyGlobalSearch failed!

Could not process line:
C:\Programme\MyGlobalSearch
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

#55 lady_87

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Programme\DeluxeCommunications\DxcBho.dll

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL (file missing)

O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto

O4 - HKLM\..\Run: [ACTX1] C:\windows\v1201.exe
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe

O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
O4 - HKCU\..\Run: [WinMedia] C:\windows\TEMP\update16526125.exe

O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/download/2006/cabs/
ErrorSafeGermanNewReleaseInstall.cab

O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: MediaContentIndex - C:\windows\system32\jtl6073se.dll

PC neustarten

**
scanne mit smitfraudfix - option 1 und 1 - lasse auch die registry mitreinigen
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
arbeite die bfu genau nach Anweisung ab und poste den report
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

**
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#56 ---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 22:44:01 08.11.2006

+ Scan-Ergebnis:



F:\Programme\BearShare\BearShareZangoInstaller.exe/clientax.dll -> Adware.180Solutions : Ignoriert.
HKU\S-1-5-21-299502267-1770027372-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4508E20C-ACAD-11D2-9FC0-00550076E06F} -> Adware.2Search : Ignoriert.
C:\WINDOWS\QkFIQVI\asappsrv.dll -> Adware.CommAd : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@247realmedia[1].txt -> TrackingCookie.247realmedia : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@2o7[2].txt -> TrackingCookie.2o7 : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@entrepreneur.122.2o7[1].txt -> TrackingCookie.2o7 : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@adserver.71i[1].txt -> TrackingCookie.71i : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@adbrite[2].txt -> TrackingCookie.Adbrite : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@axa.addcontrol[2].txt -> TrackingCookie.Addcontrol : Ignoriert.
:mozilla.6:C:\Dokumente und Einstellungen\GÜNEY\Anwendungsdaten\Mozilla\Firefox\Profiles\1jbw1hwt.default\cookies.txt.old -> TrackingCookie.Cpvfeed : Ignoriert.
:mozilla.7:C:\Dokumente und Einstellungen\GÜNEY\Anwendungsdaten\Mozilla\Firefox\Profiles\1jbw1hwt.default\cookies.txt.old -> TrackingCookie.Cpvfeed : Ignoriert.
:mozilla.8:C:\Dokumente und Einstellungen\GÜNEY\Anwendungsdaten\Mozilla\Firefox\Profiles\1jbw1hwt.default\cookies.txt.old -> TrackingCookie.Cpvfeed : Ignoriert.
:mozilla.9:C:\Dokumente und Einstellungen\GÜNEY\Anwendungsdaten\Mozilla\Firefox\Profiles\1jbw1hwt.default\cookies.txt.old -> TrackingCookie.Cpvfeed : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@www.etracker[1].txt -> TrackingCookie.Etracker : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@www.etracker[3].txt -> TrackingCookie.Etracker : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@as1.falkag[2].txt -> TrackingCookie.Falkag : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@ivwbox[1].txt -> TrackingCookie.Ivwbox : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@komtrack[2].txt -> TrackingCookie.Komtrack : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@creative.paypopup[1].txt -> TrackingCookie.Paypopup : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@ads.planetactive[2].txt -> TrackingCookie.Planetactive : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Ignoriert.
:mozilla.17:C:\Dokumente und Einstellungen\GÜNEY\Anwendungsdaten\Mozilla\Firefox\Profiles\1jbw1hwt.default\cookies.txt.old -> TrackingCookie.Reliablestats : Ignoriert.
:mozilla.18:C:\Dokumente und Einstellungen\GÜNEY\Anwendungsdaten\Mozilla\Firefox\Profiles\1jbw1hwt.default\cookies.txt.old -> TrackingCookie.Reliablestats : Ignoriert.
:mozilla.19:C:\Dokumente und Einstellungen\GÜNEY\Anwendungsdaten\Mozilla\Firefox\Profiles\1jbw1hwt.default\cookies.txt.old -> TrackingCookie.Reliablestats : Ignoriert.
:mozilla.20:C:\Dokumente und Einstellungen\GÜNEY\Anwendungsdaten\Mozilla\Firefox\Profiles\1jbw1hwt.default\cookies.txt.old -> TrackingCookie.Reliablestats : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@revenue[1].txt -> TrackingCookie.Revenue : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@serving-sys[1].txt -> TrackingCookie.Serving-sys : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@media.top-banners[1].txt -> TrackingCookie.Top-banners : Ignoriert.
C:\Dokumente und Einstellungen\GÜNEY\Cookies\güney@weborama[2].txt -> TrackingCookie.Weborama : Ignoriert.
F:\SCHULDATEIEN\texts\einfach liebe 1.wps.vbs -> Worm.Gedza : Ignoriert.


::Berichtende

ICH FIND DEN REPORT VON BFU NICHT? WO FIND ICH DAS?

#57 1.
Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Folders to delete:
C:\WINDOWS\QkFIQVI

2.

Zitat

Ignoriert.

ja nun - der Scanner AVG Anti-Spyware loescht auch, man muss es nur so einstellen (siehe auf der Seite erklaert)
scanne also noch mal und poste den report

««
oder loesche manuell:
F:\SCHULDATEIEN\texts\einfach liebe 1.wps.vbs - ist der Worm.Gedza
F:\Programme\BearShare

««
in der Registry:

HKU\S-1-5-21-299502267-1770027372-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4508E20C-ACAD-11D2-9FC0-00550076E06F} -> loeschen
__________
MfG Sabina

rund um die PC-Sicherheit

#58 Hallo

Ich habe auch das Problem mit der command.exe

Der Prozess läßt sich nicht beenden und liegt im Verzeichnis c:\windows\bm9tYW5l

Ausserdem gibts in c:\programme\ einen Ordner namens "DeluxeCommunications" und in ihm enthalten sind DxcBho.dll und DxcCore.dll. Auch diese kann ich nicht löschen.

command.exe unter services.msc zu deaktivieren gelingt ebenfalls nicht.

datfind liefert folgendes:

==================================

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Verzeichnis von C:\WINDOWS

12.11.2006 20:49 0 0.log
12.11.2006 20:49 159 wiadebug.log
12.11.2006 20:49 50 wiaservc.log
12.11.2006 20:48 2.048 bootstat.dat
12.11.2006 20:47 30.214 SchedLgU.Txt
12.11.2006 20:47 576.167 WindowsUpdate.log
12.11.2006 20:42 675.222 setupapi.log
12.11.2006 20:00 0 keyboard1.dat
11.11.2006 21:39 377.527 DirectX.log
11.11.2006 01:59 116 NeroDigital.ini
04.11.2006 00:37 614 win.ini
29.09.2006 20:51 4.814 mozver.dat
29.09.2006 20:44 333 wininit.ini
06.09.2006 12:06 400 ODBC.INI
30.08.2006 12:39 478.424 iis6.log
30.08.2006 12:39 141.543 comsetup.log
30.08.2006 12:39 185.220 tsoc.log
30.08.2006 12:39 85.006 ntdtcsetup.log
30.08.2006 12:39 19.912 tabletoc.log
30.08.2006 12:39 35.432 KB920214.log
30.08.2006 12:39 1.374 imsins.log
30.08.2006 12:39 22.365 ocmsn.log
30.08.2006 12:39 204.108 ocgen.log
30.08.2006 12:39 27.769 MedCtrOC.log
30.08.2006 12:39 68.848 netfxocm.log
30.08.2006 12:39 19.625 msgsocm.log
30.08.2006 12:39 387.333 FaxSetup.log
30.08.2006 12:39 129.350 msmqinst.log
30.08.2006 12:38 2.633 KB920214Uninst.log
30.08.2006 12:38 1.374 imsins.BAK
30.08.2006 12:38 29.386 KB920670.log
30.08.2006 12:37 3.457 KB888113Uninst.log
20.08.2006 00:42 20.375 wmsetup.log
20.08.2006 00:42 642 GEARInstall.log
05.08.2006 10:51 286.720 iun507.exe
05.08.2006 01:00 1.452 COM+.log
02.08.2006 13:56 316.640 WMSysPr9.prx
02.08.2006 13:48 83 CDPLAYER.INI
02.08.2006 12:45 923 spupdsvc.log
02.08.2006 12:24 2.492 regopt.log
02.08.2006 12:22 115.102 WgaNotify.log
02.08.2006 12:21 0 Sti_Trace.log
02.08.2006 12:19 231 system.ini
02.08.2006 12:18 0 setuperr.log
02.08.2006 11:56 0 nsreg.dat
02.08.2006 11:33 829 OEWABLog.txt
02.08.2006 11:33 812.519 setuplog.txt
02.08.2006 11:32 8.192 REGLOCS.OLD


139 Datei(en) 9.786.813 Bytes
0 Verzeichnis(se), 21.640.028.160 Bytes frei

================================================================



Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Verzeichnis von C:\WINDOWS\system32

12.11.2006 22:02 88.946 nvapps.xml
12.11.2006 20:48 37.248 OODBS.lor
12.11.2006 20:10 145 info.txt
12.11.2006 20:02 70.872 ipv6monl.dll
12.11.2006 20:02 147 ldinfo.ldr
12.11.2006 20:02 978 winpfg32.sys
12.11.2006 20:02 2.238 click-005.ico
12.11.2006 20:01 96.768 dxclib303562752.dll
12.11.2006 20:00 1.335 zirf2d63.sys
12.11.2006 20:00 106.496 DomainHelper.dll
12.11.2006 20:00 62.976 zirf2d63.dll
11.11.2006 15:45 98.304 CmdLineExt.dll
09.11.2006 14:56 2.206 wpa.dbl
08.11.2006 04:25 185.016 FNTCACHE.DAT
29.10.2006 04:14 394.474 perfh009.dat
29.10.2006 04:14 60.190 perfc009.dat
29.10.2006 04:14 408.670 perfh007.dat
29.10.2006 04:14 72.702 perfc007.dat
29.10.2006 04:14 947.122 PerfStringBackup.INI
07.10.2006 21:44 424.136 wunauclt.exe
24.08.2006 10:17 8.833 jupdate-1.5.0_08-b03.log
23.08.2006 11:33 7.680 ff_acm.acm
23.08.2006 11:33 6.144 ff_vfw.dll
23.08.2006 11:33 547 ff_vfw.dll.manifest
14.08.2006 19:20 5 SndDrv32ds_d.ods
14.08.2006 19:20 5 AuxDrv32ds_d.ods
04.08.2006 11:05 592.402 x264vfw.dll
03.08.2006 02:22 8.255.912 MRT.exe
02.08.2006 16:03 36.734 OggDSuninst.exe
02.08.2006 12:54 6.948 jupdate-1.5.0_06-b05.log
02.08.2006 12:25 0 h323log.txt
02.08.2006 11:31 386 $winnt$.inf
02.08.2006 11:29 2.951 CONFIG.NT
02.08.2006 11:29 16.832 amcompat.tlb
02.08.2006 11:29 23.392 nscompat.tlb
02.08.2006 11:26 21.740 emptyregdb.dat
31.07.2006 09:06 61.440 mtProgressBar2.ocx
28.07.2006 12:28 3.075.072 mshtml.dll
28.07.2006 08:30 236.824 xactengine2_3.dll
28.07.2006 08:30 62.744 xinput1_2.dll
27.07.2006 14:25 679.424 inetcomm.dll
2236 Datei(en) 468.262.953 Bytes
0 Verzeichnis(se), 21.640.044.544 Bytes frei

=================================================

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C13-DAED

Verzeichnis von C:\

12.11.2006 22:10 0 sys.txt
12.11.2006 22:10 336 down.txt
12.11.2006 22:10 110 tmp.txt
12.11.2006 22:10 7.116 system.txt
12.11.2006 22:10 127 systemtemp.txt
12.11.2006 22:09 109.164 system32.txt
12.11.2006 22:05 289 datFind.zip
12.11.2006 21:49 752 files.txt
12.11.2006 20:48 1.610.612.736 pagefile.sys
08.10.2006 22:48 80 gputest.txt
04.10.2006 09:23 668 datFind.bat
19.09.2006 14:44 458 memory.txt
13.09.2006 22:37 0 Log.txt
14.08.2006 19:17 77 FilterLog.log
02.08.2006 11:29 0 CONFIG.SYS
02.08.2006 11:29 0 MSDOS.SYS
02.08.2006 11:29 0 IO.SYS
02.08.2006 11:29 0 AUTOEXEC.BAT
02.08.2006 11:25 211 boot.ini

22 Datei(en) 1.611.035.824 Bytes
0 Verzeichnis(se), 21.640.024.064 Bytes frei

=============================================

Vielen Dank im Voraus für jede Hilfe

#59 Nomatic

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#60 Combofix
================================
nomane - 06-11-13 13:42:19,98 Service Pack 2
ComboFix 06.11.9 - Running from: "D:\"

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *




((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\dxclib303562752.dll
C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\Dxcknwrd.dll
C:\Programme\DeluxeCommunications\DxcBho.dll
C:\Programme\DeluxeCommunications\DxcCore.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


C:\WINDOWS\system32\dxclib303562752.dll
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Deskbar


((((((((((((((((((((((((((((((( Files Created from 2006-10-13 to 2006-11-13 ))))))))))))))))))))))))))))))))))


2006-11-12 20:02 70,872 --a------ C:\WINDOWS\system32\ipv6monl.dll
2006-11-12 20:01 978 --a------ C:\WINDOWS\system32\winpfg32.sys
2006-11-12 20:01 96,768 --------- C:\WINDOWS\system32\dxclib303562752.dll
2006-11-12 19:35 424,136 --a------ C:\WINDOWS\system32\wunauclt.exe
2006-11-12 19:28 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys
2006-10-22 17:26 183,040 --a------ C:\WINDOWS\PI.EXE
2006-10-22 12:22 323,584 --a------ C:\WINDOWS\system32\nvwrspt.dll
2006-10-22 12:22 323,584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2006-10-22 12:22 319,488 --a------ C:\WINDOWS\system32\nvwrsptb.dll
2006-10-22 12:22 319,488 --a------ C:\WINDOWS\system32\nvwrsnl.dll
2006-10-22 12:22 315,392 --a------ C:\WINDOWS\system32\nvwrsru.dll
2006-10-22 12:22 315,392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2006-10-22 12:22 303,104 --a------ C:\WINDOWS\system32\nvwrstr.dll
2006-10-22 12:22 303,104 --a------ C:\WINDOWS\system32\nvwrssl.dll
2006-10-22 12:22 299,008 --a------ C:\WINDOWS\system32\nvwrssk.dll
2006-10-22 12:22 299,008 --a------ C:\WINDOWS\system32\nvwrsno.dll
2006-10-22 12:22 294,912 --a------ C:\WINDOWS\system32\nvwrssv.dll
2006-10-22 12:22 294,912 --a------ C:\WINDOWS\system32\nvwrspl.dll
2006-10-22 12:22 274,432 --a------ C:\WINDOWS\system32\nvrsit.dll
2006-10-22 12:22 266,240 --a------ C:\WINDOWS\system32\nvrspt.dll
2006-10-22 12:22 266,240 --a------ C:\WINDOWS\system32\nvrsnl.dll
2006-10-22 12:22 262,144 --a------ C:\WINDOWS\system32\nvrsru.dll
2006-10-22 12:22 262,144 --a------ C:\WINDOWS\system32\nvrsptb.dll
2006-10-22 12:22 262,144 --a------ C:\WINDOWS\system32\nvrsja.dll
2006-10-22 12:22 258,048 --a------ C:\WINDOWS\system32\nvrsko.dll
2006-10-22 12:22 253,952 --a------ C:\WINDOWS\system32\nvrshu.dll
2006-10-22 12:22 249,856 --a------ C:\WINDOWS\system32\nvrstr.dll
2006-10-22 12:22 249,856 --a------ C:\WINDOWS\system32\nvrssl.dll
2006-10-22 12:22 249,856 --a------ C:\WINDOWS\system32\nvrssk.dll
2006-10-22 12:22 249,856 --a------ C:\WINDOWS\system32\nvrspl.dll
2006-10-22 12:22 249,856 --a------ C:\WINDOWS\system32\nvrsno.dll
2006-10-22 12:22 245,760 --a------ C:\WINDOWS\system32\nvrssv.dll
2006-10-22 12:22 221,184 --a------ C:\WINDOWS\system32\nvrszhc.dll
2006-10-22 12:22 212,992 --a------ C:\WINDOWS\system32\nvwrsja.dll
2006-10-22 12:22 196,608 --a------ C:\WINDOWS\system32\nvwrsko.dll
2006-10-22 12:22 167,936 --a------ C:\WINDOWS\system32\nvwrszht.dll
2006-10-22 12:22 163,840 --a------ C:\WINDOWS\system32\nvwrszhc.dll
2006-10-22 12:22 118,784 --a------ C:\WINDOWS\system32\nvrszht.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]

2006-11-13 13:38 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-13 01:48 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-11-13 01:38 -------- d-------- C:\Programme\CCleaner
2006-11-12 23:22 -------- d-------- C:\Programme\eMule
2006-11-12 21:53 -------- d-------- C:\Programme\FlashGet
2006-11-12 21:49 -------- d-------- C:\Programme\CleanUp!
2006-11-12 21:40 -------- d-------- C:\Programme\KillTask
2006-11-12 20:03 -------- d-------- C:\Programme\SpywareBlaster
2006-11-12 20:01 -------- d-------- C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\Azureus
2006-11-11 15:45 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-11-10 20:01 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-27 23:45 -------- d-------- C:\Programme\Real Alternative
2006-10-22 14:04 -------- d-------- C:\Programme\mIRC
2006-10-22 13:54 -------- d-------- C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\Help
2006-10-22 12:22 888832 --a------ C:\WINDOWS\system32\nvmobls.dll
2006-10-22 12:22 86016 --a------ C:\WINDOWS\system32\nvmctray.dll
2006-10-22 12:22 81920 --a------ C:\WINDOWS\system32\nvwddi.dll
2006-10-22 12:22 794624 --a------ C:\WINDOWS\system32\nvcplui.exe
2006-10-22 12:22 7700480 --a------ C:\WINDOWS\system32\nvcpl.dll
2006-10-22 12:22 581632 --a------ C:\WINDOWS\system32\nvhwvid.dll
2006-10-22 12:22 5644288 --a------ C:\WINDOWS\system32\nvoglnt.dll
2006-10-22 12:22 5619712 --a------ C:\WINDOWS\system32\nvdisps.dll
2006-10-22 12:22 5255168 --a------ C:\WINDOWS\system32\nvdispsr.dll
2006-10-22 12:22 466944 --a------ C:\WINDOWS\system32\nvshell.dll
2006-10-22 12:22 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2006-10-22 12:22 4527488 --a------ C:\WINDOWS\system32\nv4_disp.dll
2006-10-22 12:22 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2006-10-22 12:22 442368 --a------ C:\WINDOWS\system32\nvappbar.exe
2006-10-22 12:22 425984 --a------ C:\WINDOWS\system32\keystone.exe
2006-10-22 12:22 3994624 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys
2006-10-22 12:22 35840 --a------ C:\WINDOWS\system32\nvcodins.dll
2006-10-22 12:22 35840 --a------ C:\WINDOWS\system32\nvcod.dll
2006-10-22 12:22 335872 --a------ C:\WINDOWS\system32\nvwrses.dll
2006-10-22 12:22 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll
2006-10-22 12:22 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll
2006-10-22 12:22 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll
2006-10-22 12:22 323584 --a------ C:\WINDOWS\system32\nvrshe.dll
2006-10-22 12:22 323584 --a------ C:\WINDOWS\system32\nvrsar.dll
2006-10-22 12:22 3203072 --a------ C:\WINDOWS\system32\nvgamesr.dll
2006-10-22 12:22 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll
2006-10-22 12:22 311296 --a------ C:\WINDOWS\system32\nvexpbar.dll
2006-10-22 12:22 3047424 --a------ C:\WINDOWS\system32\nvgames.dll
2006-10-22 12:22 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll
2006-10-22 12:22 2973696 --a------ C:\WINDOWS\system32\nvvitvsr.dll
2006-10-22 12:22 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll
2006-10-22 12:22 2924544 --a------ C:\WINDOWS\system32\nvvitvs.dll
2006-10-22 12:22 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll
2006-10-22 12:22 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll
2006-10-22 12:22 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2006-10-22 12:22 2859008 --a------ C:\WINDOWS\system32\nvmoblsr.dll
2006-10-22 12:22 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll
2006-10-22 12:22 278528 --a------ C:\WINDOWS\system32\nvwrshe.dll
2006-10-22 12:22 278528 --a------ C:\WINDOWS\system32\nvrsfr.dll
2006-10-22 12:22 274432 --a------ C:\WINDOWS\system32\nvrses.dll
2006-10-22 12:22 274432 --a------ C:\WINDOWS\system32\nvrsel.dll
2006-10-22 12:22 270336 --a------ C:\WINDOWS\system32\nvrsde.dll
2006-10-22 12:22 266240 --a------ C:\WINDOWS\system32\nvrsesm.dll
2006-10-22 12:22 245760 --a------ C:\WINDOWS\system32\nvrsda.dll
2006-10-22 12:22 241664 --a------ C:\WINDOWS\system32\nvrsfi.dll
2006-10-22 12:22 241664 --a------ C:\WINDOWS\system32\nvrseng.dll
2006-10-22 12:22 241664 --a------ C:\WINDOWS\system32\nvrscs.dll
2006-10-22 12:22 229376 --a------ C:\WINDOWS\system32\nvmccs.dll
2006-10-22 12:22 212992 --a------ C:\WINDOWS\system32\nvapi.dll
2006-10-22 12:22 188416 --a------ C:\WINDOWS\system32\nvmccss.dll
2006-10-22 12:22 1732608 --a------ C:\WINDOWS\system32\nvwssr.dll
2006-10-22 12:22 1662976 --a------ C:\WINDOWS\system32\nvwdmcpl.dll
2006-10-22 12:22 1622016 --a------ C:\WINDOWS\system32\nwiz.exe
2006-10-22 12:22 159810 --a------ C:\WINDOWS\system32\nvsvc32.exe
2006-10-22 12:22 147456 --a------ C:\WINDOWS\system32\nvcolor.exe
2006-10-22 12:22 1470464 --a------ C:\WINDOWS\system32\nview.dll
2006-10-22 12:22 1339392 --a------ C:\WINDOWS\system32\nvdspsch.exe
2006-10-22 12:22 1236992 --a------ C:\WINDOWS\system32\nvwss.dll
2006-10-22 12:22 1019904 --a------ C:\WINDOWS\system32\nvwimg.dll
2006-10-22 12:22 1011712 --a------ C:\WINDOWS\system32\nvcpluir.dll
2006-10-19 23:12 -------- d-------- C:\Programme\Pegasys Inc
2006-10-19 23:12 -------- d-------- C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\Pegasys Inc
2006-10-16 21:03 -------- d-------- C:\Programme\Gemeinsame Dateien\DirectX
2006-10-16 21:03 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-11 16:14 -------- d-------- C:\Programme\ArtMoney
2006-10-11 13:59 -------- d-------- C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\Macromedia
2006-10-11 13:46 -------- d-------- C:\Programme\Macromedia
2006-10-11 13:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2006-10-08 23:07 -------- d-------- C:\Programme\ffdshow
2006-10-04 19:01 162432 --a------ C:\WINDOWS\system32\drivers\ithsgt.sys
2006-10-04 19:01 12032 --a------ C:\WINDOWS\system32\drivers\lilsgt.sys
2006-10-03 18:21 -------- d-------- C:\Programme\Garmin
2006-10-02 00:55 -------- d-------- C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\Adobe
2006-10-01 21:45 -------- d-------- C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\Google
2006-10-01 21:44 -------- d-------- C:\Programme\Google
2006-09-30 02:22 -------- d-------- C:\Programme\Opera
2006-09-29 20:52 -------- d-------- C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\Mozilla
2006-09-28 02:02 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-09-28 01:29 -------- d-------- C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\HTML Executable
2006-09-24 20:31 -------- d-------- C:\Programme\Easy CD-DA Extractor 9
2006-09-20 04:05 -------- d-------- C:\Programme\Alcohol Soft
2006-09-18 01:40 -------- d-------- C:\Programme\MegaSpoof
2006-08-23 11:33 6144 --a------ C:\WINDOWS\system32\ff_vfw.dll
2006-08-02 12:19 62 --ahs---- C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\desktop.ini


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-13 13:45:11.10
C:\ComboFix.txt ... 06-11-13 13:45

Hijackthis
=====================================
Logfile of HijackThis v1.99.1
Scan saved at 15:40:05, on 13.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Tools\VirenEntferner\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - Global Startup: ColorVisionStartup.lnk = C:\Programme\ColorVision\Utility\ColorVisionStartup.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154517763062
O17 - HKLM\System\CCS\Services\Tcpip\..\{C96355EC-A5FA-41DD-82DA-0C55A9681815}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WUVQTRU - Sysinternals - www.sysinternals.com - C:\DOKUME~1\nomane\LOKALE~1\Temp\WUVQTRU.exe