Command.exe als Prozess

Thema ist geschlossen!
Thema ist geschlossen!
#0
30.11.2006, 00:02
Member

Beiträge: 41
#106 Ouh ja... hab ich vergessen einzustellen. Hab jetzt die aus dem Bericht versucht zu löschen und mit löschen nochmal gescannt. Hier der Report:

Zitat

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 00:03:54 30.11.2006

+ Scan-Ergebnis:



HKLM\SOFTWARE\Classes\CLSID\{04FC5C29-73C6-99FE-9568-2D6316E0DB4F} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{073C7FC6-8137-7BA8-FC4D-8518F53DD1BA} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{1DCBFC66-4990-8A75-0B4D-74D7B850CC29} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{24A21166-E0B9-9BB7-8A9C-DD4F05B5207A} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{27622543-E879-3A47-D05A-97903406A96F} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{4516ED6C-8451-CE75-8028-102D999C00AA} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{47CF0D84-64D8-D3F0-DBD8-09D910B3172B} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{4B04F9FF-A8D2-CC97-F041-1BB1E9874193} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{4C928477-3A6D-F1DD-A78A-1F75F7C46F82} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{4F766EC4-211C-AC42-9FA4-99E5B875A4CF} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{538D316B-A3A2-1200-EE47-1BEF8BCDD755} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{5A3D985D-E7F0-92FD-318F-8930CFEB6D7E} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{6769CB49-248D-E08B-15E7-10A94D7C172A} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{79070860-7C41-91F7-846B-070A0E3A7557} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{7AEF1698-E8CD-4535-C196-EAEADE211A17} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{87993483-A3AD-794F-F265-DD005BD9116B} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{933BFF75-7C0C-D7AC-9322-EB6F8F00CFAE} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{983D1105-2366-D1D5-E5DA-05F4CC5CDA8E} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{99F991F4-B99D-9CF6-C0E1-008449A5E64C} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{9A8194E4-E89A-F96E-41AC-3B95DC66C7C0} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{9D392CE1-0E98-05C3-BB34-7FC5B9D8D07E} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{9D3DCB85-C38C-2CD8-1768-75E8BDB64A72} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{9DBEE8BB-183E-C5DF-4EAC-83ACE1F34A8B} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{B6029097-47C6-0FE2-A8B2-F4630B4C91AF} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{CE911D1A-DD83-51E5-4A5F-1BD9DDAA421D} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{CF295B84-1F3D-A13C-944E-90632373707E} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{D0F03457-32E5-5715-6CDD-72C94F05ABBE} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{D89FEB47-489B-5DB5-8F56-21233C5B92D4} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{E6226C29-4068-EB26-B869-9B4C7E50B3E9} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{F6C8BCE2-FBA5-9DB6-B6F3-EBAA27151449} -> Adware.CoolWebSearch : Gesäubert.
HKLM\SOFTWARE\Classes\CLSID\{FA6A3A0D-D848-BCFF-0F1B-3F3BAC75DED9} -> Adware.CoolWebSearch : Gesäubert.
HKU\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25A0CAC3-1209-21C6-3E92-81CC5DEB3061} -> Adware.CoolWebSearch : Gesäubert.
HKU\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4C91ED05-E936-9DB3-A2FB-94E06016CC72} -> Adware.CoolWebSearch : Gesäubert.
HKU\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{962342AD-7D9C-4ED9-06F6-290AD24C961B} -> Adware.CoolWebSearch : Gesäubert.
HKU\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98BEE562-A984-68F6-3C3D-5BA8C901DC71} -> Adware.CoolWebSearch : Gesäubert.
HKU\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9F27B9CF-B4CA-5172-9786-0E69214AEDD9} -> Adware.CoolWebSearch : Gesäubert.
HKU\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D26AF2AB-0F2A-822B-1267-109C8769FEDC} -> Adware.CoolWebSearch : Gesäubert.
:mozilla.63:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.71i : Gesäubert.
:mozilla.64:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.71i : Gesäubert.
:mozilla.65:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.71i : Gesäubert.
:mozilla.66:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.71i : Gesäubert.
:mozilla.31:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.32:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.33:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.34:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.24:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert.
:mozilla.69:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.70:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.56:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.Popularix : Gesäubert.
:mozilla.42:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.43:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.44:C:\Dokumente und Einstellungen\JG\Anwendungsdaten\Mozilla\Firefox\Profiles\0f05gweb.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.


::Berichtende

Hijackthis sagt nun folgendes ;)

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 00:05:39, on 30.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\hphmon03.exe
D:\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\M-Audio\Transit\Install\TUSBInst.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\HPHipm09.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
G:\Eigene Dateien\_downloads\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - Global Startup: ColorVisionStartup.lnk = D:\PANTONE COLORVISION\Startup\ColorVisionStartup.exe
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6971054B-C3CA-48C2-B3DE-C8C06EC769B9}: NameServer = 192.168.2.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: M-Audio Transit Installer (TransitInstallerService) - M-Audio - C:\Programme\M-Audio\Transit\Install\TUSBInst.exe

Seitenanfang Seitenende
30.11.2006, 10:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#107 also - diesen Rechner scheinen wir wieder hingebogen zu haben ;)
hast du noch mehr auf lager ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.11.2006, 12:43
Member

Beiträge: 41
#108 !! Kurze Zwischenfrage, Immer wenn ich mit Kaspersky, Panda oder AVG scanne meckert Antivir über einen W95/Bumblebee in der Datei "C:\windows\system32\activescan\pskavs.dll" soll ich das ignorieren oder ist das irgendwas schlimmes?!!

Interessant ist allerdings, daß mein eigener Rechner, den wir ja anscheinend befreit hatten bei AVG Antispyware wieder einige Funde aufweist, und zwar welche, die wir geglaubt hatten bereinigt zu haben (Deluxe Communications und Elitekeylogger)... Ich hab sie gelöscht, aber würd mich nicht wundern, wenn da irgendwo dennoch was übrig ist. Sicher kann man sich da wohl nie sein, oder?

Ich hab noch 2 Rechner, aber bei denen wird es etwas schwieriger, da sie nichtr immer zur verfügung stehen.

Von dem einen hab ich zumindest schonmal Hijackthis, combofix und Datfind gemacht. Ich nenne ihn "pc4" damit es zu keiner verwechslung kommt. Meiner war dann "pc1" und den wir grade gefixt haben war "pc2", ok? "pc3" kommt ein anderes mal.

Im Anhang findest du die Scanreports von pc4.

Anhang: pc4.zip
Dieser Beitrag wurde am 30.11.2006 um 12:46 Uhr von Nomatic editiert.
Seitenanfang Seitenende
30.11.2006, 14:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#109 dieser rechner scheint clean zu sein ;)

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\unpdf.exe
C:\WINDOWS\system32\emfxp.dll


poste die reporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.11.2006, 15:58
Member

Beiträge: 41
#110 Ok, die beiden Dateien von "pc4" (C:\WINDOWS\system32\unpdf.exe & C:\WINDOWS\system32\emfxp.dll) sind frei, und auch die restlichen Scanner meckern nicht... scheint also wirklich nichts drauf zu sein.

=========================================================

Gut, dann also der letzte: "PC3"

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\M-Audio\Transit\Install\TUSBInst.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
\Pc-1\_lan\HijackThis.exe

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [updateMgr] D:\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - Global Startup: ColorVisionStartup.lnk = C:\Programme\ColorVision\Utility\ColorVisionStartup.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: PDF in Word öffnen - res://D:\OmniPagePro14\PdfCnv\IEShellExt.dll /500
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{15ACA86A-5C72-43AE-A28D-1F48991835BD}: NameServer = 192.168.2.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: M-Audio Transit Installer (TransitInstallerService) - M-Audio - C:\Programme\M-Audio\Transit\Install\TUSBInst.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

Anhang: pc-3.zip
Dieser Beitrag wurde am 01.12.2006 um 12:47 Uhr von Nomatic editiert.
Seitenanfang Seitenende
01.12.2006, 14:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#111

Zitat

AVG scanne meckert Antivir über einen W95/Bumblebee
das ist ein Bug , also, nicht beachten.

_________________

Rechner nr.3

Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

Files to delete:
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe
**
poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.12.2006, 21:59
Member

Beiträge: 41
#112 Avenger sagt folgendes:

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nrprsyas

*******************

Script file located at: \??\C:\WINDOWS\fybeohqi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system\smss.exe not found!
Deletion of file C:\WINDOWS\system\smss.exe failed!

Could not process line:
C:\WINDOWS\system\smss.exe
Status: 0xc0000034



File C:\WINDOWS\system32\nvsvcd.exe not found!
Deletion of file C:\WINDOWS\system32\nvsvcd.exe failed!

Could not process line:
C:\WINDOWS\system32\nvsvcd.exe
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Und dieses Find_Stuff

Zitat

doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"D:\\Kazaa\\clean.kmd"="D:\\Kazaa\\clean.kmd:*;)isabled:clean"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*;)isabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Description"="Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können."
"DependOnService"=hex(7):52,50,43,53,53,00,00
"DisplayName"="Remote-Registrierung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,4c,6f,63,61,6c,53,65,72,\
76,69,63,65,00
"ObjectName"="NT AUTHORITY\\LocalService"
"Group"=""
"Start"=dword:00000004
"Type"=dword:00000020
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,e0,ad,08,\
00,01,00,00,00,e8,03,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,72,65,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Enum]
"0"="Root\\LEGACY_REMOTEREGISTRY\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Type"=dword:00000010
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
74,6c,6e,74,73,76,72,2e,65,78,65,00
"DisplayName"="Telnet"
"DependOnService"=hex(7):52,50,43,53,53,00,54,43,50,49,50,00,4e,54,4c,4d,53,53,\
50,00,00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000



Seitenanfang Seitenende
02.12.2006, 16:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#113 ««
Variante 1:
Start - Einstellungen - Systemsteuerung - Verwaltung - Computerverwaltung - und dann den Eintrag Dienste auswählen

Variante 2:
Um die Diensteverwaltung explizit aufzurufen, geben Sie ein unter

Start - Ausführen: services.msc

Remote-Registrierung
Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern.

Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)

Telnet
Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen..

Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)


-------------------------------------------------------------------------
««
Registry

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


"C:\\WINDOWS\\system32\\svchost.exe" -> loeschen

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled"=dword:00000001 - in 0 aendern
"AntiVirusDisableNotify"=dword:00000001 - in 0 aendern
"FirewallDisableNotify"=dword:00000001 - in 0 aendern
"UpdatesDisableNotify"=dword:00000001 - in 0 aendern

PC neustarten

**
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.12.2006, 14:21
Member

Beiträge: 41
#114 Remote-Registrierung und Telnet waren schon deaktiviert, aber der Rest ist erledigt.

Hier das Log von Kaspersky:

Seitenanfang Seitenende
03.12.2006, 14:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#115 es war anscheinden nur noch der virendienst aktiv, die Viren selbst waren schon geloescht...

fixe mit dem HijackThis:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

dann sollte wieder alles mehr oder weniger i.o. sein, wenn du bei diesem rechner mal ans formatieren denkst, so zoegere nicht.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.12.2006, 17:06
Member

Beiträge: 41
#116 Kannst du da etwas konkreteres zu sagen, oder wäre das zu langatmig? Würde mich natürlich interessieren, wieso dieser ausgerechnet prädestiniert für eine Formatierung ist...
Seitenanfang Seitenende
03.12.2006, 19:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#117 hier hast du meine gesammelten Werke zum Backdoor.Win32.IRCBot.nw
http://virus-protect.org/artikel/dienste/nvsvcd.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.12.2006, 21:23
Member

Beiträge: 41
#118 Abgesehen von diesem Backdoor.Win32.IRCBot.nw - von dem du nicht mit Sicherheit sagen kannst, ob noch Spuren drauf sind - ist aber sonst alles in Ordnung, oder!?
Seitenanfang Seitenende
03.12.2006, 22:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#119 ja...aber ein Backdoor-Befall sollte Grund genug sein - neu aufzusetzen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2006, 14:42
Member

Beiträge: 41
#120 Ok, dann werd ich den mal neu aufsetzen... Hoffe, daß dann nicht wieder alles so schnell zugemüllt ist wie beim letzten mal.

Dann nochmal Danke für deine umfangreiche Hilfe, wüsste nicht was ich ohne dich hätte tun sollen.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: