Command.exe als ProzessThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
07.03.2006, 19:19
...neu hier
Beiträge: 6 |
||
|
||
08.03.2006, 12:45
Ehrenmitglied
Beiträge: 29434 |
#2
Sackfresse
1. Click Start>> Ausfuehren>> Type in Services.msc und Click OK! "Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert" Command Service (cmdService) 2. Start --> Ausfuehren --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K. sc delete Command Service sc delete cmdService 3. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint cd\ dir QWdncm8* /s >> files.txt dir "C:\WINDOWS\QWdncm8" >> files.txt notepad files.txt 4.. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 5. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.03.2006, 14:47
...neu hier
Themenstarter Beiträge: 6 |
#3
Ja danke Prozesse sind weg aber es öffnen sich immer noch die seiten !!
http://www.browserbuy-out.com/normal/yyy65.html http://www.ecommerc-e.com/normal/yyy102.html http://www.inter-netsuggestions.com/normal/yyy65.html http://www.uniqueoffer-s.com/normal/yyy102.html http://www212.paypopup.com http://www.blow-outsales.com/normal/yyy102.html http://www.buyer-shabit.com/normal/yyy102.html immer abwechselnd oder nacheinander PLZ help hab schon spybot rübergejagt !! Logfile of HijackThis v1.99.1 Scan saved at 14:48:44, on 08.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\cFosSpeed\spd.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\LckFldService.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\Explorer.EXE C:\Programme\cFosSpeed\cFosSpeed.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\MiLLi\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: &Download with TrueDownloader! - C:\Programme\TrueDownloader\TrueDownloader.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{84D9BE98-6B03-4472-AD07-33FC494DE13E}: NameServer = 194.97.173.125 194.97.173.124 O17 - HKLM\System\CCS\Services\Tcpip\..\{B8CEBA92-03B2-4117-A48B-95D005C5964E}: NameServer = 192.168.178.1 O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\ktjql7151.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
|
|
||
08.03.2006, 16:00
Ehrenmitglied
Beiträge: 29434 |
#4
Sackfresse
ich weiss ganz genau, was auf deinem PC so rumschwirrt und ich kann dir auch helfen, zu reinigen. Allerdings nur...wenn du ALLE Punkte (1-5) abarbeitest, um die ich gebeten habe...und die logs hier postest.... (meine Glaskugel ist heute gerade verborgt....) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.03.2006, 17:16
...neu hier
Themenstarter Beiträge: 6 |
#5
Ja sorry ich DEPP habs net geschnallt
sc delete Command Service Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6031-C02F Verzeichnis von C:\DOKUME~1\MiLLi\LOKALE~1\Temp 08.03.2006 14:50 576 travel01.rgn 08.03.2006 14:44 54.272 ginstall.dll 08.03.2006 14:32 3.120 auto05.rgn 08.03.2006 12:03 62.331 TWAIN.LOG 08.03.2006 12:03 2 Twain001.Mtx 08.03.2006 12:02 156 Twunk001.MTX 08.03.2006 12:01 0 Twunk002.MTX 08.03.2006 11:33 1.536 internet01.rgn 08.03.2006 11:23 1.072 auto02.rgn 07.03.2006 23:53 2.832 auto03.rgn 07.03.2006 23:40 32.768 ~DFC6DA.tmp 07.03.2006 22:40 2.464 homes03.rgn 07.03.2006 22:30 2.128 dating03.rgn 07.03.2006 22:20 6.816 newsanytimeregion.rgn 14 Datei(en) 170.073 Bytes 0 Verzeichnis(se), 19.124.441.088 Bytes frei sc delete cmdService hier erscheint kein fenster !!!!! Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6031-C02F Verzeichnis von C:\WINDOWS\system32 08.03.2006 14:40 234.272 guard.tmp 08.03.2006 14:38 234.272 SCTraTH.dll 08.03.2006 14:37 3.640 lckfldservicelog.txt 08.03.2006 14:22 235.973 m046lahs1d46.dll 08.03.2006 11:13 234.272 ktjql7151.dll 07.03.2006 18:52 2.550 Uninstall.ico 07.03.2006 18:52 1.406 Help.ico 07.03.2006 18:52 27.006 spy.ico 07.03.2006 18:46 0 atmtd.dll.tmp 07.03.2006 16:23 19 mslck.dat 01.03.2006 01:13 34.308 BASSMOD.dll 28.02.2006 20:50 10 Mlkf.dll --> ???????????? 28.02.2006 20:32 2.278 wpa.dbl 28.02.2006 16:16 5.623 FldLckINSTALL.LOG 20.02.2006 02:55 147.495 rmoc3260.dll 20.02.2006 02:55 6.656 pndx5016.dll 20.02.2006 02:55 5.632 pndx5032.dll 18.02.2006 10:44 16.832 amcompat.tlb 18.02.2006 10:44 23.392 nscompat.tlb 16.02.2006 18:06 20.397 ntprintd.dll 14.02.2006 08:51 120.544 FNTCACHE.DAT 14.02.2006 01:53 4.510.560 MRT.exe 05.02.2006 02:03 401.064 perfh009.dat 05.02.2006 02:03 74.950 perfc007.dat 05.02.2006 02:03 415.414 perfh007.dat 05.02.2006 02:03 62.344 perfc009.dat 05.02.2006 02:03 940.068 PerfStringBackup.INI 31.01.2006 00:41 352 lsprst7.tgz 31.01.2006 00:41 87 ssprs.tgz 31.01.2006 00:41 338 lsprst7.dll 31.01.2006 00:41 73 ssprs.dll 30.01.2006 23:58 1.025 sysprs7.dll 30.01.2006 23:58 1.025 clauth2.dll 30.01.2006 23:58 1.025 sysprs7.tgz 30.01.2006 23:58 1.025 clauth1.dll 27.01.2006 03:17 57 peer.ini 18.01.2006 13:05 57.344 avsda.dll 17.01.2006 22:36 69.632 ElbyCDIO.dll 17.01.2006 11:59 34.064 lhacm.acm 13.01.2006 02:13 278.528 pncrt.dll 12.01.2006 19:26 7.006 jupdate-1.5.0_06-b05.log 12.01.2006 17:35 4.212 zllictbl.dat 12.01.2006 16:44 261 $winnt$.inf 12.01.2006 16:41 2.951 CONFIG.NT 12.01.2006 16:39 488 logonui.exe.manifest 12.01.2006 16:39 488 WindowsLogon.manifest 12.01.2006 16:39 749 ncpa.cpl.manifest 12.01.2006 16:39 749 nwc.cpl.manifest 12.01.2006 16:39 749 sapi.cpl.manifest 12.01.2006 16:39 749 wuaucpl.cpl.manifest 12.01.2006 16:39 749 cdplayer.exe.manifest 12.01.2006 16:37 21.740 emptyregdb.dat 12.01.2006 16:33 0 h323log.txt 04.01.2006 04:35 68.096 webclnt.dll Verzeichnis von C:\WINDOWS 08.03.2006 14:37 2.048 bootstat.dat 08.03.2006 14:36 60.771 WindowsUpdate.log 08.03.2006 14:20 45.994 cFosSpeed_Setup_Log.txt 08.03.2006 14:20 903.346 setupapi.log 08.03.2006 12:34 216 wiadebug.log 08.03.2006 12:01 50 wiaservc.log 07.03.2006 20:41 116 NeroDigital.ini 07.03.2006 18:55 545 win.ini 07.03.2006 18:28 99 system.ini 07.03.2006 16:48 0 gimmygames.dat 07.03.2006 16:48 0 keyboard11.dat 07.03.2006 16:47 3.144 secure32.html 07.03.2006 16:47 75.264 kl1.exe 07.03.2006 16:47 0 uniq 07.03.2006 16:25 10.526 DVD Cover Searcher Setup Log.txt 06.03.2006 11:48 5.020 ModemLog_Sony Ericsson 750 USB WMC Modem.txt 06.03.2006 11:48 4.792 ModemLog_Sony Ericsson 750 USB WMC Data Modem.txt 27.02.2006 02:02 138.521 wmsetup.log 27.02.2006 01:52 335 nsreg.dat 27.02.2006 01:52 87.184 NSUninst.exe 27.02.2006 01:52 12.434 mozver.dat 27.02.2006 01:52 87.184 GREUninstall.exe 21.02.2006 01:09 737.280 iun6002.exe 20.02.2006 18:52 220 BUHL.INI 20.02.2006 18:49 64 wiso.ini 20.02.2006 04:24 25 cdplayer.ini 20.02.2006 01:30 50 StreamRipper32.INI 20.02.2006 01:30 520 sripper.ini 18.02.2006 10:44 243 wmsetup10.log 18.02.2006 10:44 316.640 WMSysPr9.prx 16.02.2006 21:56 10.824 SchedLgU.Txt 16.02.2006 21:44 10.009 KB911927.log 16.02.2006 21:38 41.933 MedCtrOC.log 16.02.2006 21:38 22.833 ehOCGen.log 16.02.2006 21:38 457.312 iis6.log 16.02.2006 21:38 182.268 tsoc.log 16.02.2006 21:38 140.957 comsetup.log 16.02.2006 21:38 83.816 ntdtcsetup.log 16.02.2006 21:38 20.223 tabletoc.log 16.02.2006 21:38 1.374 imsins.log 16.02.2006 21:38 21.747 ocmsn.log 16.02.2006 21:38 9.709 KB911565.log 16.02.2006 21:38 19.690 msgsocm.log 16.02.2006 21:38 192.608 ocgen.log 16.02.2006 21:38 46.067 plusoc.log 16.02.2006 21:38 81.895 netfxocm.log 16.02.2006 21:38 388.671 FaxSetup.log 16.02.2006 21:38 125.864 msmqinst.log 16.02.2006 21:38 1.374 imsins.BAK 16.02.2006 21:38 9.013 KB911564.log 16.02.2006 21:37 5.304 KB901190.log 16.02.2006 21:37 6.077 KB913446.log 16.02.2006 15:02 0 WATCH.INI 14.02.2006 01:08 0 RingtoneMaker.INI 14.02.2006 01:05 0 Videodeluxe.INI 11.02.2006 01:16 0 0.log 05.02.2006 13:21 18.973 KB898458.log 01.02.2006 12:59 321.493 setupact.log 26.01.2006 20:38 32.769 appleJuice Setup Log.txt 23.01.2006 13:24 439 bobdown.ini 21.01.2006 12:22 13.971 DirectX.log 12.01.2006 23:49 61.291 CFSETUP.TXT 12.01.2006 23:47 1.956 ModemLog_cFos DSL, Internet, PPPoE.txt 172 Datei(en) 10.749.862 Bytes 0 Verzeichnis(se), 19.124.432.896 Bytes frei Verzeichnis von C:\ 08.03.2006 17:17 0 sys.txt 08.03.2006 17:16 8.931 system.txt 08.03.2006 17:16 943 systemtemp.txt 08.03.2006 17:15 108.254 system32.txt 08.03.2006 14:37 1.341.706.240 hiberfil.sys 08.03.2006 14:37 1.610.612.736 pagefile.sys 08.03.2006 14:26 79 files.txt 07.03.2006 20:13 49.323.306 Sido_ft._Harris_-_Fuffies_im_Club_UNCUT_SVCD-2004-GermanRapVidz.de.rar 07.03.2006 20:03 64.797.768 Pyranja_-_Nie_wieder_SVCD-2oo6-GRV.mpg 07.03.2006 19:57 282.203.320 Cosmo_TV_Reportage_Rap-Attack_Hip_Hop_aus_der_Vorstadt_teil.3_2oo6-GRV.mpg 07.03.2006 19:34 81.070.416 Curse_ft._Samir_-_Struggle_SVCD-2oo6-GRV.mpg 07.03.2006 17:56 209 boot.ini 10.02.2006 15:58 11.303.072 antivir_workstation_win7u_de_h_131.exe 12.01.2006 16:41 0 AUTOEXEC.BAT 12.01.2006 16:41 0 IO.SYS 12.01.2006 16:41 0 CONFIG.SYS 12.01.2006 16:41 0 MSDOS.SYS 10.08.2004 13:00 4.952 bootfont.bin 10.08.2004 13:00 47.564 NTDETECT.COM 10.08.2004 13:00 251.184 ntldr 20 Datei(en) 3.441.438.974 Bytes 0 Verzeichnis(se), 19.124.432.896 Bytes frei |
|
|
||
08.03.2006, 17:48
Ehrenmitglied
Beiträge: 29434 |
#6
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint cd\ dir QWdncm8* /s >> files.txt dir "C:\WINDOWS\QWdncm8" >> files.txt notepad files.txt 2. Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Command Service in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. danach beginnt die Reinigung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.03.2006, 20:43
...neu hier
Themenstarter Beiträge: 6 |
#7
Bittschön
REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 08.03.2006 20:43:35 for strings: ; 'command service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\S-1-5-21-1417001333-1647877149-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU] "b"="sc delete Command Service\\1" ; End Of The Log... |
|
|
||
08.03.2006, 23:17
Ehrenmitglied
Beiträge: 29434 |
#8
Sackfresse
1. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ..... C:\WINDOWS\system32\guard.tmp C:\WINDOWS\system32\SCTraTH.dll C:\WINDOWS\system32\lckfldservicelog.txt C:\WINDOWS\system32\m046lahs1d46.dll C:\WINDOWS\system32\ktjql7151.dll C:\WINDOWS\system32\Uninstall.ico C:\WINDOWS\system32\Help.ico C:\WINDOWS\system32\spy.ico C:\WINDOWS\system32\atmtd.dll.tmp C:\WINDOWS\system32\atmtd.dll C:\WINDOWS\system32\atmtd.dll_ C:\WINDOWS\system32\mslck.dat C:\WINDOWS\iun6002.exe C:\WINDOWS\gimmygames.dat C:\WINDOWS\keyboard11.dat C:\WINDOWS\secure32.html C:\WINDOWS\kl1.exe C:\WINDOWS\uniq PC neustarten 2. nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuel 3. L2mfix option 2 abarbeiten ...nach neustart + scan poste den scanreport http://virus-protect.org/l2mfix.html 4. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\ktjql7151.dll O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWdncm8\command.exe pc neustarten 5. neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 6. Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. 7. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 8. scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.03.2006, 23:55
...neu hier
Themenstarter Beiträge: 6 |
#9
habnet alle Killing PID 1144 'winlogon.exe' reingemacht nur ein paar sonst so lang
L2mfix 010406 Creating Account. Der Befehl wurde erfolgreich ausgefhrt. Adding Administrative privleges. Checking for L2MFix account(0=no 1=yes): 1 Granting SeDebugPrivilege to L2MFIX ... successful Running From: C:\WINDOWS\system32 Killing Processes! Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1056 'smss.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1144 'winlogon.exe' Killing PID 1144 'winlogon.exe' Killing PID 1144 'winlogon.exe' Killing PID 1144 'winlogon.exe' Killing PID 1144 'winlogon.exe' Killing PID 1144 'winlogon.exe' usw. Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1372 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 696 'rundll32.exe' Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administratoren ... successful Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. Deleting: C:\WINDOWS\system32\lv6o09j3e.dll Successfully Deleted: C:\WINDOWS\system32\lv6o09j3e.dll Deleting: C:\WINDOWS\system32\m064lajq1doe.dll Successfully Deleted: C:\WINDOWS\system32\m064lajq1doe.dll Deleting: C:\WINDOWS\system32\vja256.dll Successfully Deleted: C:\WINDOWS\system32\vja256.dll Deleting: C:\WINDOWS\system32\guard.tmp Successfully Deleted: C:\WINDOWS\system32\guard.tmp msg11?.dll 0 Datei(en) kopiert. Restoring Windows Update Certificates.: The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] "DLLName"="Ati2evxx.dll" "Asynchronous"=dword:00000000 "Impersonate"=dword:00000001 "Lock"="AtiLockEvent" "Logoff"="AtiLogoffEvent" "Logon"="AtiLogonEvent" "Disconnect"="AtiDisConnectEvent" "Reconnect"="AtiReConnectEvent" "Safe"=dword:00000000 "Shutdown"="AtiShutdownEvent" "StartScreenSaver"="AtiStartScreenSaverEvent" "StartShell"="AtiStartShellEvent" "Startup"="AtiStartupEvent" "StopScreenSaver"="AtiStopScreenSaverEvent" "Unlock"="AtiUnLockEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunServicesOnce] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\m064lajq1doe.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 The following are the files found: **************************************************************************** C:\WINDOWS\system32\lv6o09j3e.dll C:\WINDOWS\system32\m064lajq1doe.dll C:\WINDOWS\system32\vja256.dll C:\WINDOWS\system32\guard.tmp Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{E1C6B879-B88D-45EC-A38F-453D7B0738D0}] @="" [HKEY_CLASSES_ROOT\CLSID\{E1C6B879-B88D-45EC-A38F-453D7B0738D0}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{E1C6B879-B88D-45EC-A38F-453D7B0738D0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{E1C6B879-B88D-45EC-A38F-453D7B0738D0}\InprocServer32] @="C:\\WINDOWS\\system32\\itq.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8}] @="" [HKEY_CLASSES_ROOT\CLSID\{DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8}\InprocServer32] @="C:\\WINDOWS\\system32\\vja256.dll" "ThreadingModel"="Apartment" REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{E1C6B879-B88D-45EC-A38F-453D7B0738D0}"=- "{DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8}"=- [-HKEY_CLASSES_ROOT\CLSID\{E1C6B879-B88D-45EC-A38F-453D7B0738D0}] [-HKEY_CLASSES_ROOT\CLSID\{DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8}] REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" **************************************************************************** Desktop.ini Contents: **************************************************************************** **************************************************************************** Checking for L2MFix account(0=no 1=yes): 0 Zipping up files for submission: adding: dlls/guard.tmp (164 bytes security) (deflated 5%) adding: dlls/lv6o09j3e.dll (164 bytes security) (deflated 4%) adding: dlls/m064lajq1doe.dll (164 bytes security) (deflated 5%) adding: dlls/vja256.dll (164 bytes security) (deflated 5%) adding: backregs/DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8.reg (212 bytes security) (deflated 70%) adding: backregs/E1C6B879-B88D-45EC-A38F-453D7B0738D0.reg (212 bytes security) (deflated 70%) adding: backregs/notibac.reg (164 bytes security) (deflated 87%) adding: backregs/shell.reg (164 bytes security) (deflated 73%) |
|
|
||
09.03.2006, 00:14
Ehrenmitglied
Beiträge: 29434 |
#10
gut...nun arbeite noch alles andere ab und poste den scanreport vom ewido (scanne im abgesicherten Modus )
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.03.2006, 00:41
...neu hier
Themenstarter Beiträge: 6 |
#11
Mache ich dann morgen so gegen 15.00 erstmal thx
habe schonmal so probiert und kommt nicht mehr, aber mache es morgen trotzdem mit dem scann seid einfach spitze, werde euch auf jeden fall immer weiterempfehlen |
|
|
||
09.03.2006, 12:04
Ehrenmitglied
Beiträge: 29434 |
#12
bei der Gelegenheit mache bitte auch folgendes:
Einzelne Dateien scannen Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\Mlkf.dll ** __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.08.2006, 18:35
Member
Beiträge: 16 |
#13
hab leider vor kurzem auch diesen Virus (command.exe) eingefangen.
hab die datei in system32 gelöscht (killtask.exe usw.) befindet sich nun auch nicht mehr im taskmanager, da ich ein paar auffählige dateien (nach datum sortiert) gelöschte habe. kann nun den taskmanager/regedit/cmd wieder öffnen... jedoch erscheint immernoch unerwünschte iexplorers. auch erscheint beim pc neustart fehlermeldungen (bild kommt gleich! -> ANHANG!!!) hab windows cleanup installiert, jedoch kommt da keine meldung das von neustart oder das die dateien gelöscht worden sind. wenn ich in nochmals starte dann kommen wieder die selben dateien (ca. 240MB). was muss ich tun? danke! Anhang: fehler.jpg Dieser Beitrag wurde am 09.08.2006 um 20:04 Uhr von _ben editiert.
|
|
|
||
09.08.2006, 21:34
Ehrenmitglied
Beiträge: 29434 |
#14
_ben
arbeite das bitte ab und poste ALLE logs http://board.protecus.de/t23187.htm wir werden das hier abarbeiten: http://virus-protect.org/artikel/spyware/dll_sys.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.08.2006, 14:04
Member
Beiträge: 16 |
#15
guten tag, wieder einmal...
besitzte Win2000 denn virus (command.exe) hab ich weg, (zumindest läuft er nicht mehr im Taskmanager | C:/Programme/QWdncm8/ brachte ich auch irgenswie weg) nur kommt da beim win neustart eine Fehlermeldung. -> "w002c1db.dll" konnte nicht gefunden werden was soll die Datei überhaupt?! und was ist Shellcode Cache? -> C:/WINNT/ShellconCache - befindet sich bei mir die Datei Danke! g. ben |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 19:02:10, on 07.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\QWdncm8\command.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\MiLLi\Desktop\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Programme\TrueDownloader\TrueDownloader.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{84D9BE98-6B03-4472-AD07-33FC494DE13E}: NameServer = 194.97.173.125 194.97.173.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8CEBA92-03B2-4117-A48B-95D005C5964E}: NameServer = 192.168.178.1
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\lvl8093ue.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWdncm8\command.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe