Home » Spyware & Browser Hijacker Support Forum » Command.exe als Prozess » Themenansicht

Command.exe als Prozess

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.03.2006, 19:19
Sackfresse
...neu hier

Beiträge: 6
#1 Habe Command.exe als Prozess und bekomm sie net weg, es öffnen sich immer seiten !!!!

Logfile of HijackThis v1.99.1
Scan saved at 19:02:10, on 07.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\QWdncm8\command.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\MiLLi\Desktop\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Programme\TrueDownloader\TrueDownloader.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{84D9BE98-6B03-4472-AD07-33FC494DE13E}: NameServer = 194.97.173.125 194.97.173.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8CEBA92-03B2-4117-A48B-95D005C5964E}: NameServer = 192.168.178.1
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\lvl8093ue.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWdncm8\command.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
08.03.2006, 12:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Sackfresse

1.
Click Start>> Ausfuehren>> Type in Services.msc und Click OK!
"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"
Command Service (cmdService)

2.
Start --> Ausfuehren --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K.

sc delete Command Service
sc delete cmdService

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als
listen.bat
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir QWdncm8* /s >> files.txt
dir "C:\WINDOWS\QWdncm8" >> files.txt
notepad files.txt


4..
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

5.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2006, 14:47
Sackfresse
...neu hier

Themenstarter

Beiträge: 6
#3 Ja danke Prozesse sind weg aber es öffnen sich immer noch die seiten !!

http://www.browserbuy-out.com/normal/yyy65.html
http://www.ecommerc-e.com/normal/yyy102.html
http://www.inter-netsuggestions.com/normal/yyy65.html
http://www.uniqueoffer-s.com/normal/yyy102.html
http://www212.paypopup.com
http://www.blow-outsales.com/normal/yyy102.html
http://www.buyer-shabit.com/normal/yyy102.html

immer abwechselnd oder nacheinander PLZ help

hab schon spybot rübergejagt !!

Logfile of HijackThis v1.99.1
Scan saved at 14:48:44, on 08.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\MiLLi\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Programme\TrueDownloader\TrueDownloader.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{84D9BE98-6B03-4472-AD07-33FC494DE13E}: NameServer = 194.97.173.125 194.97.173.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8CEBA92-03B2-4117-A48B-95D005C5964E}: NameServer = 192.168.178.1
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\ktjql7151.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
08.03.2006, 16:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Sackfresse

ich weiss ganz genau, was auf deinem PC so rumschwirrt und ich kann dir auch helfen, zu reinigen.
Allerdings nur...wenn du ALLE Punkte (1-5) abarbeitest, um die ich gebeten habe...und die logs hier postest....
(meine Glaskugel ist heute gerade verborgt....) ;)


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2006, 17:16
Sackfresse
...neu hier

Themenstarter

Beiträge: 6
#5 Ja sorry ich DEPP habs net geschnallt

sc delete Command Service

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6031-C02F

Verzeichnis von C:\DOKUME~1\MiLLi\LOKALE~1\Temp

08.03.2006 14:50 576 travel01.rgn
08.03.2006 14:44 54.272 ginstall.dll
08.03.2006 14:32 3.120 auto05.rgn
08.03.2006 12:03 62.331 TWAIN.LOG
08.03.2006 12:03 2 Twain001.Mtx
08.03.2006 12:02 156 Twunk001.MTX
08.03.2006 12:01 0 Twunk002.MTX
08.03.2006 11:33 1.536 internet01.rgn
08.03.2006 11:23 1.072 auto02.rgn
07.03.2006 23:53 2.832 auto03.rgn
07.03.2006 23:40 32.768 ~DFC6DA.tmp
07.03.2006 22:40 2.464 homes03.rgn
07.03.2006 22:30 2.128 dating03.rgn
07.03.2006 22:20 6.816 newsanytimeregion.rgn
14 Datei(en) 170.073 Bytes
0 Verzeichnis(se), 19.124.441.088 Bytes frei

sc delete cmdService

hier erscheint kein fenster !!!!!

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6031-C02F

Verzeichnis von C:\WINDOWS\system32

08.03.2006 14:40 234.272 guard.tmp
08.03.2006 14:38 234.272 SCTraTH.dll
08.03.2006 14:37 3.640 lckfldservicelog.txt
08.03.2006 14:22 235.973 m046lahs1d46.dll
08.03.2006 11:13 234.272 ktjql7151.dll
07.03.2006 18:52 2.550 Uninstall.ico
07.03.2006 18:52 1.406 Help.ico
07.03.2006 18:52 27.006 spy.ico
07.03.2006 18:46 0 atmtd.dll.tmp
07.03.2006 16:23 19 mslck.dat
01.03.2006 01:13 34.308 BASSMOD.dll
28.02.2006 20:50 10 Mlkf.dll --> ????????????
28.02.2006 20:32 2.278 wpa.dbl
28.02.2006 16:16 5.623 FldLckINSTALL.LOG
20.02.2006 02:55 147.495 rmoc3260.dll
20.02.2006 02:55 6.656 pndx5016.dll
20.02.2006 02:55 5.632 pndx5032.dll
18.02.2006 10:44 16.832 amcompat.tlb
18.02.2006 10:44 23.392 nscompat.tlb
16.02.2006 18:06 20.397 ntprintd.dll
14.02.2006 08:51 120.544 FNTCACHE.DAT
14.02.2006 01:53 4.510.560 MRT.exe
05.02.2006 02:03 401.064 perfh009.dat
05.02.2006 02:03 74.950 perfc007.dat
05.02.2006 02:03 415.414 perfh007.dat
05.02.2006 02:03 62.344 perfc009.dat
05.02.2006 02:03 940.068 PerfStringBackup.INI
31.01.2006 00:41 352 lsprst7.tgz
31.01.2006 00:41 87 ssprs.tgz
31.01.2006 00:41 338 lsprst7.dll
31.01.2006 00:41 73 ssprs.dll
30.01.2006 23:58 1.025 sysprs7.dll
30.01.2006 23:58 1.025 clauth2.dll
30.01.2006 23:58 1.025 sysprs7.tgz
30.01.2006 23:58 1.025 clauth1.dll
27.01.2006 03:17 57 peer.ini
18.01.2006 13:05 57.344 avsda.dll
17.01.2006 22:36 69.632 ElbyCDIO.dll
17.01.2006 11:59 34.064 lhacm.acm
13.01.2006 02:13 278.528 pncrt.dll
12.01.2006 19:26 7.006 jupdate-1.5.0_06-b05.log
12.01.2006 17:35 4.212 zllictbl.dat
12.01.2006 16:44 261 $winnt$.inf
12.01.2006 16:41 2.951 CONFIG.NT
12.01.2006 16:39 488 logonui.exe.manifest
12.01.2006 16:39 488 WindowsLogon.manifest
12.01.2006 16:39 749 ncpa.cpl.manifest
12.01.2006 16:39 749 nwc.cpl.manifest
12.01.2006 16:39 749 sapi.cpl.manifest
12.01.2006 16:39 749 wuaucpl.cpl.manifest
12.01.2006 16:39 749 cdplayer.exe.manifest
12.01.2006 16:37 21.740 emptyregdb.dat
12.01.2006 16:33 0 h323log.txt
04.01.2006 04:35 68.096 webclnt.dll



Verzeichnis von C:\WINDOWS

08.03.2006 14:37 2.048 bootstat.dat
08.03.2006 14:36 60.771 WindowsUpdate.log
08.03.2006 14:20 45.994 cFosSpeed_Setup_Log.txt
08.03.2006 14:20 903.346 setupapi.log
08.03.2006 12:34 216 wiadebug.log
08.03.2006 12:01 50 wiaservc.log
07.03.2006 20:41 116 NeroDigital.ini
07.03.2006 18:55 545 win.ini
07.03.2006 18:28 99 system.ini
07.03.2006 16:48 0 gimmygames.dat
07.03.2006 16:48 0 keyboard11.dat
07.03.2006 16:47 3.144 secure32.html
07.03.2006 16:47 75.264 kl1.exe
07.03.2006 16:47 0 uniq
07.03.2006 16:25 10.526 DVD Cover Searcher Setup Log.txt
06.03.2006 11:48 5.020 ModemLog_Sony Ericsson 750 USB WMC Modem.txt
06.03.2006 11:48 4.792 ModemLog_Sony Ericsson 750 USB WMC Data Modem.txt
27.02.2006 02:02 138.521 wmsetup.log
27.02.2006 01:52 335 nsreg.dat
27.02.2006 01:52 87.184 NSUninst.exe
27.02.2006 01:52 12.434 mozver.dat
27.02.2006 01:52 87.184 GREUninstall.exe
21.02.2006 01:09 737.280 iun6002.exe
20.02.2006 18:52 220 BUHL.INI
20.02.2006 18:49 64 wiso.ini
20.02.2006 04:24 25 cdplayer.ini
20.02.2006 01:30 50 StreamRipper32.INI
20.02.2006 01:30 520 sripper.ini
18.02.2006 10:44 243 wmsetup10.log
18.02.2006 10:44 316.640 WMSysPr9.prx
16.02.2006 21:56 10.824 SchedLgU.Txt
16.02.2006 21:44 10.009 KB911927.log
16.02.2006 21:38 41.933 MedCtrOC.log
16.02.2006 21:38 22.833 ehOCGen.log
16.02.2006 21:38 457.312 iis6.log
16.02.2006 21:38 182.268 tsoc.log
16.02.2006 21:38 140.957 comsetup.log
16.02.2006 21:38 83.816 ntdtcsetup.log
16.02.2006 21:38 20.223 tabletoc.log
16.02.2006 21:38 1.374 imsins.log
16.02.2006 21:38 21.747 ocmsn.log
16.02.2006 21:38 9.709 KB911565.log
16.02.2006 21:38 19.690 msgsocm.log
16.02.2006 21:38 192.608 ocgen.log
16.02.2006 21:38 46.067 plusoc.log
16.02.2006 21:38 81.895 netfxocm.log
16.02.2006 21:38 388.671 FaxSetup.log
16.02.2006 21:38 125.864 msmqinst.log
16.02.2006 21:38 1.374 imsins.BAK
16.02.2006 21:38 9.013 KB911564.log
16.02.2006 21:37 5.304 KB901190.log
16.02.2006 21:37 6.077 KB913446.log
16.02.2006 15:02 0 WATCH.INI
14.02.2006 01:08 0 RingtoneMaker.INI
14.02.2006 01:05 0 Videodeluxe.INI
11.02.2006 01:16 0 0.log
05.02.2006 13:21 18.973 KB898458.log
01.02.2006 12:59 321.493 setupact.log
26.01.2006 20:38 32.769 appleJuice Setup Log.txt
23.01.2006 13:24 439 bobdown.ini
21.01.2006 12:22 13.971 DirectX.log
12.01.2006 23:49 61.291 CFSETUP.TXT
12.01.2006 23:47 1.956 ModemLog_cFos DSL, Internet, PPPoE.txt

172 Datei(en) 10.749.862 Bytes
0 Verzeichnis(se), 19.124.432.896 Bytes frei

Verzeichnis von C:\

08.03.2006 17:17 0 sys.txt
08.03.2006 17:16 8.931 system.txt
08.03.2006 17:16 943 systemtemp.txt
08.03.2006 17:15 108.254 system32.txt
08.03.2006 14:37 1.341.706.240 hiberfil.sys
08.03.2006 14:37 1.610.612.736 pagefile.sys
08.03.2006 14:26 79 files.txt
07.03.2006 20:13 49.323.306 Sido_ft._Harris_-_Fuffies_im_Club_UNCUT_SVCD-2004-GermanRapVidz.de.rar
07.03.2006 20:03 64.797.768 Pyranja_-_Nie_wieder_SVCD-2oo6-GRV.mpg
07.03.2006 19:57 282.203.320 Cosmo_TV_Reportage_Rap-Attack_Hip_Hop_aus_der_Vorstadt_teil.3_2oo6-GRV.mpg
07.03.2006 19:34 81.070.416 Curse_ft._Samir_-_Struggle_SVCD-2oo6-GRV.mpg
07.03.2006 17:56 209 boot.ini
10.02.2006 15:58 11.303.072 antivir_workstation_win7u_de_h_131.exe
12.01.2006 16:41 0 AUTOEXEC.BAT
12.01.2006 16:41 0 IO.SYS
12.01.2006 16:41 0 CONFIG.SYS
12.01.2006 16:41 0 MSDOS.SYS
10.08.2004 13:00 4.952 bootfont.bin
10.08.2004 13:00 47.564 NTDETECT.COM
10.08.2004 13:00 251.184 ntldr
20 Datei(en) 3.441.438.974 Bytes
0 Verzeichnis(se), 19.124.432.896 Bytes frei
Seitenanfang Seitenende
08.03.2006, 17:48
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als
listen.bat
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir QWdncm8* /s >> files.txt
dir "C:\WINDOWS\QWdncm8" >> files.txt
notepad files.txt

2.
Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Command Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

danach beginnt die Reinigung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2006, 20:43
Sackfresse
...neu hier

Themenstarter

Beiträge: 6
#7 Bittschön

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 08.03.2006 20:43:35 for strings:
; 'command service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-1417001333-1647877149-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"b"="sc delete Command Service\\1"

; End Of The Log...
Seitenanfang Seitenende
08.03.2006, 23:17
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Sackfresse


1.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .....

C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\SCTraTH.dll
C:\WINDOWS\system32\lckfldservicelog.txt
C:\WINDOWS\system32\m046lahs1d46.dll
C:\WINDOWS\system32\ktjql7151.dll
C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\spy.ico
C:\WINDOWS\system32\atmtd.dll.tmp
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll_
C:\WINDOWS\system32\mslck.dat
C:\WINDOWS\iun6002.exe
C:\WINDOWS\gimmygames.dat
C:\WINDOWS\keyboard11.dat
C:\WINDOWS\secure32.html
C:\WINDOWS\kl1.exe
C:\WINDOWS\uniq

PC neustarten

2.
nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuel

3.
L2mfix
option 2 abarbeiten ...nach neustart + scan poste den scanreport
http://virus-protect.org/l2mfix.html

4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\ktjql7151.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWdncm8\command.exe

pc neustarten

5.
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

6.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

7.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

8.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2006, 23:55
Sackfresse
...neu hier

Themenstarter

Beiträge: 6
#9 habnet alle Killing PID 1144 'winlogon.exe' reingemacht nur ein paar sonst so lang


L2mfix 010406
Creating Account.
Der Befehl wurde erfolgreich ausgefhrt.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1056 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1144 'winlogon.exe'
Killing PID 1144 'winlogon.exe'
Killing PID 1144 'winlogon.exe'
Killing PID 1144 'winlogon.exe'
Killing PID 1144 'winlogon.exe'
Killing PID 1144 'winlogon.exe'
usw.

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1372 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 696 'rundll32.exe'
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administratoren ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
Deleting: C:\WINDOWS\system32\lv6o09j3e.dll
Successfully Deleted: C:\WINDOWS\system32\lv6o09j3e.dll
Deleting: C:\WINDOWS\system32\m064lajq1doe.dll
Successfully Deleted: C:\WINDOWS\system32\m064lajq1doe.dll
Deleting: C:\WINDOWS\system32\vja256.dll
Successfully Deleted: C:\WINDOWS\system32\vja256.dll
Deleting: C:\WINDOWS\system32\guard.tmp
Successfully Deleted: C:\WINDOWS\system32\guard.tmp

msg11?.dll
0 Datei(en) kopiert.



Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunServicesOnce]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\m064lajq1doe.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************
C:\WINDOWS\system32\lv6o09j3e.dll
C:\WINDOWS\system32\m064lajq1doe.dll
C:\WINDOWS\system32\vja256.dll
C:\WINDOWS\system32\guard.tmp

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E1C6B879-B88D-45EC-A38F-453D7B0738D0}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E1C6B879-B88D-45EC-A38F-453D7B0738D0}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E1C6B879-B88D-45EC-A38F-453D7B0738D0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E1C6B879-B88D-45EC-A38F-453D7B0738D0}\InprocServer32]
@="C:\\WINDOWS\\system32\\itq.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8}\InprocServer32]
@="C:\\WINDOWS\\system32\\vja256.dll"
"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{E1C6B879-B88D-45EC-A38F-453D7B0738D0}"=-
"{DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8}"=-
[-HKEY_CLASSES_ROOT\CLSID\{E1C6B879-B88D-45EC-A38F-453D7B0738D0}]
[-HKEY_CLASSES_ROOT\CLSID\{DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************

****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
adding: dlls/guard.tmp (164 bytes security) (deflated 5%)
adding: dlls/lv6o09j3e.dll (164 bytes security) (deflated 4%)
adding: dlls/m064lajq1doe.dll (164 bytes security) (deflated 5%)
adding: dlls/vja256.dll (164 bytes security) (deflated 5%)
adding: backregs/DD3AC6FF-9E75-47C2-9A65-C6AA136A9BE8.reg (212 bytes security) (deflated 70%)
adding: backregs/E1C6B879-B88D-45EC-A38F-453D7B0738D0.reg (212 bytes security) (deflated 70%)
adding: backregs/notibac.reg (164 bytes security) (deflated 87%)
adding: backregs/shell.reg (164 bytes security) (deflated 73%)
Seitenanfang Seitenende
09.03.2006, 00:14
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 gut...nun arbeite noch alles andere ab und poste den scanreport vom ewido (scanne im abgesicherten Modus ) ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.03.2006, 00:41
Sackfresse
...neu hier

Themenstarter

Beiträge: 6
#11 Mache ich dann morgen so gegen 15.00 erstmal thx

habe schonmal so probiert und kommt nicht mehr, aber mache es morgen trotzdem mit dem scann

seid einfach spitze, werde euch auf jeden fall immer weiterempfehlen
Seitenanfang Seitenende
09.03.2006, 12:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 bei der Gelegenheit mache bitte auch folgendes:

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\Mlkf.dll


**
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.08.2006, 18:35
_ben
Member

Beiträge: 16
#13 hab leider vor kurzem auch diesen Virus (command.exe) eingefangen.

hab die datei in system32 gelöscht (killtask.exe usw.)
befindet sich nun auch nicht mehr im taskmanager, da ich ein paar auffählige dateien (nach datum sortiert) gelöschte habe.
kann nun den taskmanager/regedit/cmd wieder öffnen...

jedoch erscheint immernoch unerwünschte iexplorers.
auch erscheint beim pc neustart fehlermeldungen (bild kommt gleich! -> ANHANG!!!)

hab windows cleanup installiert, jedoch kommt da keine meldung das von neustart oder das die dateien gelöscht worden sind. wenn ich in nochmals starte dann kommen wieder die selben dateien (ca. 240MB).

was muss ich tun?

danke!

Anhang: fehler.jpg
Dieser Beitrag wurde am 09.08.2006 um 20:04 Uhr von _ben editiert.
Seitenanfang Seitenende
09.08.2006, 21:34
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 _ben

arbeite das bitte ab und poste ALLE logs
http://board.protecus.de/t23187.htm

wir werden das hier abarbeiten:
http://virus-protect.org/artikel/spyware/dll_sys.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.08.2006, 14:04
_ben
Member

Beiträge: 16
#15 guten tag, wieder einmal...

besitzte Win2000

denn virus (command.exe) hab ich weg, (zumindest läuft er nicht mehr im Taskmanager | C:/Programme/QWdncm8/ brachte ich auch irgenswie weg) nur kommt da beim win neustart
eine Fehlermeldung.

-> "w002c1db.dll" konnte nicht gefunden werden

was soll die Datei überhaupt?!

und was ist Shellcode Cache?

-> C:/WINNT/ShellconCache - befindet sich bei mir die Datei



Danke!
g. ben
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: