Virus, Wurm oder Spyware wer kann helfen

#0
25.04.2006, 21:36
...neu hier

Beiträge: 5
#1 Hallo, seit einigen Tagen spielt mein System völlig verrückt. Es begann damit, das ein Programm "39exmodul32.exe" Zugriff auf das Internet verlangte. NIS erteilte den automatisch und dann öffneten sich zig Meldungen das eine Mail nicht versendet werden konnte. Das ließ sich nach geduldigen wegklicken der Meldungen und der Unterbrechung meiner Internetverbindung abbrechen. Ich startete meine Virenscanner und prüfte mein System. Leider konnte Norton keinen Virus finden. Nach dem System Neustart verlangte ein neues Programm "72exmodul32.exe" Zugriff auf das I Net. Ich verweigerte Ihn und nach einiger Zeit schaltete sich meine Norton Firewall aus und der Ärger mit den Mails ging von vorn los. Norton ließ sich dann auch nicht wieder zum laufen bringen. Ich habe die Zone Alarm Internetsecurity geladen und die läuft derzeit ohne Probl. aber bisher habe ich ca 35 Programme die jeweils mit einer Ziffer und dann exmodul.exe beginnen verweigert. Adaware habe ich bereits laufen gelassen und erkannte Spy ware gelöscht. NVSVCD.EXE kann nicht mehr gestartet werden und ständig poppen die exmodul32.exe auf.

Kann mir jemand helfen - wieder Ruhe in mein System zu bekommen?


-> Adaware ist durchgelaufen und gefundene Spyware wurde entfernt
Search & Destroy ist durchgelaufen und gefundene Spyware wurde entfernt

Nach Neustart des Systems trat jetzt folgende Warnung in der ZoneAlarm auf:
44exssd32a.exe versucht c:\windows\system32\svchost.exe zu laden

Ich habe den Zugriff verweigert

Was hat das jetzt schon wieder zu bedeuten? Wo doch auf meinem Rechner weder Spy ware noch Viren gefunden werden?

Für schnelle Hilfe bin ich sehr dankbar.
Dieser Beitrag wurde am 25.04.2006 um 23:21 Uhr von -|GHO5T|- editiert.
Seitenanfang Seitenende
26.04.2006, 12:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 -|GHO5T|-

1.
Hijackthis -->
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2006, 18:26
...neu hier

Themenstarter

Beiträge: 5
#3 So hier das Logfile von Hijack This


Logfile of HijackThis v1.99.1
Scan saved at 18:25:32, on 26.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ORiNOCO\WirelessClient\Utility\orinoco.exe
C:\Programme\DAP\DAP.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gene6 FTP Server\G6FTPTray.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SpeedFan\speedfan.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\9exmodul32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.exe
C:\Dokumente und Einstellungen\Silent Knight\Eigene Dateien\My Completed Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [proxim_orinoco_11abg] C:\Programme\ORiNOCO\WirelessClient\Utility\orinoco.exe
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [G6FTP Server Tray Monitor] "C:\Programme\Gene6 FTP Server\G6FTPTray.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: de.music.yahoo.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EF92D80-68BD-45D8-A514-FC2E37145531}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE9CFC2D-D443-4AD9-A04F-0E1283779B35}: NameServer = 213.191.74.11,213.191.92.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB6A08DC-FC75-4F6C-8FB0-D5334CAA92D4}: NameServer = 212.7.148.65,212.7.148.97
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: ClearBox RADIUS TACACS+ Server (ClearBoxServer) - XPerience Technologies - C:\Programme\ClearBox Server\Bin\cbsrvr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: FanSpeedNT Service - Unknown owner - D:\Download Area\System Diagnose Tools\Speed Fan 4.2\fanspeedNT.exe" (file missing)
O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - C:\Programme\Gene6 FTP Server\G6FTPSERVER.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE81.exe (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


So und hier die Ergebnisse von Datfindbat


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 48F0-63F0

Verzeichnis von C:\WINDOWS\system32

26.04.2006 18:37 43.296 nvapps.xml
26.04.2006 18:17 43.600 vsconfig.xml
26.04.2006 18:16 1.080 settingsbkup.sfm
26.04.2006 18:16 288 DVCStateBkp-{00000002-00000000-0000000A-00001102-00000002-80661102}.dat
26.04.2006 18:16 288 DVCState-{00000002-00000000-0000000A-00001102-00000002-80661102}.dat
26.04.2006 18:16 1.080 settings.sfm
26.04.2006 18:16 28.404 BMXBkpCtrlState-{00000002-00000000-0000000A-00001102-00000002-80661102}.rfx
26.04.2006 18:16 28.404 BMXCtrlState-{00000002-00000000-0000000A-00001102-00000002-80661102}.rfx
26.04.2006 18:16 16.968 BMXState-{00000002-00000000-0000000A-00001102-00000002-80661102}.rfx
26.04.2006 18:16 16.968 BMXStateBkp-{00000002-00000000-0000000A-00001102-00000002-80661102}.rfx
26.04.2006 18:12 53.248 mscfg.dll
24.04.2006 18:47 2.206 wpa.dbl
19.04.2006 21:07 318.996 perfh009.dat
19.04.2006 21:07 42.776 perfc009.dat
19.04.2006 21:07 324.946 perfh007.dat
19.04.2006 21:07 51.036 perfc007.dat
19.04.2006 21:07 1.690 PerfStringBackup.INI
19.04.2006 18:48 4.212 zllictbl.dat
19.04.2006 17:31 100 LuResult.txt
06.04.2006 19:08 2.077.056 LOGOOS.EXE
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
16.03.2006 11:15 42.672 imslsp_loc0407.dll
16.03.2006 11:15 30.384 imslsp_install_loc0407.dll
16.03.2006 11:15 30.384 imsinstall_loc0407.dll
16.03.2006 11:14 796.336 libeay32_0.9.6l.dll
16.03.2006 11:13 2.811.672 imslsp.dll
16.03.2006 11:13 657.184 imsinstall.dll
25.02.2006 20:31 265.416 FNTCACHE.DAT
27.01.2006 20:08 2.158.080 KERNEL.TMP
23.01.2006 21:49 8.464 sporder.dll
09.01.2006 20:36 34.064 lhacm.acm
04.01.2006 05:37 64.000 webclnt.dll
03.01.2006 00:38 260.608 gdi32.dll



Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 48F0-63F0

Verzeichnis von C:\DOKUME~1\SILENT~1\LOKALE~1\Temp

26.04.2006 18:38 16.384 ~DF14C3.tmp
26.04.2006 18:38 16.384 ~DFD68E.tmp
26.04.2006 18:38 47 autorun.inf
26.04.2006 18:38 55.891 install.exe
26.04.2006 18:38 47.104 47exmodul32.exe
26.04.2006 18:38 16.384 Perflib_Perfdata_c48.dat
26.04.2006 18:38 22.016 88exssd32a.exe
26.04.2006 18:37 233 ADSA.tmp
26.04.2006 18:37 16.384 Perflib_Perfdata_5cc.dat
26.04.2006 18:19 16.384 ~DF8D09.tmp
10 Datei(en) 207.211 Bytes
0 Verzeichnis(se), 5.719.490.560 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 48F0-63F0

Verzeichnis von C:\WINDOWS

26.04.2006 18:37 54.156 QTFont.qfn
26.04.2006 18:19 0 0.log
26.04.2006 18:17 157 wiadebug.log
26.04.2006 18:17 50 wiaservc.log
26.04.2006 18:17 2.048 bootstat.dat
26.04.2006 18:16 32.630 SchedLgU.Txt
26.04.2006 18:06 1.409 QTFont.for
25.04.2006 23:23 558.641 setupapi.log
25.04.2006 20:38 26 Lic.xxx
25.04.2006 20:25 826 win.ini
25.04.2006 19:52 202 NeroDigital.ini
24.04.2006 20:55 6.163 cdplayer.ini
17.04.2006 18:05 175.613 DirectX.log
17.04.2006 17:35 1.202.611 WindowsUpdate.log
11.04.2006 17:03 39.455 svcpack.log
29.03.2006 21:57 84 hw.ini
25.03.2006 00:56 107.134 UninstallFirefox.exe
25.03.2006 00:55 17.656 mozver.dat
19.03.2006 11:17 696 WISO.INI
18.03.2006 10:29 5.356 KB914798.log
16.03.2006 11:34 59.168 zllsputility.exe
16.03.2006 11:17 26.288 zllsputility_loc0407.dll
04.03.2006 20:30 2.825 tm.ini
04.03.2006 20:30 30 TDF.DII
04.03.2006 18:19 238 BUHL.INI
24.02.2006 21:39 828 KB911564Uninst.log
21.02.2006 20:58 923 spupdsvc.log
21.02.2006 20:52 99.087 comsetup.log
21.02.2006 20:52 321.850 iis6.log
21.02.2006 20:52 124.750 tsoc.log
21.02.2006 20:52 1.374 imsins.log
21.02.2006 20:52 12.675 KB911927.log
21.02.2006 20:52 13.755 tabletoc.log
21.02.2006 20:52 58.312 ntdtcsetup.log
21.02.2006 20:52 45.797 netfxocm.log
21.02.2006 20:52 139.033 ocgen.log
21.02.2006 20:52 9.545 ocmsn.log
21.02.2006 20:52 12.990 msgsocm.log
21.02.2006 20:52 261.909 FaxSetup.log
21.02.2006 20:52 86.830 msmqinst.log
21.02.2006 20:52 18.925 updspapi.log
21.02.2006 20:52 1.374 imsins.BAK
21.02.2006 20:52 9.470 KB911565.log
21.02.2006 20:51 9.547 KB911564.log
21.02.2006 20:50 7.516 KB913446.log
12.02.2006 01:37 635 ODBC.INI
04.02.2006 17:09 183.296 NDNuninstall7_22.exe



Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 48F0-63F0

Verzeichnis von C:\

26.04.2006 18:41 0 sys.txt
26.04.2006 18:41 10.552 system.txt
26.04.2006 18:40 759 systemtemp.txt
26.04.2006 18:40 108.876 system32.txt
26.04.2006 18:17 627 sti.log
26.04.2006 18:17 804.495.360 pagefile.sys
25.04.2006 20:40 759.735 MWAV.LOG
25.04.2006 20:38 2 AVPCallback.log
25.04.2006 20:35 0 23990098.$$$
17.04.2006 17:25 45 TEST.XML
19.03.2006 12:51 31.576 CtDrvStp.log
19.03.2006 12:51 816 CtDrvIns.log
12.02.2006 00:48 1.220 WinRadius.config
24.01.2006 00:40 319 boot.ini
23.01.2006 20:57 320 BOOT.BKK
Dieser Beitrag wurde am 26.04.2006 um 18:44 Uhr von -|GHO5T|- editiert.
Seitenanfang Seitenende
26.04.2006, 22:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 -|GHO5T|-

Backdoor.Win32.IRCBot.nw
http://virus-protect.org/artikel/dienste/nvsvcd.html

--------------------------------------------------------------

1.
Text in den Texteditor kopieren
abspeichern (alle Dateien) als service.bat
doppeltklicken

Zitat

@ECHO OFF
cd\WINDOWS\system32\nvsvcd.exe
sc config Windows Log start= disabled
sc stop Windows Log
sc delete Windows Log
attrib -s -r -h nvsvcd.exe
del nvsvcd.exe
exit
-------------------
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log]
3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

C:\WINDOWS\system32\mscfg.dll
C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\system\smss.exe
C:\WINDOWS\NDNuninstall7_22.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\~DF14C3.tmp
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\~DFD68E.tmp
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\autorun.inf
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\install.exe
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\47exmodul32.exe
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\9exmodul32.exe
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\88exssd32a.exe
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\Perflib_Perfdata_c48.dat
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\ADSA.tmp
C:\sti.log
klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
5.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

6.
CleanUp noch einmal anwenden !

**
-----------------------------------------------------------------
7.
poste das Log vom Avenger

8.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

9.
Dr.Web
http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren

Zitat

%userprofil%\doctorweb\cureit.log
eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2006, 22:51
...neu hier

Themenstarter

Beiträge: 5
#5 ok ich mach das dann mal alles

schon mal vielen dank für deine mühe
Seitenanfang Seitenende
26.04.2006, 23:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 wenn es wo haken sollte...dann melde dich ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.04.2006, 22:03
...neu hier

Themenstarter

Beiträge: 5
#7 HI,

habe alle so ausgeführt wie beschrieben.
Hier also das Logfile von Dr.Web
Avenger meldete mir nur einen Fehler beim erstellen des logfiles

C:\Dokumente und Einstellungen\Silent Knight\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
>C:\Programme\DAP\DAP.exeC:\Programme\DAP\History\Silent Knight\_LASTH~1.DAT - Lesefehler

C:\Programme\DAP\Privacy
Package\DAPPrivacyPackage.exe

C:\Programme\DAP\Privacy Package\DAPShred.exe
C:\Programme\DAP\Privacy Package\DAPTraceCleaner.exe

C:\Programme\Real\RealPlayer\producer\Tools\rmwriter.dll infiziert mit Trojan.DownLoader.9494 - gelöscht

C:\Programme\themexp\Themexp.org File\TXPSHOPPER.exe ist ein Adware-Programm Adware.Shopper

C:\WINDOWS\NDNuninstall7_22.exe
ist ein Adware-Programm Adware.NewDotNet

C:\WINDOWS\system\smss.exe
infiziert mit Trojan.Spambot - gelöscht

C:\WINDOWS\Temp\ZLT0402d.TMP - Lesefehler

C:\Programme\themexp\Themexp.org File\TXPSHOPPER.exe - nicht desinfizierbar - gelöscht

C:\WINDOWS\NDNuninstall7_22.exe - nicht desinfizierbar - gelöscht
Seitenanfang Seitenende
29.04.2006, 02:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
poste den scanreport vom Avenger, denn ich verstehe nicht, dass Dr.Web Dateien geloescht hat...die eigentlich schon im Nirvana sein sollten..............

2.
wende noch einmal CleanUp an
http://virus-protect.org/cleanup.html
PC neustarten

3.
dann scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.04.2006, 17:12
...neu hier

Themenstarter

Beiträge: 5
#9 kaspersky scan:

Saturday, April 29, 2006 4:57:24 PM
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 29/04/2006
Kaspersky Anti-Virus database records: 179108


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\
N:\
O:\
P:\

Scan Statistics
Total number of scanned objects 80358
Number of viruses found 5
Number of infected objects 28
Number of suspicious objects 0
Duration of the scan process 01:20:56

Infected Object Name Virus Name Last Action
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\00FC06B7.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\00FF30B4.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\01025AB0.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\010504AD.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\15A303FA.exe Infected: Trojan-Downloader.Win32.IstBar.gen skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\16EC1E92.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\18371C31.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\2D6A33C7.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\32E25ED3.exe Infected: Virus.Win32.Tenga.a skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\357316FB.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\36507D0C.exe Infected: Virus.Win32.Tenga.a skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\367120E8.exe Infected: Virus.Win32.Tenga.a skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\38920490.exe Infected: Virus.Win32.Tenga.a skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3A1D5CDD.exe Infected: Virus.Win32.Tenga.a skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3A821969.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\404A3E12.exe Infected: Virus.Win32.Tenga.a skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\405D39FC.exe Infected: Virus.Win32.Tenga.a skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\48ED4691.exe Infected: Virus.Win32.Tenga.a skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5DB45F14.zip/javainstaller/InstallerApplet.class Infected: Trojan-Downloader.Java.OpenStream.w skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5DB45F14.zip ZIP: infected - 1 skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5DB45F14.zip CryptFF: infected - 1 skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5DF27CCF.exe Infected: Trojan-Downloader.Win32.IstBar.or skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\67A255C8.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\694C76C9.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\694F20C5.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\6F0C6E74.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\70E6366B.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\77C372DE.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

Scan process completed.

da sixh das avenger script nicht ausführen ließ -Meldung: kein script gefunden- setzte ich ein wie hier beschrieben: http://virus-protect.org/artikel/dienste/nvsvcd.html - ein files to delete: vor das script
dann ließ es sich ausführen und brachte folgenden eintrag am ende:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 8
Error logged to errorlog.txt. Aborting now!
Seitenanfang Seitenende
29.04.2006, 23:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 warum hast du mir nicht gleich geschrieben, dass der Avenger nicht funktioniert hat ?????

einiges wirst du nicht mehr finden...denoch kopiere mal alles nacheinander in die Killbox, besonders:
C:\WINDOWS\system32\mscfg.dll nicht vergessen !

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............


C:\WINDOWS\system32\mscfg.dll
C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\system\smss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\~DF14C3.tmp
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\~DFD68E.tmp
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\autorun.inf
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\install.exe
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\47exmodul32.exe
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\9exmodul32.exe
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\88exssd32a.exe
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\Perflib_Perfdata_c48.dat
C:\DOKUME~1\SILENT~1\LOKALE~1\Temp\ADSA.tmp
C:\sti.log

PC neustarten

dann poste noch mal die vier Logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.05.2006, 18:50
...neu hier

Beiträge: 6
#11 Habe den gleichen Schädling, mein Bit Defender findet auch nix, aber immerhin sperrt die Firewall den Zugriff nach aussen. Gibt es eine kurze Möglichkeit, das Biest loszuwerden? Oder irgendwo eine allgemeine CleanAnleitung? Wie heisst er überhaupt?
Würde mich sehr über eine Antwort freuen!
Vielen Dank!
Seitenanfang Seitenende
09.05.2006, 23:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo Dahumm

arbeite das bitte ab und poste die Logs.
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.05.2006, 18:22
...neu hier

Beiträge: 1
#13 hab das gleich problem mit exmodul, hier mein auszug:

Logfile of HijackThis v1.99.1
Scan saved at 18:08:24, on 15.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\switpa.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\l?ass.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\DOKUME~1\HARALD~1\EIGENE~1\SMBOLS~1\scanregw.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\HARALD~1\LOKALE~1\Temp\0exmodul32.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inode.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R3 - URLSearchHook: (no name) - {EF9352FB-CC48-EBE9-38F6-E17B438A2FCC} - C:\WINDOWS\System32\iqloahaq.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: localhost 127.0.0.1

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ukvng.dll
O2 - BHO: (no name) - {3FBB2A3C-CDA6-77CC-465A-9EBD78DE3FBE} - C:\Programme\cdmweb\croodbrslh.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: (no name) - {D551686B-F5AB-8E04-D348-FC1DF6451292} - C:\WINDOWS\System32\ytowai.dll (file missing)
O2 - BHO: (no name) - {EF9352FB-CC48-EBE9-38F6-E17B438A2FCC} - C:\WINDOWS\System32\iqloahaq.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ukvng.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Windows_Protect] winsystem.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\+++++ \Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [ewoEksaC] C:\WINDOWS\gjtprniq.exe
O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Offices] msnmgd32.exe
O4 - HKLM\..\Run: [Registry Value Name] sysmanage.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] C:\Programme\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [dmeou.exe] C:\WINDOWS\System32\dmeou.exe
O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [Offices] msnmgd32.exe
O4 - HKLM\..\RunServices: [Registry Value Name] sysmanage.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows_Protect] winsystem.exe
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [Gbj] C:\WINDOWS\System32\l?ass.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Offices] msnmgd32.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Mbuo] "C:\DOKUME~1\HARALD~1\EIGENE~1\SMBOLS~1\scanregw.exe" -vt ndrv

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=4809
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DE99D3A-2D6A-4CA5-857C-E7240FC75F12}: NameServer = 85.255.116.165,85.255.112.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC3516F9-7062-4095-9F04-51B5028C70C6}: NameServer = 85.255.116.165,85.255.112.122
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DE99D3A-2D6A-4CA5-857C-E7240FC75F12}: NameServer = 85.255.116.165,85.255.112.122
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DE99D3A-2D6A-4CA5-857C-E7240FC75F12}: NameServer = 85.255.116.165,85.255.112.122

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
Seitenanfang Seitenende
16.05.2006, 00:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 burton-01

nimm bitte sofort diese Virenschleuder aus dem netz und formatiere.
mache dann als erstes die WindowsUpdates und klicke nicht auf alles, was da so blinkt im Internet...denn meistens sind es Viren.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende