Home » Viren, Trojaner & Malware Forum » exmodul32, automatische Windowsupdates disabled » Themenansicht

exmodul32, automatische Windowsupdates disabled
#0
04.06.2006, 16:35
Citizen
...neu hier

Beiträge: 3
#1 Hallo,

anscheinend habe ich mir die ??exmodul.exe eingefangen. Und mein XP-Rechner warnt beim Hochfahren, dass die automatische Updatefunktion ausgeschaltet sei.

Zum Entfernen des Exmodul gibt es hier schon drei von Sabina geleitete Touren, aber da die Situation auf allen Rechnern verschieden scheint, halte ich lieber die Füße still und poste erstmal meine Daten:

http://virusscan.Jotti.org/de/
04.Juni 2006, 16:20 Uhr
Datei: 91exmodul32.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Horst-C gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Spambot gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Horst.be gefunden
NOD32 probably a variant of Win32/Spabot.NAA gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Verzeichnis von C:\WINDOWS\Downloaded Program Files
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
02.03.2006 15:40 1.271 erma.inf
16.09.2003 18:05 299.008 isusweb.dll
03.06.2005 04:49 752 jinstall-1_5_0_04.inf
29.06.2005 18:17 227 opuc.inf
27.08.2005 14:30 5.065 swflash.inf


Verzeichnis von C:\WINDOWS\system32
03.06.2006 22:02 20.160 BMXStateBkp-{00000000-00000000-00000007-00001102-00000004-00511102}.rfx
03.06.2006 22:02 28.056 BMXCtrlState-{00000000-00000000-00000007-00001102-00000004-00511102}.rfx
03.06.2006 22:02 28.056 BMXBkpCtrlState-{00000000-00000000-00000007-00001102-00000004-00511102}.rfx
03.06.2006 22:02 20.160 BMXState-{00000000-00000000-00000007-00001102-00000004-00511102}.rfx
03.06.2006 22:02 1.072 settingsbkup.sfm
03.06.2006 22:02 1.072 settings.sfm
03.06.2006 22:02 24 DVCStateBkp-{00000000-00000000-00000007-00001102-00000004-00511102}.dat
03.06.2006 22:02 24 DVCState-{00000000-00000000-00000007-00001102-00000004-00511102}.dat
02.06.2006 18:57 49.152 nvsvcd.exe
02.06.2006 16:16 2.206 wpa.dbl
31.05.2006 09:33 17.476 OPC3200N.cah
30.05.2006 21:39 34.896 OPHC_M00.cah
30.05.2006 19:30 42.340 uiokilpr.isu
30.05.2006 12:57 1.269 LexFiles.usr
04.05.2006 06:26 5.818.784 MRT.exe
26.04.2006 14:59 250.544 KeyHelp.ocx
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
27.03.2006 10:06 40.836 perfc009.dat
27.03.2006 10:06 314.508 perfh009.dat
27.03.2006 10:06 49.174 perfc007.dat
27.03.2006 10:06 320.094 perfh007.dat
27.03.2006 10:06 732.342 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
13.03.2006 13:23 1.024 AutoPartNt.let
13.03.2006 13:22 1.075.712 AutoPartNt.exe
07.03.2006 16:43 339.784 FNTCACHE.DAT
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 66.560 mtxclu.dll


Verzeichnis von C:\DOKUME~1\Chef\LOKALE~1\Temp
04.06.2006 15:03 59.904 91exmodul32.exe
04.06.2006 14:39 16.384 ~DF8261.tmp
04.06.2006 14:37 65.536 ima21.tmp
04.06.2006 14:37 65.536 ima20.tmp
04.06.2006 14:37 65.536 ima1E.tmp


Verzeichnis von C:\WINDOWS
04.06.2006 14:54 4.264 WINCMD.INI
04.06.2006 14:36 0 0.log
04.06.2006 14:36 157 wiadebug.log
04.06.2006 14:36 50 wiaservc.log
04.06.2006 14:36 2.048 bootstat.dat
04.06.2006 12:37 0 pestpatrol5.INI
04.06.2006 12:30 454.984 setupapi.log
03.06.2006 22:29 1.077.134 WindowsUpdate.log
03.06.2006 22:02 30.060 SchedLgU.Txt
03.06.2006 16:57 3.778.236 {00000000-00000000-00000007-00001102-00000004-00511102}.CDF
03.06.2006 16:57 3.778.236 {00000000-00000000-00000007-00001102-00000004-00511102}.BAK
30.05.2006 23:52 27 JC-ADMIN32.INI
30.05.2006 23:42 82 JcAdmin32.ini
30.05.2006 23:15 27 EZSET_SP.INI
30.05.2006 21:39 174 OPHC.INI
30.05.2006 20:38 671 wcx_ftp.ini
25.05.2006 16:59 16.895 wmsetup.log
19.05.2006 21:55 840 win.ini
19.05.2006 21:55 136 mind.ini
12.05.2006 18:16 688.455 iis6.log
12.05.2006 18:16 219.989 comsetup.log
12.05.2006 18:16 132.911 ntdtcsetup.log
12.05.2006 18:16 29.561 tabletoc.log
12.05.2006 18:16 284.292 tsoc.log
12.05.2006 18:16 1.374 imsins.log
12.05.2006 18:16 32.794 ocmsn.log
12.05.2006 18:16 12.102 KB913580.log
12.05.2006 18:16 104.891 netfxocm.log
12.05.2006 18:16 43.037 MedCtrOC.log
12.05.2006 18:16 311.756 ocgen.log
12.05.2006 18:16 30.381 msgsocm.log
12.05.2006 18:16 570.808 FaxSetup.log
12.05.2006 18:16 184.018 msmqinst.log
12.05.2006 18:15 38.373 updspapi.log
26.04.2006 14:01 1.374 imsins.BAK
26.04.2006 14:01 12.670 KB900485.log
16.04.2006 05:49 23 BlendSettings.ini
16.04.2006 04:45 21.986 DirectX.log
14.04.2006 21:56 17.616 KB908531.log
14.04.2006 21:56 16.863 KB911562.log
14.04.2006 21:55 19.655 KB912812.log
14.04.2006 21:54 12.219 KB911567.log
09.03.2006 23:21 25.555 MSTMON_P.INI
08.03.2006 17:01 50 rblky.sys


Verzeichnis von C:\
04.06.2006 15:51 0 sys.txt
04.06.2006 15:50 9.806 system.txt
04.06.2006 15:49 485 systemtemp.txt
04.06.2006 15:49 101.086 system32.txt
04.06.2006 15:48 2 DirDPFCns.txt
04.06.2006 15:48 1.396 DirDPF.txt
04.06.2006 14:36 1.610.141.696 hiberfil.sys
04.06.2006 14:36 805.306.368 pagefile.sys
04.06.2006 12:32 4.982 caisslog.txt



Logfile of HijackThis v1.99.1
Scan saved at 15:53:48, on 04.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Prgs\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
C:\WINDOWS\system32\MSTMON_P.EXE
C:\Programme\CA\eTrust Internet Security Suite\caissdt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ConversionPlus\MacName.exe
C:\Programme\Okidata\OKI LPR-Dienstprogramm\okilpr.exe
C:\WINDOWS\System32\svchost.exe
C:\Prgs\totalcmd\totalcmd.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Prgs\PDFFOX~1\FOXITR~1.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Chef\LOKALE~1\Temp\91exmodul32.exe
C:\Prgs\Achilles\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "C:\Prgs\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [PPort9reminder] "C:\Programme\ScanSoft\PaperPort\WebEreg\ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\9\Config\ereg.ini"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [KONICA MINOLTA magicolor2300WStatusDisplay] C:\WINDOWS\system32\MSTMON_P.EXE
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [CaISSDT] "C:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: OKI LPR-Dienstprogramm.lnk = C:\Programme\Okidata\OKI LPR-Dienstprogramm\okilpr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: www.macromedia.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5627059-3497-4489-9262-491FFC6E2F49}: NameServer = 217.237.150.225,217.237.150.141
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lmaa_device - Lexmark International, Inc. - C:\WINDOWS\system32\lmaacoms.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe




«
Seitenanfang Seitenende
04.06.2006, 16:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Citizen

1
Start -> Ausführen --> schreib rein: notepad -- klicke OK. oder , falls das Kommando nicht stimmt, öffne den Editor....
Dann kopiere folgenden Text rein:

Zitat

sc stop Windows Log
sc delete Windows Log
del delete.bat
Auf dem Desktop abspeichern [Gebe bei Dateityp 'Alle Dateien' an.] als delete.bat --> Doppeltklicken

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log]
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

Files to delete:
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe
C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Temp\91exmodul32.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste das log vom avenger

4.
Start - Ausfuehren --> schreib rein: cmd
dann kopiere rein: (nach jedem mit "yes" oder "ja" bestaetigen

del c:\ *.tmp

del %temp%\*.tmp /f

del %windir%\prefetch\*.*

del %windir%\temp\*.* /f

del C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\*.* /f

del %temp%

5.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
PC neustarten

6.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

7.
poste das log vom stuff
http://virus-protect.org/registry_stuff.html


«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.06.2006, 18:51
Citizen
...neu hier

Themenstarter

Beiträge: 3
#3 Danke!

Zweite Vorbemerkung: anscheinend erkennt auch mein AVK 2006 jetzt den Exmodul als Malware:
17:55 Uhr: "Beim Öffnen der Datei "C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Temp\91exmodul32.exe" wurde der Virus "Trojan-Proxy.Win32.Horst.be" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein."
18:02 Uhr: "Beim Öffnen der Datei "C:\avenger\91exmodul32.exe" wurde der Virus "Trojan-Proxy.Win32.Horst.be" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein."

Dritte Bemerkung: die Kommandos in der Eingabeaufforderung gingen oft daneben ... war ich da im falschen Directory? Log habe ich unten gepostet ("zu 4").



zu 3.: Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jiqwfbdn

*******************

Script file located at: \??\C:\WINDOWS\tyibscva.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log
Status: 0xc0000034

File C:\WINDOWS\system\smss.exe deleted successfully.
File C:\WINDOWS\system32\nvsvcd.exe deleted successfully.
File C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Temp\91exmodul32.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


zu 4.: Eingabeaufforderung

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Chef>del c:\ *.tmp
Möchten Sie "c:\*" löschen (J/N)? j
C:\Dokumente und Einstellungen\Chef\*.tmp konnte nicht gefunden werden

C:\Dokumente und Einstellungen\Chef>del %temp%\*.tmp /f
C:\DOKUME~1\Chef\LOKALE~1\Temp\ima24.tmp
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess
verwendet wird.
C:\DOKUME~1\Chef\LOKALE~1\Temp\ima28.tmp
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess
verwendet wird.
C:\DOKUME~1\Chef\LOKALE~1\Temp\ima2A.tmp
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess
verwendet wird.

C:\Dokumente und Einstellungen\Chef>del %windir%\prefetch\*.*
Möchten Sie "C:\WINDOWS\prefetch\*.*" löschen (J/N)? j

C:\Dokumente und Einstellungen\Chef>del %windir%\temp\*.* /f
Möchten Sie "C:\WINDOWS\temp\*.*" löschen (J/N)? j

C:\Dokumente und Einstellungen\Chef>del C:\Dokumente und Einstellungen\*\Lokale
Einstellungen\Temp\*.* /f
Das System kann den angegebenen Pfad nicht finden.

C:\Dokumente und Einstellungen\Chef>del \Lokale Einstellungen\Temp\*.* /f
Das System kann den angegebenen Pfad nicht finden.

C:\Dokumente und Einstellungen\Chef>del Lokale Einstellungen\Temp\*.* /f
Das System kann den angegebenen Pfad nicht finden.

C:\Dokumente und Einstellungen\Chef>del Temp\*.* /f
Das System kann die angegebene Datei nicht finden.

C:\Dokumente und Einstellungen\Chef>del %temp%
Möchten Sie "C:\DOKUME~1\Chef\LOKALE~1\Temp\*" löschen (J/N)? j
C:\DOKUME~1\Chef\LOKALE~1\Temp\ima24.tmp
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess
verwendet wird.
C:\DOKUME~1\Chef\LOKALE~1\Temp\ima28.tmp
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess
verwendet wird.
C:\DOKUME~1\Chef\LOKALE~1\Temp\ima2A.tmp
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess
verwendet wird.

C:\Dokumente und Einstellungen\Chef>



zu 5.: Avenger
"O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe"
wurde nicht aufgeführt.


zu 6.: KASPERSKY: critical areas
The scan is complete.
No malware has been detected. The sections that have been scanned are CLEAN.

Report is empty.

Total number of scanned files: 12494
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 00:09:38



zu 7.: Find_Stuff

doesn't exist
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardPro

file\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Prgs\\totalcmd\\totalcmd.exe"="C:\\Prgs\\totalcmd\\totalcmd.exe:*:Enabled:Total Commander 32 bit

international version, file manager replacement for Windows"
"C:\\Programme\\Macromedia\\FreeHand MX\\FreeHand MX.exe"="C:\\Programme\\Macromedia\\FreeHand

MX\\FreeHand MX.exe:*:Disabled:FreeHand MX"
"C:\\Programme\\Microsoft Office\\OFFICE11\\FRONTPG.EXE"="C:\\Programme\\Microsoft

Office\\OFFICE11\\FRONTPG.EXE:*:Enabled:Microsoft Office FrontPage"
"C:\\Programme\\ABC\\abc.exe"="C:\\Programme\\ABC\\abc.exe:*:Enabled:abc"
"C:\\Prgs\\Weisseradler-Script 1.071\\Weisseradler-Script.exe"="C:\\Prgs\\Weisseradler-Script

1.071\\Weisseradler-Script.exe:*:Disabled:mIRC"
"C:\\Prgs\\mIRC\\mirc.exe"="C:\\Prgs\\mIRC\\mirc.exe:*:Disabled:mIRC"
"C:\\Programme\\Microsoft Office\\Office\\FRONTPG.EXE"="C:\\Programme\\Microsoft

Office\\Office\\FRONTPG.EXE:*:Disabled:FRONTPG.EXE"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\17exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\17exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\39exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\39exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\99exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\99exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\65exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\65exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\80exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\80exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\93exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\93exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\98exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\98exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\97exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\97exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\44exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\44exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\2exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\2exmodul32.exe

:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\91exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\91exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\83exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\83exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\38exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\38exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\46exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\46exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\66exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\66exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\72exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\72exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\22exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\22exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\10exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\10exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\86exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\86exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\7exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\7exmodul32.exe

:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\49exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\49exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\24exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\24exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\13exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\13exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\14exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\14exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\34exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\34exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\69exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\69exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\61exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\61exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\48exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\48exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\28exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\28exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\41exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\41exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\89exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\89exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\27exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\27exmodul32.e

xe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\3exmodul32.exe"="C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\3exmodul32.exe

:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardPro

file\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardPro

file\GloballyOpenPorts\List]
"1900:UDP"="1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008"
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
Seitenanfang Seitenende
04.06.2006, 19:25
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
Um die Diensteverwaltung explizit aufzurufen, geben Sie ein unter
Start - Ausführen: services.msc
Nun werden alle laufenden Dienste angezeigt.

Remote-Registrierung
Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern.
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)

2.
gehe in die Registry und loesche das alles raus:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\17exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\39exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\99exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\65exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\80exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\93exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\98exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\97exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\44exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\2exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\91exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\83exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\38exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\46exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\66exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\72exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\22exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\10exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\86exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\7exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\49exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\24exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\13exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\14exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\34exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\69exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\61exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\48exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\28exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\41exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\89exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\27exmodul32.exe"
"C:\\DOKUME~1\\Chef\\LOKALE~1\\Temp\\3exmodul32.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 - aendere in 0

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = "dword:00000001" -> aendere in 0


PC neustarten


C:\avenger\ -> leeren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.06.2006, 20:51
Citizen
...neu hier

Themenstarter

Beiträge: 3
#5

Zitat

Sabina postete
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = "dword:00000001" -> aendere in 0
Den Schlüssel habe ich gar nicht in meiner Registry. Verwechselt?

Zitat

Sabina postete freiwillig: PayPal
Ist unterwegs. Danke nochmal!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1