**exmodul32.exe auf D:/

#1 Hallo
Ich habe zwei HD C:/ und D:/
auf beiden läuft Win XP
ich boot über den xp bootmanager.
Auf der D Festplatte habe ich mir den **exmodul32.exe eingefangen.
C scheint sauber zusein.

ich habe einmal eine Datei umbenat da ich "glaubte" das die der ursprung ist...(nvsvcd.alt)

Danke!

Hier meine Daten:

Logfile of HijackThis v1.99.1
Scan saved at 12:24:50, on 06.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\WINDOWS\system32\LVCOMSX.EXE
D:\Programme\Logitech\Video\LogiTray.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Programme\Softwin\BitDefender9\bdoesrv.exe
D:\WINDOWS\system32\svchost.exe
D:\progra~1\softwin\bitdef~2\bdnagent.exe
D:\progra~1\softwin\bitdef~2\bdswitch.exe
D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programme\QuickTime\qttask.exe
d:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
D:\Programme\Logitech\Video\FxSvr2.exe
D:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
D:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
D:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
D:\Programme\Softwin\BitDefender9\vsserv.exe
d:\progra~1\softwin\bitdef~2\bdmcon.exe
D:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\Administrator\Eigene Dateien\inst\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - D:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NVMixerTray] "D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [BDMCon] d:\progra~1\softwin\bitdef~2\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "D:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "d:\progra~1\softwin\bitdef~2\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "d:\progra~1\softwin\bitdef~2\bdswitch.exe"
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [RoxWatchTray] "D:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] D:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [IncrediMail] D:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [PcSync] D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://d:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Backward Links - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://d:\programme\google\GoogleToolbar2.dll/cmtrans.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{12AAC6A6-D346-4356-8F71-CAA2FF5DADE4}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CS1\Services\Tcpip\..\{12AAC6A6-D346-4356-8F71-CAA2FF5DADE4}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CS2\Services\Tcpip\..\{12AAC6A6-D346-4356-8F71-CAA2FF5DADE4}: NameServer = 213.182.224.30,213.182.224.35
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - D:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - d:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - D:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - D:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - D:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - D:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUpUtilities2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: Windows Log - Unknown owner - D:\WINDOWS\system32\nvsvcd.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: B071-FD1B

Verzeichnis von D:\

06.06.2006 12:26 0 sys.txt
06.06.2006 12:26 11.703 system.txt
06.06.2006 12:25 1.828 systemtemp.txt
06.06.2006 12:25 112.944 system32.txt
06.06.2006 10:00 1.610.612.736 pagefile.sys
5 Datei(en) 1.610.739.211 Bytes
0 Verzeichnis(se), 64.086.609.920 Bytes frei


Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: B071-FD1B

Verzeichnis von D:\WINDOWS\system32

06.06.2006 12:23 81.984 bdod.bin
06.06.2006 10:04 401.084 perfh009.dat
06.06.2006 10:04 61.224 perfc009.dat
06.06.2006 10:04 412.330 perfh007.dat
06.06.2006 10:04 72.214 perfc007.dat
06.06.2006 10:04 958.756 PerfStringBackup.INI
06.06.2006 10:00 43.573 nvapps.xml
06.06.2006 01:41 31 getfile.dat
05.06.2006 16:06 2.206 wpa.dbl
26.05.2006 16:10 278.944 FNTCACHE.DAT
25.05.2006 23:01 49.152 nvsvcd.alt
04.05.2006 06:26 5.818.784 MRT.exe
22.04.2006 19:39 385.024 xvid.ax
22.04.2006 00:51 43.520 CmdLineExt03.dll
12.04.2006 11:37 207.872 DAAPI.dll
10.04.2006 13:31 243.712 ConnAPI.dll
01.04.2006 18:30 1.205 lvcoinst.log
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
27.03.2006 14:13 122.880 NclAPI.dll
27.03.2006 12:10 60.416 NclTools.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 18:30 7.006 jupdate-1.5.0_06-b05.log
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 426.496 msdtcprx.dll
21.02.2006 11:24 3.147 qtplugin.log
20.02.2006 19:48 73.728 sockspy.dll
16.02.2006 03:08 39.936 CacheX.dll
13.02.2006 17:17 43 blue.SITENAME
07.02.2006 16:02 77.824 xcomm.dll
03.02.2006 11:27 4.212 zllictbl.dat
26.01.2006 18:39 8.464 sporder.dll
23.01.2006 16:58 278.528 pncrt.dll
23.01.2006 16:58 361 QuickTime.qtp
23.01.2006 16:20 16.832 amcompat.tlb
23.01.2006 16:20 23.392 nscompat.tlb
23.01.2006 16:17 3.217 $winnt$.inf
23.01.2006 16:13 2.951 CONFIG.NT
23.01.2006 16:11 488 logonui.exe.manifest
23.01.2006 16:11 488 WindowsLogon.manifest
23.01.2006 16:11 749 nwc.cpl.manifest
23.01.2006 16:11 749 wuaucpl.cpl.manifest
23.01.2006 16:11 749 cdplayer.exe.manifest
23.01.2006 16:11 749 ncpa.cpl.manifest
23.01.2006 16:11 749 sapi.cpl.manifest
23.01.2006 16:09 21.740 emptyregdb.dat
23.01.2006 16:07 0 h323log.txt
10.01.2006 07:34 0 px.ini
04.01.2006 17:31 409.600 Px.dll
04.01.2006 17:30 172.032 PxMas.dll
04.01.2006 17:30 339.968 PxWave.dll
04.01.2006 05:35 68.096 webclnt.dll


Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: B071-FD1B

Verzeichnis von D:\WINDOWS

06.06.2006 10:01 0 0.log
06.06.2006 10:00 159 wiadebug.log
06.06.2006 10:00 50 wiaservc.log
06.06.2006 10:00 2.048 bootstat.dat
06.06.2006 01:54 32.626 SchedLgU.Txt
06.06.2006 01:54 1.680.264 WindowsUpdate.log
06.06.2006 01:41 1.005 win.ini
05.06.2006 20:44 574.682 setupapi.log
31.05.2006 17:10 116 NeroDigital.ini
31.05.2006 08:51 1.208 VFO.INI
31.05.2006 08:31 155 winamp.ini
28.05.2006 19:07 17 MovingPicture.ini
26.05.2006 22:58 37 install_Studio10.log
26.05.2006 16:09 1.454 COM+.log
26.05.2006 15:54 63 Studio10_BonusDVD.log
26.05.2006 13:19 64.738 wmsetup.log
25.05.2006 01:22 53.248 bdoscandel.exe
24.05.2006 19:38 459 TWAIN.LOG
24.05.2006 19:38 0 Twunk002.MTX
23.05.2006 20:54 98 WirelessFTP.INI
15.05.2006 11:00 6.904 DPINST.LOG
14.05.2006 18:11 203.297 setupact.log
13.05.2006 10:12 13.377 ehOCGen.log
13.05.2006 10:12 16.433 MedCtrOC.log
13.05.2006 10:12 280.844 iis6.log
13.05.2006 10:12 51.772 ntdtcsetup.log
13.05.2006 10:12 88.252 comsetup.log
13.05.2006 10:12 1.374 imsins.log
13.05.2006 10:12 108.987 tsoc.log
13.05.2006 10:12 12.137 tabletoc.log
13.05.2006 10:12 12.042 KB913580.log
13.05.2006 10:12 12.811 ocmsn.log
13.05.2006 10:12 40.382 netfxocm.log
13.05.2006 10:12 30.049 plusoc.log
13.05.2006 10:12 116.533 ocgen.log
13.05.2006 10:12 11.385 msgsocm.log
13.05.2006 10:12 227.955 FaxSetup.log
13.05.2006 10:12 75.824 msmqinst.log
13.05.2006 10:12 16.952 updspapi.log
30.04.2006 23:55 224 wininit.ini
30.04.2006 23:50 1.792 xpsp1hfm.log
30.04.2006 23:47 316.640 WMSysPr9.prx
26.04.2006 09:57 1.374 imsins.BAK
26.04.2006 09:57 12.075 KB900485.log
22.04.2006 20:05 16.799 Directx.log
16.04.2006 17:50 1.830 spupdsvc.log
16.04.2006 17:49 15.575 KB908531.log
16.04.2006 17:48 14.812 KB911562.log
16.04.2006 17:48 17.761 KB912812.log
16.04.2006 17:48 19.918 KB911565.log
16.04.2006 17:47 10.852 KB911567.log
08.04.2006 01:25 7.537 INSTALL.LOG
08.04.2006 01:17 3.264.054 ACD Hintergrund.bmp
14.03.2006 20:57 5.526 TWAINCAP.SRC


Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: B071-FD1B

Verzeichnis von D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

06.06.2006 12:02 917.504 MFPL7014.DLL
06.06.2006 10:11 59.964 Adobelm_Cleanup.0001
06.06.2006 10:10 28.029 jusched.log
06.06.2006 10:02 59.904 35exmodul32.exe
06.06.2006 10:01 40.534 LVCOMSX.LOG
06.06.2006 10:00 49.152 tmp1.tmp
05.06.2006 22:15 59.904 60exmodul32.exe
05.06.2006 21:36 59.904 57exmodul32.exe
05.06.2006 20:06 59.904 19exmodul32.exe
05.06.2006 16:08 59.904 28exmodul32.exe
04.06.2006 14:38 59.904 38exmodul32.exe
03.06.2006 18:53 59.904 63exmodul32.exe
02.06.2006 19:34 0 is26D.tmp
31.05.2006 17:23 426 IMT17D.xml
31.05.2006 17:23 2.018 IMT17C.xml
31.05.2006 17:20 798.234 IMT123.xml
31.05.2006 17:20 426 IMT122.xml
31.05.2006 17:20 2.036 IMT121.xml
31.05.2006 17:20 798.234 IMT116.xml
31.05.2006 17:20 426 IMT115.xml
31.05.2006 17:20 2.036 IMT114.xml
31.05.2006 17:19 798.234 IMT113.xml
31.05.2006 17:19 426 IMT112.xml
31.05.2006 17:19 2.036 IMT111.xml
31.05.2006 17:12 798.234 IMT106.xml
31.05.2006 17:12 426 IMT105.xml
31.05.2006 17:12 2.036 IMT103.xml
31.05.2006 17:02 798.234 IMTDC.xml
31.05.2006 17:02 426 IMTDB.xml
31.05.2006 17:02 2.036 IMTDA.xml
28.05.2006 19:06 131.072 SCSILog1.txt
27.05.2006 12:22 49.152 ~DF8707.tmp
32 Datei(en) 5.700.659 Bytes
0 Verzeichnis(se), 64.086.626.304 Bytes frei

#2 geobit

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren

Zitat

sc stop Windows Log
sc delete Windows Log
del delete.bat

Auf dem Desktop abspeichern [Gebe bei Dateityp 'Alle Dateien' an.] als delete.bat --> Doppeltklicken
-------------------------------------------------------------------------
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

Files to delete:
D:\WINDOWS\system\smss.exe
D:\WINDOWS\system32\nvsvcd.alt
D:\Temp\data.exe
D:\Temp\modul.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmp1.tmp
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\is26D.tmp
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\60exmodul32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\57exmodul32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\19exmodul32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\28exmodul32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\38exmodul32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\63exmodul32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\35exmodul32.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was erscheint

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - D:\WINDOWS\system32\nvsvcd.exe (file missing)

PC neustarten

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

**
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

**
poste das log vom Stuff
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina

Danke für deine hilfe
Habe propleme mit avenger...
ich habe text reinkopiert... aber er bricht ab mit....



Fatal error: could not create new script file



danach kommt noch ein meldung mit.... error code 0

was mache ich falsch?

#4 versuche es noch einige Male, manchmal klappt es dann doch
falls nicht:
------------------------------------------------------------------------

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log]

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ........

Zitat

D:\WINDOWS\system\smss.exe
D:\WINDOWS\system32\nvsvcd.alt
D:\Temp\data.exe
D:\Temp\modul.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmp1.tmp
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\is26D.tmp
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\60exmodul32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\57exmodul32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\19exmodul32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\28exmodul32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\38exmodul32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\63exmodul32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\35exmodul32.exe

PC neustarten

+
alles weitere abarbeiten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina

Avanger hat doch noch gefunkt....
beim HijackThis konnte ich den zweiten punkt nicht fixen da er nicht mehr auftauchte beim scan.

O23 - Service: Windows Log - Unknown owner - D:\WINDOWS\system32\nvsvcd.exe (file missing)

hier jetzt das log von avenger,kaspersky und stuff




Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dfvpiovr

*******************

Script file located at: \??\D:\WINDOWS\rehfjxfg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at D:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log
Status: 0xc0000034

File D:\WINDOWS\system\smss.exe deleted successfully.
File D:\WINDOWS\system32\nvsvcd.alt deleted successfully.


Could not open file D:\Temp\data.exe for deletion
Deletion of file D:\Temp\data.exe failed!

Could not process line:
D:\Temp\data.exe
Status: 0xc000003a



Could not open file D:\Temp\modul.exe for deletion
Deletion of file D:\Temp\modul.exe failed!

Could not process line:
D:\Temp\modul.exe
Status: 0xc000003a

File D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmp1.tmp deleted successfully.
File D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\is26D.tmp deleted successfully.
File D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\60exmodul32.exe deleted successfully.
File D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\57exmodul32.exe deleted successfully.
File D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\19exmodul32.exe deleted successfully.
File D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\28exmodul32.exe deleted successfully.
File D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\38exmodul32.exe deleted successfully.
File D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\63exmodul32.exe deleted successfully.
File D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\35exmodul32.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.










-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, June 07, 2006 10:33:17 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 7/06/2006
Kaspersky Anti-Virus database records: 187000
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
D:\

Scan Statistics:
Total number of scanned objects: 95806
Number of viruses found: 1
Number of infected objects: 8
Number of suspicious objects: 0
Duration of the scan process: 01:12:39

Infected Object Name / Virus Name / Last Action
D:\avenger\backup.zip/avenger/19exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
D:\avenger\backup.zip/avenger/28exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
D:\avenger\backup.zip/avenger/35exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
D:\avenger\backup.zip/avenger/38exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
D:\avenger\backup.zip/avenger/57exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
D:\avenger\backup.zip/avenger/60exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
D:\avenger\backup.zip/avenger/63exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
D:\avenger\backup.zip ZIP: infected - 7 skipped

Scan process completed.





doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000004
"Type"=dword:00000020
"Group"=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0000000e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\MSN Messenger\\msnmsgr.exe"="D:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP"="3389:TCP:*:Enabled:@xpsp2res.dll,-22009"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\MSN Messenger\\msnmsgr.exe"="D:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"D:\\WINDOWS\\system32\\svchost.exe"="D:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\93exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\93exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\60exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\60exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\61exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\61exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\72exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\72exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\12exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\12exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\38exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\38exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\40exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\40exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\75exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\75exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\4exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\4exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\35exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\35exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\94exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\94exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\14exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\14exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\57exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\57exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\85exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\85exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\63exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\63exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\28exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\28exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\19exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\19exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\13exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\13exmodul32.exe:*:Enabled:Microsoft Update"
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\83exmodul32.exe"="D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\83exmodul32.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP"="3389:TCP:*:Enabled:@xpsp2res.dll,-22009"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001




schöne grüsse klaus

#6 gehe in die Registry
Start - Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

loesche folgende Eintraege raus:

"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\93exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\60exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\61exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\72exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\12exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\38exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\40exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\75exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\4exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\35exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\94exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\14exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\57exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\85exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\63exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\28exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\19exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\13exmodul32.exe
"D:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\83exmodul32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 -> in 0 aendern

PC neustarten

D:\avenger\backup.zip -> loeschen

-------------------------------------------------------------------------

Um die Diensteverwaltung explizit aufzurufen, geben Sie ein unter
Start - Ausführen: services.msc

Telnet
Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen.
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)


Remote-Registrierung
Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden.
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina
Erst einmal ein tolles Danke ... mit tiefer bewunderung.... :-)
wo soll ich die Blumen hinschicken ?

Es scheint jetzt vorbei zusein mit mit dem exmodul32.
Mich würde jetzt nur noch intresieren wie ich mir das eingefangen habe...
selbst instalier oder internet oder E-Mail ????

Und wer war der bösewicht ... smms.exe oder nvsvcd.exe

würde mich gerne mit unterhalten....

Schöne grüsse Klaus