XXexmodul32.exe - Trojaner entfernen

#1 Hallo,

ich habe seit neustem einen Trojaner, der sich unter den Windowsprozessen als XXexmodul32.exe bemerkbar macht (XX sind immer eine unterschiedliche Zahl). Wenn ich den Prozess manuell beende, startet er sich nach unbekannter Zeit wieder von selbst.

Leider habe ich überhaupt keine Ahnung, wie ich diesen entfernen kann.

Die betroffene Datei ist glaub ich C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temp\tmp1.tmp

Danke für eure Mühe.

Hier noch meine HiJack Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 09:36:37, on 19.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\xampp\apache\bin\apache.exe
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Programme\Extensis\Suitcase 9.2\Suitcase.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\a.holzknecht\Desktop\antiprog\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mitgeld.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [.nvsvc] C:\Dokumente und Einstellungen\a.holzknecht\Anwendungsdaten\smss.exe /w
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - Startup: E-Mail.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ADONIS.DE
O17 - HKLM\System\CCS\Services\Tcpip\..\{12334675-DB81-46A3-BDA6-2BCFA8283FE2}: NameServer = 192.168.1.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ADONIS.DE
O17 - HKLM\System\CS1\Services\Tcpip\..\{12334675-DB81-46A3-BDA6-2BCFA8283FE2}: NameServer = 192.168.1.2
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ADONIS.DE
O17 - HKLM\System\CS2\Services\Tcpip\..\{12334675-DB81-46A3-BDA6-2BCFA8283FE2}: NameServer = 192.168.1.2
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

#2 PsychoEagle

wir werde das hier abarbeiten:
http://virus-protect.org/artikel/dienste/nvsvcd.html

**
1.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

**
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\a.holzknecht\Anwendungsdaten" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Dokumente und Einstellungen\a.holzknecht\Anwendungsdaten\smss.exe" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

3.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#3 system32.txt

Zitat

19.06.2006 11:26 3.778 qtplugin.log
19.06.2006 08:01 23.773 nvapps.xml
19.06.2006 08:01 2.206 wpa.dbl
14.06.2006 08:56 1.452 sbydmfrs.txt
14.06.2006 08:05 280.536 FNTCACHE.DAT
13.06.2006 16:55 395.200 perfh009.dat
13.06.2006 16:55 59.440 perfc009.dat
13.06.2006 16:55 71.598 perfc007.dat
13.06.2006 16:55 408.618 perfh007.dat
13.06.2006 16:55 939.322 PerfStringBackup.INI
31.05.2006 16:26 16.832 amcompat.tlb
31.05.2006 16:26 23.392 nscompat.tlb
31.05.2006 16:26 2.272 w95inf16.dll
31.05.2006 16:26 4.608 w95inf32.dll
31.05.2006 14:06 6.961 jupdate-1.5.0_07-b03.log
31.05.2006 13:56 0 h323log.txt
31.05.2006 13:05 261 $winnt$.inf
31.05.2006 13:03 2.951 CONFIG.NT
31.05.2006 13:02 488 logonui.exe.manifest
31.05.2006 13:02 488 WindowsLogon.manifest
31.05.2006 13:02 749 wuaucpl.cpl.manifest
31.05.2006 13:02 749 cdplayer.exe.manifest
31.05.2006 13:02 749 sapi.cpl.manifest
31.05.2006 13:02 749 ncpa.cpl.manifest
31.05.2006 13:02 749 nwc.cpl.manifest
31.05.2006 12:59 21.740 emptyregdb.dat
23.05.2006 17:26 579.888 LegitCheckControl.dll
23.05.2006 17:25 285.488 WgaTray.exe
23.05.2006 17:25 402.736 WgaLogon.dll
03.05.2006 21:26 5.818.784 MRT.exe
03.05.2006 02:56 127.078 javaws.exe
03.05.2006 02:56 49.265 jpicpl32.cpl
03.05.2006 01:19 53.346 javaw.exe
03.05.2006 01:19 49.248 java.exe
31.03.2006 12:40 2.388.176 d3dx9_30.dll
31.03.2006 12:39 229.584 xactengine2_1.dll
31.03.2006 12:39 62.672 xinput1_1.dll
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll

temp.txt
19.06.2006 13:16 57.856 43exmodul32.exe
19.06.2006 12:51 57.856 95exmodul32.exe
19.06.2006 12:25 57.856 57exmodul32.exe
19.06.2006 12:19 0 q7k9D.tmp
19.06.2006 12:00 57.856 2exmodul32.exe
19.06.2006 11:58 1.682 DRAW0019.TMP
19.06.2006 11:57 1.682 DRAW0017.TMP
19.06.2006 11:57 1.682 DRAW0015.TMP
19.06.2006 11:57 1.682 DRAW0014.TMP
19.06.2006 11:57 1.682 DRAW0013.TMP
19.06.2006 11:57 1.682 DRAW0012.TMP
19.06.2006 11:57 1.682 DRAW0011.TMP
19.06.2006 11:56 1.682 DRAW0010.TMP
19.06.2006 11:56 1.682 DRAW0009.TMP
19.06.2006 11:55 1.682 DRAW0006.TMP
19.06.2006 11:54 1.682 DRAW000f.TMP
19.06.2006 11:53 1.682 DRAW000e.TMP
19.06.2006 11:53 1.682 DRAW000c.TMP
19.06.2006 11:52 1.682 DRAW000b.TMP
19.06.2006 11:52 1.682 DRAW000a.TMP
19.06.2006 11:52 1.682 DRAW0001.TMP
19.06.2006 11:46 1.682 DRAW0008.TMP
19.06.2006 11:46 1.682 DRAW0007.TMP
19.06.2006 11:34 57.856 94exmodul32.exe
19.06.2006 11:15 28.672 ~WRS0003.tmp
19.06.2006 11:09 57.856 64exmodul32.exe
19.06.2006 10:43 57.856 21exmodul32.exe
19.06.2006 10:18 57.856 7exmodul32.exe
19.06.2006 09:52 57.856 82exmodul32.exe
19.06.2006 09:49 1.233 ~WRD0001.doc
19.06.2006 09:27 57.856 99exmodul32.exe
19.06.2006 09:05 0 pgn15.tmp
19.06.2006 09:04 16.384 ~WRF0002.tmp
19.06.2006 09:01 57.856 18exmodul32.exe
19.06.2006 08:36 57.856 0exmodul32.exe
19.06.2006 08:10 57.856 14exmodul32.exe
19.06.2006 08:06 967 jusched.log
19.06.2006 08:01 512 ~DF2940.tmp
14.06.2006 11:19 60.416 52exmodul32.exe
14.06.2006 11:17 693 TWAIN.LOG
14.06.2006 11:17 2 Twain001.Mtx
14.06.2006 11:17 156 Twunk001.MTX
14.06.2006 10:54 60.416 56exmodul32.exe
14.06.2006 10:28 60.416 90exmodul32.exe
14.06.2006 10:12 16.384 ~DF1A80.tmp
14.06.2006 10:10 16.384 ~DFC335.tmp
14.06.2006 10:06 16.384 ~WRF0001.tmp
14.06.2006 10:03 60.416 54exmodul32.exe
14.06.2006 09:37 60.416 30exmodul32.exe
14.06.2006 09:12 60.416 32exmodul32.exe
14.06.2006 08:41 60.416 44exmodul32.exe
14.06.2006 08:06 28 ExchangePerflog_8484fa316b495696cfcccd43.dat
13.06.2006 16:55 11.353 Microsoft Office 2003 Setup(0001).txt
13.06.2006 16:55 427.682 Microsoft Office 2003 Setup(0001)_Task(0001).txt
13.06.2006 16:49 49.909 offcln11.log
13.06.2006 16:44 60.416 11exmodul32.exe
13.06.2006 16:30 920.068 tmp.xpi
13.06.2006 16:26 0 Twunk002.MTX
13.06.2006 16:24 46.080 ~e5d141.tmp
13.06.2006 16:18 60.416 85exmodul32.exe
13.06.2006 11:37 60.416 19exmodul32.exe
windows.txt

Zitat

19.06.2006 11:05 271.608 setupapi.log
19.06.2006 08:01 0 0.log
19.06.2006 08:01 2.048 bootstat.dat
14.06.2006 14:37 3.908 SchedLgU.Txt
14.06.2006 14:37 506 wiadebug.log
14.06.2006 14:37 511.132 WindowsUpdate.log
14.06.2006 10:44 50 wiaservc.log
14.06.2006 09:43 116 NeroDigital.ini
14.06.2006 09:42 43.554 wmsetup.log
14.06.2006 09:42 459 wmsetup10.log
13.06.2006 16:55 400 ODBC.INI
13.06.2006 16:54 573 win.ini
13.06.2006 16:30 2.909 mozver.dat
13.06.2006 16:24 0 nsreg.dat
31.05.2006 16:36 94 videodeLuxe.INI
31.05.2006 16:31 230 magix.ini
31.05.2006 16:26 316.640 WMSysPr9.prx
31.05.2006 14:58 15.933 ocmsn.log
31.05.2006 14:58 1.374 imsins.log
31.05.2006 14:58 344.428 iis6.log
31.05.2006 14:58 62.816 ntdtcsetup.log
31.05.2006 14:58 134.311 tsoc.log
31.05.2006 14:58 106.455 comsetup.log
31.05.2006 14:58 14.936 tabletoc.log
31.05.2006 14:58 32.949 KB899587.log
31.05.2006 14:58 50.442 netfxocm.log
31.05.2006 14:58 143.036 ocgen.log
31.05.2006 14:58 20.187 MedCtrOC.log
31.05.2006 14:58 14.467 msgsocm.log
31.05.2006 14:58 283.573 FaxSetup.log
31.05.2006 14:58 93.732 msmqinst.log
31.05.2006 14:58 14.975 updspapi.log
31.05.2006 14:57 1.374 imsins.BAK

c.txt

Zitat

19.06.2006 13:27 0 sys.txt
19.06.2006 13:26 7.189 system.txt
19.06.2006 13:25 3.490 systemtemp.txt
19.06.2006 13:25 99.594 system32.txt
19.06.2006 13:24 3.490 temp.txt
19.06.2006 08:01 1.073.008.640 hiberfil.sys
19.06.2006 08:01 1.610.612.736 pagefile.sys
14.06.2006 09:08 588 avenger.txt
31.05.2006 13:03 0 AUTOEXEC.BAT
31.05.2006 13:03 0 MSDOS.SYS
31.05.2006 13:03 0 IO.SYS
31.05.2006 13:03 0 CONFIG.SYS
31.05.2006 12:56 211 boot.ini

listen.bat

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 107D-B7C3

Verzeichnis von C:\Dokumente und Einstellungen\a.holzknecht\Anwendungsdaten

19.06.2006 11:00 <DIR> Adobe
19.06.2006 11:00 <DIR> AdobeAUM
14.06.2006 08:18 <DIR> AdobeUM
19.06.2006 11:36 <DIR> Corel
13.06.2006 11:35 <DIR> Google
13.06.2006 11:35 <DIR> Identities
13.06.2006 16:45 <DIR> Lavasoft
13.06.2006 16:30 <DIR> Macromedia
13.06.2006 16:24 <DIR> Mozilla
0 Datei(en) 0 Bytes
9 Verzeichnis(se), 240.970.620.928 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 107D-B7C3

Verzeichnis von C:\WINDOWS\Temp

19.06.2006 11:15 <DIR> .
19.06.2006 11:15 <DIR> ..
19.06.2006 08:01 0 WGAErrLog.txt
19.06.2006 08:06 372 WGANotify.settings
2 Datei(en) 372 Bytes
2 Verzeichnis(se), 240.970.616.832 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 107D-B7C3

Verzeichnis von C:\Dokumente und Einstellungen\a.holzknecht\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 107D-B7C3

Verzeichnis von C:\

Danke schon mal im Vorraus!

#4 ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________

**
CleanUp anwenden + Rechner neustarten, dann poste noch mal das 2. Log von datfindbat
http://virus-protect.org/cleanup.html

**
poste dieses Log (ich loesche dann spaeter die vertraulichen Daten)
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 POST_THIS.TXT

Zitat

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Jun 20, 2006 08:02:14


---> Begin Service Listing <---

Unknown Service # 1
Service Name: Adobe LM Service
Display Name: Adobe LM Service
Start Mode: Manual
Start Name: LocalSystem
Description: Adobe LM ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 2
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Classic Planer
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 1864
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 3
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Guard
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet permanente Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 1892
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #4
Service Name: Apache2
Display Name: Apache2
Start Mode: Auto
Start Name: LocalSystem
Description: Apache/2.2.2 (Win32) DAV/2 mod_ssl/2.2.2 OpenSSL/0.9.8b mod_autoindex_color ...
Service Type: Own Process
Path: "c:\xampp\apache\bin\apache.exe" -k runservice
State: Running
Process ID: 1908
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #5
Service Name: aspnet_state
Display Name: ASP.NET State Service
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 6
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #7
Service Name: mysql
Display Name: mysql
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\xampp\mysql\bin\mysqld-nt --defaults-file=c:\xampp\mysql\bin\my.cnf mysql
State: Running
Process ID: 2012
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service #8
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #9
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{358ccbdd-6629-49bb-bab2-3eca2d0fcae8}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 90 Win32 services on this machine.
9 were unrecognized.

Script Execution Time: 1,527344 seconds.

Zweite Log

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 107D-B7C3

Verzeichnis von C:\DOKUME~1\A02D2~1.HOL\LOKALE~1\Temp

20.06.2006 08:09 512 ~DFB060.tmp
20.06.2006 08:09 28 ExchangePerflog_8484fa316b495696cfcccd43.dat
20.06.2006 08:05 1.173 jusched.log
19.06.2006 13:56 58.368 54exmodul32.exe
19.06.2006 13:16 57.856 43exmodul32.exe
19.06.2006 12:51 57.856 95exmodul32.exe
19.06.2006 12:25 57.856 57exmodul32.exe
19.06.2006 12:19 0 q7k9D.tmp
19.06.2006 12:00 57.856 2exmodul32.exe
19.06.2006 11:34 57.856 94exmodul32.exe
19.06.2006 11:09 57.856 64exmodul32.exe
19.06.2006 10:43 57.856 21exmodul32.exe
19.06.2006 10:18 57.856 7exmodul32.exe
19.06.2006 09:52 57.856 82exmodul32.exe
19.06.2006 09:27 57.856 99exmodul32.exe
19.06.2006 09:05 0 pgn15.tmp
19.06.2006 09:01 57.856 18exmodul32.exe
19.06.2006 08:36 57.856 0exmodul32.exe
19.06.2006 08:10 57.856 14exmodul32.exe
14.06.2006 11:19 60.416 52exmodul32.exe
14.06.2006 11:17 693 TWAIN.LOG
14.06.2006 11:17 156 Twunk001.MTX
14.06.2006 11:17 2 Twain001.Mtx
14.06.2006 10:54 60.416 56exmodul32.exe
14.06.2006 10:28 60.416 90exmodul32.exe
14.06.2006 10:12 16.384 ~DF1A80.tmp
14.06.2006 10:10 16.384 ~DFC335.tmp
14.06.2006 10:06 16.384 ~WRF0001.tmp
14.06.2006 09:37 60.416 30exmodul32.exe
14.06.2006 09:12 60.416 32exmodul32.exe
14.06.2006 08:41 60.416 44exmodul32.exe
13.06.2006 16:55 11.353 Microsoft Office 2003 Setup(0001).txt
13.06.2006 16:55 427.682 Microsoft Office 2003 Setup(0001)_Task(0001).txt
13.06.2006 16:49 49.909 offcln11.log
13.06.2006 16:44 60.416 11exmodul32.exe
13.06.2006 16:30 920.068 tmp.xpi
13.06.2006 16:26 0 Twunk002.MTX
13.06.2006 16:24 46.080 ~e5d141.tmp
13.06.2006 16:18 60.416 85exmodul32.exe
13.06.2006 11:37 60.416 19exmodul32.exe

look1.txt (find_Stuff.bat)

Zitat

doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:000000b6

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\xampp\\apache\\bin\\apache.exe"="C:\\xampp\\apache\\bin\\apache.exe:*:Enabled:Apache HTTP Server"
"D:\\Utility\\Installer\\InstallationManager.exe"="D:\\Utility\\Installer\\InstallationManager.exe:*:Enabled:Xerox Windows Common Print Driver Installer"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\85exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\85exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\11exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\11exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\44exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\44exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\32exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\32exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\30exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\30exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\54exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\54exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\90exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\90exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\56exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\56exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\52exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\52exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\14exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\14exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\0exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\0exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\18exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\18exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\99exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\99exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\82exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\82exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\7exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\7exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\21exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\21exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\64exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\64exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\94exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\94exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\2exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\2exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\57exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\57exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\95exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\95exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\43exmodul32.exe"="C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\43exmodul32.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001




[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Type"=dword:00000010
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
74,6c,6e,74,73,76,72,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

#6 1.
gehe in die Registry
Start - Ausfuehren - regedit

klicke dich durch zur:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

loesche alle:

"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\85exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\11exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\44exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\32exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\30exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\54exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\90exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\56exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\52exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\14exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\0exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\18exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\99exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\82exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\7exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\21exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\64exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\94exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\2exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\57exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\95exmodul32.exe
"C:\\DOKUME~1\\A02D2~1.HOL\\LOKALE~1\\Temp\\43exmodul32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 -> in 0 aendern (wird so aktiviert)

-------------------------------------------------------------------
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

Files to delete:
C:\WINDOWS\system32\nvsvcd.exe
C:\Dokumente und Einstellungen\a.holzknecht\Anwendungsdaten\smss.exe
C:\WINDOWS\system\smss.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\tmp1.tmp
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\54exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\43exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\95exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\57exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\q7k9D.tmp
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\2exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\94exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\64exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\21exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\7exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\82exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\99exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\pgn15.tmp
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\18exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\0exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\14exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\52exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\56exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\90exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\~DF1A80.tmp
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\~DFC335.tmp
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\~WRF0001.tmp
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\30exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\32exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\44exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\11exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\tmp.xpi
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\~e5d141.tmp
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\85exmodul32.exe
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\19exmodul32.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
3.
poste das log vom avenger

**
4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [.nvsvc] C:\Dokumente und Einstellungen\a.holzknecht\Anwendungsdaten\smss.exe /w

PC neustarten

**
5.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

**
6.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

**
7.
poste noch mal das 2. Log von datfindbat...bis Mai 2006 (ich habe wahrscheinlich nicht alle exe erwischt, weil du nur bis zum 19.06. gepostet hast....)
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Avenger

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gvfdseft

*******************

Script file located at: khaqfbms

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

Ist das normal?

#8 probiere es mehrmals, bis es klappt
__________
MfG Sabina

rund um die PC-Sicherheit

#9 ah ok danke. Klappte beim 6ten mal *g*

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nvkfocqt

*******************

Script file located at: \??\C:\WINDOWS\system32\brypbqnd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log
Status: 0xc0000034



File C:\WINDOWS\system32\nvsvcd.exe not found!
Deletion of file C:\WINDOWS\system32\nvsvcd.exe failed!

Could not process line:
C:\WINDOWS\system32\nvsvcd.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\a.holzknecht\Anwendungsdaten\smss.exe not found!
Deletion of file C:\Dokumente und Einstellungen\a.holzknecht\Anwendungsdaten\smss.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\a.holzknecht\Anwendungsdaten\smss.exe
Status: 0xc0000034



File C:\WINDOWS\system\smss.exe not found!
Deletion of file C:\WINDOWS\system\smss.exe failed!

Could not process line:
C:\WINDOWS\system\smss.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\tmp1.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\tmp1.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\tmp1.tmp
Status: 0xc0000034

File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\54exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\43exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\95exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\57exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\q7k9D.tmp deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\2exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\94exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\64exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\21exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\7exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\82exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\99exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\pgn15.tmp deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\18exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\0exmodul32.exe deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\14exmodul32.exe deleted successfully.


File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\52exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\52exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\52exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\56exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\56exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\56exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\90exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\90exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\90exmodul32.exe
Status: 0xc0000034

File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\~DF1A80.tmp deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\~DFC335.tmp deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\~WRF0001.tmp deleted successfully.


File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\30exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\30exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\30exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\32exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\32exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\32exmodul32.exe
Status: 0xc0000034

File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\44exmodul32.exe deleted successfully.


File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\11exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\11exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\11exmodul32.exe
Status: 0xc0000034

File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\tmp.xpi deleted successfully.
File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\~e5d141.tmp deleted successfully.


File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\85exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\85exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\85exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\19exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\19exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\19exmodul32.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

von dem Scanding

Zitat

C:\avenger\backup.zip/avenger/0exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip/avenger/14exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip/avenger/18exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip/avenger/21exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip/avenger/2exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip/avenger/43exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip/avenger/57exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip/avenger/64exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip/avenger/7exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip/avenger/82exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip/avenger/94exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip/avenger/95exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip/avenger/99exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\avenger\backup.zip

und dann nochmal die zweite log (komplett)

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 107D-B7C3

Verzeichnis von C:\DOKUME~1\A02D2~1.HOL\LOKALE~1\Temp

20.06.2006 13:29 512 ~DFA890.tmp
20.06.2006 13:29 28 ExchangePerflog_8484fa316b495696cfcccd43.dat
20.06.2006 13:26 2.203 jusched.log
20.06.2006 11:37 695 TWAIN.LOG
20.06.2006 11:37 3 Twain001.Mtx
20.06.2006 11:37 156 Twunk001.MTX
20.06.2006 08:35 416 java_install_reg.log
20.06.2006 08:23 113.110 14tah04.jpg
20.06.2006 08:14 58.368 59exmodul32.exe
13.06.2006 16:55 11.353 Microsoft Office 2003 Setup(0001).txt
13.06.2006 16:55 427.682 Microsoft Office 2003 Setup(0001)_Task(0001).txt
13.06.2006 16:49 49.909 offcln11.log
13.06.2006 16:26 0 Twunk002.MTX
12.10.2004 11:14 57.344 InstHelp.dll
14 Datei(en) 721.779 Bytes
0 Verzeichnis(se), 241.586.835.456 Bytes frei

#10 1.
loesche mit dem Avenger:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\a.holzknecht\Lokale Einstellungen\Temp\59exmodul32.exe

------------------------------------------------------------------------
2.
schliesse Internet und alle laufenden Programme:

Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

3.
loesche: C:\avenger\backup.zip

----------------------------------------------------------------------
4.
http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hab jetzt erst mal nur einen da ich für heute Ende machen muss

-->

Zitat

06/20/2006 14:57:05


Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 8836
Clean: ................. 8824
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:04.07

ist von System32.

#12 nun scanne auch die anderen..und berichte.
aber ich denke, dass das Problem nicht mehr so gross ist, wie zu Beginn
__________
MfG Sabina

rund um die PC-Sicherheit

#13 c:\windows

Zitat

Virus Scan Results



06/21/2006 08:49:17


Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 32178
Clean: ................. 32168
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:09.38

c:\

Zitat

06/21/2006 09:02:19


Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\*.*
C:\xampp\htdocs\_sonstiges\laufwerk.php\00000022.vbs ... Found potentially unwanted program Joke-EjectCD.

Summary report on C:\*.*
File(s)
Total files: ........... 120047
Clean: ................. 119968
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 2


Time: 00:26.19

So fertig ist jetzt alles runter oder? Weil der Task war seit gestern nicht mehr da. Danke dir schon mal.

#14 1.
ueberpruefe, ob in der Registry unter
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List]
alle exe raus sind.

2.
ueberpruefe, ob in datfindbat (2.Log) in den temp-Files, keine dieser exe mehr vorhanden ist.

3.
loesche das backup vom avenger

4.
aktiviere wieder die systemwiederherstellung

5.
ueberpruefe noch mal alles mit kaspersky
__________
MfG Sabina

rund um die PC-Sicherheit

#15 alles in Ordnung.

Zitat

The scan is complete.
No malware has been detected. The sections that have been scanned are CLEAN.

Das, heisst, der Trojaner ist weg? Wenn ja, vielen vielen Dank. Echt krass. Hab zwar nicht alles kapiert, was ich machte, aber es scheint funktioniert zu haben.

Respekt.

Danke noch mal Sabina. Sehr geholfen