Home » Spyware & Browser Hijacker Support Forum » Command.exe Unlöschbar » Themenansicht

Command.exe Unlöschbar
#0
24.09.2006, 12:38
CyrusRex
...neu hier

Beiträge: 2
#1 Hallo,

habe seit gestern ein Problem, irgendeine Software hat sich bei mir aufs Notebook installiert und ich bekomme sie nicht weg. Habe mit einem Freund gemeinsam rausgefunden das es sich hierbei um ein Programm mit dem Namen command.exe handelt.

Habe einen interessanten Thread dazu gelesen, aber anscheinend etwas falsch gemacht.

Kann mir jemand helfen? Sind auch die anderen Nutzer unseres WLAN-Netzwerks betroffen?

MFG Joey
Seitenanfang Seitenende
24.09.2006, 18:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 die malware erstellt einen Dienst und noch andere Viren gehoeren dazu:

poste alle logs hier
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.09.2006, 21:45
CyrusRex
...neu hier

Themenstarter

Beiträge: 2
#3 Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:56:25, on 24.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Q1JYIEhR\command.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\dfndrff_e13.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~3\Office\OUTLOOK.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\CRXHQ~1\LOKALE~1\Temp\Rar$EX00.812\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.at/0SEDEAT/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [U.S. Robotics Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e12.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e13.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e13.exe
O4 - HKCU\..\Run: [Reminder] C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\pcsync2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Winter Fun Wallpaper Changer.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-at\msntabres.dll.mui/229?066740d0853c48e7800b957e5d742a50
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-at\msntabres.dll.mui/230?066740d0853c48e7800b957e5d742a50
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://cyrusrex.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153734549593
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: OfficeUpdate - C:\WINDOWS\system32\t2r80c9uef.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrnt32 - winrnt32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE



Combofix:

CRX HQ - 06-09-24 21:14:18.17 Service Pack 2
ComboFix 06.09.23.2 - Running from: "C:\Dokumente und Einstellungen\CRX HQ\Desktop"

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

[HKEY_CLASSES_ROOT\CLSID\{E49A341E-214C-4266-88D1-3A61F24C0503}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E49A341E-214C-4266-88D1-3A61F24C0503}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E49A341E-214C-4266-88D1-3A61F24C0503}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E49A341E-214C-4266-88D1-3A61F24C0503}\InprocServer32]
@="C:\\WINDOWS\\system32\\kydinben.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{BD53857B-1416-4EEE-91B3-CEDC27861360}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{BD53857B-1416-4EEE-91B3-CEDC27861360}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{BD53857B-1416-4EEE-91B3-CEDC27861360}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{BD53857B-1416-4EEE-91B3-CEDC27861360}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{7CDE2A92-098B-4738-9F5A-7DF47B9A413E}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{7CDE2A92-098B-4738-9F5A-7DF47B9A413E}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{7CDE2A92-098B-4738-9F5A-7DF47B9A413E}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{7CDE2A92-098B-4738-9F5A-7DF47B9A413E}\InprocServer32]
@="C:\\WINDOWS\\system32\\wcavideo.dll"
"ThreadingModel"="Apartment"

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


FILES REMOVED:

C:\WINDOWS\system32\cagbkend.dll
C:\WINDOWS\system32\wcavideo.dll
C:\WINDOWS\system32\hr2o05f3e.dll
C:\WINDOWS\system32\mvlul9391.dll
C:\WINDOWS\system32\guard.tmp


Granting sedebugprivilege to Administratoren ... successful


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\teller2.chk
C:\dfndrff_e12.exe
C:\dfndrff_e13.exe
C:\drsmartload1.exe
C:\drsmartload45a45a45f.exe
C:\drsmartload.exe
C:\drsmartload45a45a45g.exe
C:\deskbar.exe
C:\kybrdff_e13.exe
C:\kybrdff_e12.exe
C:\MTE3NDI6ODoxNg.exe
C:\nwnmff_e12.exe
C:\nwnmff_e13.exe
C:\warebundlenewer.exe
C:\Dokumente und Einstellungen\CRX HQ\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G1M7W5QF\dfndrff_e_uit[1].exe
C:\Dokumente und Einstellungen\CRX HQ\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K52JCT2F\drsmartload[1].exe
C:\Dokumente und Einstellungen\CRX HQ\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SP2FSH23\drsmartload45a[1].exe
C:\Dokumente und Einstellungen\CRX HQ\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K52JCT2F\kybrdff_e[1].exe
C:\Dokumente und Einstellungen\CRX HQ\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G1M7W5QF\nwnmff_e[1].exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\urroxtl.dll
C:\mte3ndi6odoxng.exe
C:\ucmoreiex.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\ixt0.dll
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Programme\Deskbar
C:\Programme\network monitor
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{320D180E-0578-1031-0614-05031505002b}
C:\WINDOWS\system32\ixt1.dll


((((((((((((((((((((((((((((((( Files Created from 2006-08-24 to 2006-09-24 ))))))))))))))))))))))))))))))))))


2006-09-24 11:48 578,560 --a------ C:\Installer4.exe
2006-09-24 11:47 671,985 --a------ C:\deskbar_e13.exe
2006-09-23 20:47 42,736 --a------ C:\WINDOWS\icont.exe
2006-09-23 19:12 94,208 --a------ C:\WINDOWS\system32\uhvjsul.dll
2006-09-23 18:44 667,889 --a------ C:\deskbar_e12.exe
2006-09-21 19:43 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2006-09-21 19:43 372,736 -ra------ C:\WINDOWS\system32\LVUI2RC.dll
2006-09-21 19:43 204,800 -ra------ C:\WINDOWS\system32\LVUI2.dll
2006-09-21 19:43 204,800 -ra------ C:\WINDOWS\system32\lvcodec2.dll
2006-09-21 19:43 106,496 -ra------ C:\WINDOWS\system32\lvcoinst.dll
2006-09-21 19:17 53,248 -ra------ C:\WINDOWS\system32\InstMed.exe
2006-09-21 19:15 90,112 --a------ C:\WINDOWS\system32\LQCUI2.dll
2006-09-21 19:15 856,064 --a------ C:\WINDOWS\system32\Ltwvc12n.dll
2006-09-21 19:15 78,336 --a------ C:\WINDOWS\system32\lffax12n.dll
2006-09-21 19:15 65,536 --a------ C:\WINDOWS\system32\MFC71DEU.DLL
2006-09-21 19:15 61,440 --a------ C:\WINDOWS\system32\MFC71ITA.DLL
2006-09-21 19:15 61,440 --a------ C:\WINDOWS\system32\MFC71ESP.DLL
2006-09-21 19:15 57,344 --a------ C:\WINDOWS\system32\MFC71ENU.DLL
2006-09-21 19:15 49,152 --a------ C:\WINDOWS\system32\MFC71KOR.DLL
2006-09-21 19:15 49,152 --a------ C:\WINDOWS\system32\MFC71JPN.DLL
2006-09-21 19:15 466,944 --a------ C:\WINDOWS\system32\QCUI2.dll
2006-09-21 19:15 458,752 --a------ C:\WINDOWS\system32\LCamCpl.dll
2006-09-21 19:15 45,056 --a------ C:\WINDOWS\system32\MFC71CHT.DLL
2006-09-21 19:15 406,016 --a------ C:\WINDOWS\system32\ltkrn12n.dll
2006-09-21 19:15 40,960 --a------ C:\WINDOWS\system32\MFC71CHS.DLL
2006-09-21 19:15 328,704 --a------ C:\WINDOWS\system32\LFCMP12n.DLL
2006-09-21 19:15 30,720 --a------ C:\WINDOWS\system32\lfbmp12n.dll
2006-09-21 19:15 259,072 --a------ C:\WINDOWS\system32\LTDIS12n.dll
2006-09-21 19:15 215,552 --a------ C:\WINDOWS\system32\Lvkrn12n.dll
2006-09-21 19:15 207,872 --a------ C:\WINDOWS\system32\ltefx12n.dll
2006-09-21 19:15 164,864 --a------ C:\WINDOWS\system32\ltimg12n.dll
2006-09-21 19:15 141,312 --a------ C:\WINDOWS\system32\lftif12n.dll
2006-09-21 19:15 131,072 --a------ C:\WINDOWS\system32\ltfil12n.DLL
2006-09-21 18:57 28,672 --------- C:\WINDOWS\system32\pnpchk.exe
2006-09-21 18:55 128,232 --a------ C:\WINDOWS\system32\mucltui.dll
2006-09-21 18:47 86,016 --------- C:\WINDOWS\system32\wltrynt.dll
2006-09-21 18:47 819,315 --------- C:\WINDOWS\system32\BCMWLTRY.EXE
2006-09-21 18:47 69,632 --------- C:\WINDOWS\system32\BCMWLD2K.EXE
2006-09-21 18:47 65,536 --------- C:\WINDOWS\system32\WLTRYSVC.EXE
2006-09-21 18:47 639,080 --------- C:\WINDOWS\system32\wltray.exe
2006-09-21 18:47 192,512 --------- C:\WINDOWS\system32\AegisI5.exe
2006-09-21 18:47 184,320 --------- C:\WINDOWS\system32\BCMWLU00.EXE
2006-09-21 18:47 172,032 --------- C:\WINDOWS\system32\BCMLogon.dll
2006-09-21 18:47 1,396,831 --------- C:\WINDOWS\system32\AegisE5.dll
2006-09-21 18:46 991,232 --------- C:\WINDOWS\system32\MfcGF.dll
2006-09-21 18:46 53,248 --------- C:\WINDOWS\system32\preflib.dll
2006-09-21 18:46 49,152 --------- C:\WINDOWS\system32\usrnicvw.dll
2006-09-21 18:46 233,472 --------- C:\WINDOWS\system32\Veneer.dll
2006-09-21 18:46 217,088 --------- C:\WINDOWS\system32\Cylon.dll
2006-09-21 18:46 102,400 --------- C:\WINDOWS\system32\W32N55.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-24 12:22 -------- d-------- C:\Programme\CleanUp!
2006-09-23 22:11 -------- d-------- C:\Programme\Lavasoft
2006-09-23 22:11 -------- d-------- C:\Dokumente und Einstellungen\CRX HQ\Anwendungsdaten\Lavasoft
2006-09-23 20:25 -------- d-------- C:\Programme\MalwareWipe.com
2006-09-23 20:23 -------- d-------- C:\Programme\Spy-Heal
2006-09-23 20:11 -------- d-------- C:\Programme\Error Safe Free
2006-09-23 19:54 91344 --a------ C:\Dokumente und Einstellungen\CRX HQ\Anwendungsdaten\errorsafefreeinstall_de[1].exe
2006-09-23 19:19 -------- d-------- C:\Programme\SpyQuake2.com
2006-09-23 10:48 -------- d-------- C:\Programme\Winter Fun Pack 2004 for Windows XP
2006-09-23 04:06 -------- d-------- C:\Programme\SoundSpectrum
2006-09-23 04:06 -------- d-------- C:\Dokumente und Einstellungen\CRX HQ\Anwendungsdaten\G-Force
2006-09-21 20:31 -------- d-------- C:\Programme\Windows Desktop Search
2006-09-21 20:28 -------- d-------- C:\Programme\Windows Live Toolbar
2006-09-21 19:28 -------- d-------- C:\Programme\OfficeUpdate11
2006-09-21 19:15 -------- d-------- C:\Programme\Logitech
2006-09-21 18:47 17801 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2006-09-17 13:38 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltMc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltMgr.sys
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-24 16:33 -------- d-------- C:\Programme\Common Files
2006-07-24 16:15 -------- d-------- C:\Programme\CONEXANT
2006-07-24 16:05 -------- d-------- C:\Programme\SymNetDrv
2006-07-24 15:53 869 --a------ C:\Dokumente und Einstellungen\CRX HQ\Anwendungsdaten\AdobeDLM.log
2006-07-24 15:53 0 --a------ C:\Dokumente und Einstellungen\CRX HQ\Anwendungsdaten\dm.ini
2006-07-24 15:24 -------- d-------- C:\Programme\Yahoo!
2006-07-24 14:56 -------- d-------- C:\Programme\MSN Messenger
2006-07-24 12:56 -------- d-------- C:\Programme\Google
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-17 17:22 1420023 --a------ C:\WINDOWS\system32\transmission_screensaver.scr


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Reminder"="C:\\PROGRAMME\\MICROSOFT MONEY\\SYSTEM\\REMINDER.EXE"
"PcSync"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\pcsync2.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"Steam"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch"
"SiSPower"="Rundll32.exe SiSPower.dll,ModeAgent"
"SiS Windows KeyHook"="C:\\WINDOWS\\system32\\keyhook.exe"
"SoundMan"="SOUNDMAN.EXE"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"LXSUPMON"="C:\\WINDOWS\\system32\\LXSUPMON.EXE RUN"
"DataLayer"="C:\\PROGRA~1\\GEMEIN~1\\PCSuite\\DATALA~1\\DATALA~1.EXE"
"PCSuiteTrayApplication"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\TRAYAP~1.EXE"
"YeppStudioAgent"="C:\\Programme\\Samsung\\Samsung Media Studio\\SamsungMediaStudioAgent.exe"
"RealTray"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"U.S. Robotics Wireless Manager UI"="C:\\WINDOWS\\system32\\WLTRAY"
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"LogitechVideoRepair"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"LogitechVideoTray"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\Dokumente und Einstellungen\\CRX HQ\\Desktop\\CRX HQ\\Logos\\Logo CRX-Group.gif"
"SubscribedURL"="C:\\Dokumente und Einstellungen\\CRX HQ\\Desktop\\CRX HQ\\Logos\\Logo CRX-Group.gif"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,ff,00,00,00,70,00,00,00,f4,01,00,00,f4,01,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,0f,03,00,00,13,01,00,00,f4,01,00,00,f4,01,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:34,00,00,c0,00,00,00,00,ec,e0,07,00,bf,6f,da,77,27,00,\
00,00,e8,dd,07,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrnt32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - CRX HQ.job
C:\WINDOWS\tasks\Low Battery Alarm Program.job
C:\WINDOWS\tasks\Critical Battery Alarm Program.job
C:\WINDOWS\tasks\Check Updates for Windows Live Toolbar.job

Completion time: 24.09.2006 21:33:47.21
ComboFix2.txt
ComboFix.txt

datfind.bat:

atentr„ger in Laufwerk C: ist CYRUS REX
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

24.09.2006 21:36 313.280 perfh009.dat
24.09.2006 21:36 49.424 perfc007.dat
24.09.2006 21:36 318.680 perfh007.dat
24.09.2006 21:36 40.998 perfc009.dat
24.09.2006 21:36 728.826 PerfStringBackup.INI
24.09.2006 21:33 1.158 wpa.dbl
23.09.2006 20:38 3.145.782 toyhide.bmp
23.09.2006 19:17 4.286 ts.ico
23.09.2006 19:17 4.286 ot.ico
23.09.2006 19:12 94.208 uhvjsul.dll
23.09.2006 09:45 144 MantisUninstall.xml
21.09.2006 19:44 1.348 lvcoinst.log
21.09.2006 19:42 386.408 FNTCACHE.DAT
21.09.2006 18:47 308 results.txt
21.09.2006 18:46 1.409 tmp22BD8.FOT
21.09.2006 18:46 1.409 tmpBB9D8.FOT
21.09.2006 18:46 1.409 tmp30BD8.FOT
17.09.2006 13:38 43.520 CmdLineExt03.dll
11.09.2006 10:37 8.960.936 MRT.exe
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltMc.exe
11.08.2006 16:38 17 '
06.08.2006 14:20 16.832 amcompat.tlb
06.08.2006 14:20 23.392 nscompat.tlb
29.07.2006 19:32 48.936 sirenacm.dll
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
17.07.2006 17:22 1.420.023 transmission_screensaver.scr
17.07.2006 17:22 10.589 swing.mskn
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll

Echo:

10)DPF????
Datentr„ger in Laufwerk C: ist CYRUS REX
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

15.03.2005 18:41 <DIR> .
15.03.2005 18:41 <DIR> ..
27.08.2005 13:30 5.065 swflash.inf
26.05.2005 04:19 293 muweb.inf
07.06.2006 11:09 1.249 erma.inf
01.06.2004 14:36 141.312 yinsthelper.dll
01.06.2004 14:41 853 yinst.inf
12.04.2006 15:38 110.592 PURen-us.dll
12.04.2006 15:39 372.736 MsnPUpld.dll
12.04.2006 15:38 393 MsnPUpld.inf
31.05.2002 09:19 117.328 purde-at.dll
29.06.2005 17:17 227 opuc.inf
10 Datei(en) 750.048 Bytes

Anzahl der angezeigten Dateien:
10 Datei(en) 750.048 Bytes
2 Verzeichnis(se), 2.393.243.648 Bytes frei

soda die restlichen 3 Logfiles hab ich leider nicht geschafft. Hab in das Command Fenster geklickt aber dieses ist dann verschwunden und Text Editor hat sich auch keiner mehr geöffnet...Hoffe du kannst mir trotzdemj weiterhelfen.

MFG Joey
Dieser Beitrag wurde am 24.09.2006 um 21:53 Uhr von CyrusRex editiert.
Seitenanfang Seitenende
25.09.2006, 11:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\malwarewipe.com
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\malwarewipe.com
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\malwarewipe.com
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\malwarewipe.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MalwareWipe.exe
HKEY_LOCAL_MACHINE\SOFTWARE\MalwareWipe
HKEY_LOCAL_MACHINE\SOFTWARE\Licenses
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{FC33C950-7B73-4882-AAB2-0D4611796A27}
HKEY_LOCAL_MACHINE\Software\ErrorSafe
HKEY_CURRENT_USER\Software\ErrorSafe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrnt32
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Files to delete:
C:\WINDOWS\system32\toyhide.bmp
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\uhvjsul.dll
C:\Dokumente und Einstellungen\CRX HQ\Anwendungsdaten\errorsafefreeinstall_de[1].exe
C:\Installer4.exe
C:\deskbar_e13.exe
C:\deskbar_e12.exe
C:\WINDOWS\icont.exe
C:\Dokumente und Einstellungen\CRX HQ\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url

Folders to delete:
C:\WINDOWS\Q1JYIEhR
C:\Programme\MalwareWipe.com
C:\Programme\Spy-Heal
C:\Programme\Error Safe Free
C:\Programme\SpyQuake2.com
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
scanne (option 1 und 2 ) - poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
klicke noch mal datfindbat an, vergiss nicht, es sind 4 Logs, nicht nur eins ...poste alle 4

----------------------------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll

O4 - HKLM\..\Run: [newname] C:\\nwnmff_e12.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e13.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e13.exe

O20 - Winlogon Notify: OfficeUpdate - C:\WINDOWS\system32\t2r80c9uef.dll

O20 - Winlogon Notify: winrnt32 - winrnt32.dll (file missing)
««
Counterspy - scanne, stelle alles auf "remove" und poste den scanreport
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1