[Microsoft Corp Updates] install.exe + Netpumper

#0
09.11.2006, 15:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1

Zitat

hey , irgendwie kann ich nicht insforum schreiben deswegen muss ich dir jetzt neu private nachricht senden!
Habe das selbe problem mit diesem Netpumper seittdem öffnen sich regelmäßig diese dummen Popup fenster!
Hier mal das resultat von Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 13:46:45, on 09.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\LckFldService.exe
D:\Programme\NortonAntiVir\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
D:\Programme\NortonAntiVir\navapsvc.exe
D:\Programme\ICQLite\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\WinRAR\WinRAR.exe
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MATZ~1\LOKALE~1\Temp\Rar$EX00.515\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gnoddes.com/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {75B5F13D-B244-4F6F-92A5-DDC3D1AEA960} - C:\WINDOWS\system32\cfgbkeod.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\NortonAntiVir\NavShExt.dll
O2 - BHO: CDLPObj Object - {BE2ED590-CA49-46B5-8CCE-244FB2E0D1AA} - C:\WINDOWS\DLP.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\NortonAntiVir\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Programme\K750i\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [INSIDEPOPDRAWSETTINGS] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OPEN4INSIDEPOP\Mess bib.exe
O4 - HKLM\..\RunServices: [Microsoft Corp Updates] install.exe

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [byte real] C:\DOKUME~1\MATZ~1\ANWEND~1\KNOBGL~1\Dentflapsize.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138719389390
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.34.13.117:2040/activex/AxisPlayer.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\system32\yephk.dll (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\NortonAntiVir\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Programme\NortonAntiVir\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\NortonAntiVir\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

Hab so ne vermutung das es was mit dem IEXPLORE.EXE zu tun hat!
wär cool wenn du mir helfen könntest , danke im vorraus!

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.11.2006, 15:37
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2 ««
poste folgendes log
http://virus-protect.org/artikel/tools/combofix.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.11.2006, 15:53
Member

Beiträge: 19
#3 Hey habe wie gesagt das selbe Prob!
hier mal meine Hijack logfile

edit (Sabina)
Seitenanfang Seitenende
09.11.2006, 16:23
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#4 das obrige ist dein Log vom HijackThis, ich habe den Thread fuer dich erstellt)
oben sind die links fuer die 3 logs, die ich brauche
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.11.2006, 20:46
Member

Beiträge: 19
#5 Soo hier is dieser log file:

Matz” - 06-11-09 20:42:46,48 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Dokumente und Einstellungen\Matz”\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-09 to 2006-11-09 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-09 15:55 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-11-09 15:52 -------- d-------- C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\nView_Wallpaper
2006-11-09 15:51 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-08 22:48 -------- d-------- C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\teamspeak2
2006-11-08 20:09 -------- d-------- C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\NetPumper
2006-11-08 20:08 -------- d-------- C:\Programme\Knob glue
2006-11-08 20:08 -------- d-------- C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\Knob glue
2006-10-30 17:35 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-30 13:51 -------- d-------- C:\Programme\Electronic Arts
2006-10-29 14:03 -------- d-------- C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\Skype
2006-10-28 01:22 -------- d-------- C:\Programme\Google
2006-10-23 15:39 -------- d-------- C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\SmartFTP
2006-10-18 16:22 -------- d-------- C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\Xfire
2006-10-16 21:32 -------- d--h----- C:\Programme\Zero G Registry
2006-10-14 13:28 -------- d-------- C:\Programme\MP3 Remix
2006-10-07 10:02 12886 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2006-10-05 14:07 120320 --a------ C:\WINDOWS\system32\drivers\SSHDRV65.sys
2006-09-26 13:47 -------- d-------- C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\Teleca
2006-09-26 13:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2006-09-26 13:42 89872 --a------ C:\WINDOWS\system32\drivers\k750mdm.sys
2006-09-26 13:42 81728 --a------ C:\WINDOWS\system32\drivers\k750mgmt.sys
2006-09-26 13:42 79488 --a------ C:\WINDOWS\system32\drivers\k750obex.sys
2006-09-26 13:42 6576 --a------ C:\WINDOWS\system32\drivers\k750mdfl.sys
2006-09-26 13:42 6144 --a------ C:\WINDOWS\system32\drivers\k750cmnt.sys
2006-09-26 13:42 6144 --a------ C:\WINDOWS\system32\drivers\k750cm.sys
2006-09-26 13:42 5744 --a------ C:\WINDOWS\system32\drivers\k750whnt.sys
2006-09-26 13:42 5744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys
2006-09-26 13:42 55216 --a------ C:\WINDOWS\system32\drivers\k750bus.sys
2006-09-21 11:44 -------- d-------- C:\Programme\Symantec
2006-09-15 21:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 21:52 124016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-13 13:15 -------- d-------- C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\Google
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-12 17:01 95744 --a------ C:\WINDOWS\system32\msxml4r.dll
2006-09-12 17:01 1245184 --a------ C:\WINDOWS\system32\msxml4.dll
2006-09-11 22:32 -------- d---s---- C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\Microsoft
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 16:55 208896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2006-08-16 16:55 208896 --a------ C:\WINDOWS\system32\nvudisp.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-11 20:45 888832 --a------ C:\WINDOWS\system32\nvmobls.dll
2006-08-11 20:45 581632 --a------ C:\WINDOWS\system32\nvhwvid.dll
2006-08-11 20:45 5611520 --a------ C:\WINDOWS\system32\nvdisps.dll
2006-08-11 20:45 5251072 --a------ C:\WINDOWS\system32\nvdispsr.dll
2006-08-11 20:45 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2006-08-11 20:45 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2006-08-11 20:45 3039232 --a------ C:\WINDOWS\system32\nvgames.dll
2006-08-11 20:45 2953216 --a------ C:\WINDOWS\system32\nvvitvsr.dll
2006-08-11 20:45 2928640 --a------ C:\WINDOWS\system32\nvgamesr.dll
2006-08-11 20:45 2904064 --a------ C:\WINDOWS\system32\nvvitvs.dll
2006-08-11 20:45 2859008 --a------ C:\WINDOWS\system32\nvmoblsr.dll
2006-08-11 20:45 266240 --a------ C:\WINDOWS\system32\nvrsesm.dll
2006-08-11 20:45 258048 --a------ C:\WINDOWS\system32\nvrsko.dll
2006-08-11 20:45 249856 --a------ C:\WINDOWS\system32\nvrssl.dll
2006-08-11 20:45 249856 --a------ C:\WINDOWS\system32\nvrssk.dll
2006-08-11 20:45 249856 --a------ C:\WINDOWS\system32\nvrshu.dll
2006-08-11 20:45 229376 --a------ C:\WINDOWS\system32\nvmccs.dll
2006-08-11 20:45 188416 --a------ C:\WINDOWS\system32\nvmccss.dll
2006-08-11 20:45 1732608 --a------ C:\WINDOWS\system32\nvwssr.dll
2006-08-11 20:45 1236992 --a------ C:\WINDOWS\system32\nvwss.dll
2006-08-11 20:44 323584 --a------ C:\WINDOWS\system32\nvrshe.dll
2006-08-11 20:44 323584 --a------ C:\WINDOWS\system32\nvrsar.dll
2006-08-11 20:44 274432 --a------ C:\WINDOWS\system32\nvrses.dll
2006-08-11 20:44 274432 --a------ C:\WINDOWS\system32\nvrsel.dll
2006-08-11 20:44 266240 --a------ C:\WINDOWS\system32\nvrspt.dll
2006-08-11 20:44 262144 --a------ C:\WINDOWS\system32\nvrsja.dll
2006-08-11 20:44 249856 --a------ C:\WINDOWS\system32\nvrstr.dll
2006-08-11 20:44 249856 --a------ C:\WINDOWS\system32\nvrspl.dll
2006-08-11 20:44 249856 --a------ C:\WINDOWS\system32\nvrsno.dll
2006-08-11 20:44 241664 --a------ C:\WINDOWS\system32\nvrscs.dll
2006-08-11 20:44 147456 --a------ C:\WINDOWS\system32\nvcolor.exe
2006-08-11 20:43 86016 --a------ C:\WINDOWS\system32\nvmctray.dll
2006-08-11 20:43 81920 --a------ C:\WINDOWS\system32\nvwddi.dll
2006-08-11 20:43 794624 --a------ C:\WINDOWS\system32\nvcplui.exe
2006-08-11 20:43 7630848 --a------ C:\WINDOWS\system32\nvcpl.dll
2006-08-11 20:43 466944 --a------ C:\WINDOWS\system32\nvshell.dll
2006-08-11 20:43 442368 --a------ C:\WINDOWS\system32\nvappbar.exe
2006-08-11 20:43 425984 --a------ C:\WINDOWS\system32\keystone.exe
2006-08-11 20:43 335872 --a------ C:\WINDOWS\system32\nvwrses.dll
2006-08-11 20:43 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll
2006-08-11 20:43 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll
2006-08-11 20:43 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll
2006-08-11 20:43 323584 --a------ C:\WINDOWS\system32\nvwrspt.dll
2006-08-11 20:43 323584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2006-08-11 20:43 319488 --a------ C:\WINDOWS\system32\nvwrsptb.dll
2006-08-11 20:43 319488 --a------ C:\WINDOWS\system32\nvwrsnl.dll
2006-08-11 20:43 315392 --a------ C:\WINDOWS\system32\nvwrsru.dll
2006-08-11 20:43 315392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2006-08-11 20:43 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll
2006-08-11 20:43 311296 --a------ C:\WINDOWS\system32\nvexpbar.dll
2006-08-11 20:43 303104 --a------ C:\WINDOWS\system32\nvwrstr.dll
2006-08-11 20:43 303104 --a------ C:\WINDOWS\system32\nvwrssl.dll
2006-08-11 20:43 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll
2006-08-11 20:43 299008 --a------ C:\WINDOWS\system32\nvwrssk.dll
2006-08-11 20:43 299008 --a------ C:\WINDOWS\system32\nvwrsno.dll
2006-08-11 20:43 294912 --a------ C:\WINDOWS\system32\nvwrssv.dll
2006-08-11 20:43 294912 --a------ C:\WINDOWS\system32\nvwrspl.dll
2006-08-11 20:43 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll
2006-08-11 20:43 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll
2006-08-11 20:43 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll
2006-08-11 20:43 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2006-08-11 20:43 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll
2006-08-11 20:43 278528 --a------ C:\WINDOWS\system32\nvwrshe.dll
2006-08-11 20:43 278528 --a------ C:\WINDOWS\system32\nvrsfr.dll
2006-08-11 20:43 274432 --a------ C:\WINDOWS\system32\nvrsit.dll
2006-08-11 20:43 270336 --a------ C:\WINDOWS\system32\nvrsde.dll
2006-08-11 20:43 266240 --a------ C:\WINDOWS\system32\nvrsnl.dll
2006-08-11 20:43 262144 --a------ C:\WINDOWS\system32\nvrsru.dll
2006-08-11 20:43 262144 --a------ C:\WINDOWS\system32\nvrsptb.dll
2006-08-11 20:43 245760 --a------ C:\WINDOWS\system32\nvrssv.dll
2006-08-11 20:43 245760 --a------ C:\WINDOWS\system32\nvrsda.dll
2006-08-11 20:43 241664 --a------ C:\WINDOWS\system32\nvrsfi.dll
2006-08-11 20:43 241664 --a------ C:\WINDOWS\system32\nvrseng.dll
2006-08-11 20:43 221184 --a------ C:\WINDOWS\system32\nvrszhc.dll
2006-08-11 20:43 212992 --a------ C:\WINDOWS\system32\nvwrsja.dll
2006-08-11 20:43 196608 --a------ C:\WINDOWS\system32\nvwrsko.dll
2006-08-11 20:43 196608 --a------ C:\WINDOWS\system32\nvapi.dll
2006-08-11 20:43 167936 --a------ C:\WINDOWS\system32\nvwrszht.dll
2006-08-11 20:43 1662976 --a------ C:\WINDOWS\system32\nvwdmcpl.dll
2006-08-11 20:43 163840 --a------ C:\WINDOWS\system32\nvwrszhc.dll
2006-08-11 20:43 1519616 --a------ C:\WINDOWS\system32\nwiz.exe
2006-08-11 20:43 1470464 --a------ C:\WINDOWS\system32\nview.dll
2006-08-11 20:43 1339392 --a------ C:\WINDOWS\system32\nvdspsch.exe
2006-08-11 20:43 122880 --a------ C:\WINDOWS\system32\nvrszht.dll
2006-08-11 20:43 1019904 --a------ C:\WINDOWS\system32\nvwimg.dll
2006-08-11 20:43 1011712 --a------ C:\WINDOWS\system32\nvcpluir.dll
2006-08-11 20:42 5636096 --a------ C:\WINDOWS\system32\nvoglnt.dll
2006-08-11 20:42 4496128 --a------ C:\WINDOWS\system32\nv4_disp.dll
2006-08-11 20:42 35840 --a------ C:\WINDOWS\system32\nvcodins.dll
2006-08-11 20:42 35840 --a------ C:\WINDOWS\system32\nvcod.dll
2006-08-11 20:42 155715 --a------ C:\WINDOWS\system32\nvsvc32.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"SpybotSD TeaTimer"="D:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"byte real"="C:\\DOKUME~1\\MATZ~1\\ANWEND~1\\KNOBGL~1\\Dentflapsize.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="D:\\Programme\\ICQLite\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"Logitech Utility"="Logi_MwX.Exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"REGSHAVE"="C:\\Programme\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"Sony Ericsson PC Suite"="\"D:\\Programme\\K750i\\Application Launcher\\Application Launcher.exe\" /startoptions"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"ICQ Lite"="D:\\Programme\\ICQLite\\ICQLite\\ICQLite.exe -minimize"
"INSIDEPOPDRAWSETTINGS"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\OPEN4INSIDEPOP\\Mess bib.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microsoft Corp Updates"="install.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,74,00,00,00,00,00,00,00,8c,04,00,00,c4,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,e8,00,00,00,00,00,00,00,18,04,00,00,c4,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,e8,00,00,00,00,00,00,00,18,04,00,00,c4,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"LinkResolveIgnoreLinkInfo"=dword:00000000
"NoResolveSearch"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"
"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Corp Updates]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="install"
"hkey"="HKLM"
"command"="install.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"D:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="steam"
"hkey"="HKCU"
"command"="\"d:\\games\\steam\\steam.ex\" -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Save"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Save\\Save.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AAC2E25690059B4E.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Matz”.job

Completion time: 06-11-09 20:44:10.09
C:\ComboFix.txt ... 06-11-09 20:44

und hier is das andere :
Verzeichnis von C:\WINDOWS\system32

09.11.2006 20:55 2.206 wpa.dbl
09.11.2006 20:55 80.405 nvapps.xml
09.11.2006 20:55 14.300 lckfldservicelog.txt
08.11.2006 17:49 218 mslck.dat
05.11.2006 10:40 380.350 perfh009.dat
05.11.2006 10:40 52.764 perfc009.dat
05.11.2006 10:40 391.000 perfh007.dat
05.11.2006 10:40 63.580 perfc007.dat
05.11.2006 10:40 897.954 PerfStringBackup.INI
07.10.2006 10:02 12.886 KGyGaAvL.sys
04.10.2006 21:03 9.639.336 MRT.exe
15.09.2006 21:52 91.904 S32EVNT1.DLL
13.09.2006 06:02 1.084.416 msxml3.dll
12.09.2006 17:01 1.245.184 msxml4.dll
12.09.2006 17:01 95.744 msxml4r.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
16.08.2006 16:55 208.896 nvudisp.exe
16.08.2006 16:55 208.896 NVUNINST.EXE
16.08.2006 12:58 100.352 6to4svc.dll
11.08.2006 20:45 2.953.216 nvvitvsr.dll
11.08.2006 20:45 2.904.064 nvvitvs.dll
Dieser Beitrag wurde am 09.11.2006 um 21:04 Uhr von gnoddes.de editiert.
Seitenanfang Seitenende
10.11.2006, 00:09
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#6 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt
2.
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

Microsoft Corp Updates

Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2006, 12:41
Member

Beiträge: 19
#7 Hey danke!
also hier is der text:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0821-84EE

Verzeichnis von C:\Programme

10.11.2006 12:34 <DIR> .
10.11.2006 12:34 <DIR> ..
07.02.2006 15:36 <DIR> AvRack
30.01.2006 21:58 <DIR> Common Files
30.01.2006 18:51 <DIR> ComPlus Applications
27.03.2006 19:56 <DIR> CyberLink
27.03.2006 19:56 <DIR> DivX
18.03.2006 01:42 <DIR> EA GAMES
30.10.2006 13:51 <DIR> Electronic Arts
10.11.2006 12:34 <DIR> Gemeinsame Dateien
28.10.2006 01:22 <DIR> Google
30.01.2006 22:53 <DIR> Guillemot
18.02.2006 15:09 <DIR> impact
13.08.2006 00:39 <DIR> Internet Explorer
21.02.2006 14:36 <DIR> Jasc Software Inc
16.07.2006 18:34 <DIR> Java
08.11.2006 20:08 <DIR> Knob glue
07.02.2006 15:54 <DIR> Marvell
30.01.2006 18:50 <DIR> Messenger
30.01.2006 18:58 <DIR> microsoft frontpage
31.01.2006 16:32 <DIR> Microsoft.NET
30.01.2006 18:52 <DIR> Movie Maker
14.10.2006 13:28 <DIR> MP3 Remix
30.01.2006 18:50 <DIR> MSN
30.01.2006 18:50 <DIR> MSN Gaming Zone
06.09.2006 22:19 <DIR> MSXML 4.0
30.01.2006 18:52 <DIR> NetMeeting
30.01.2006 18:53 <DIR> Online-Dienste
15.04.2006 09:53 <DIR> Outlook Express
30.01.2006 20:32 <DIR> Realtek AC97
07.02.2006 15:36 <DIR> Realtek Sound Manager
14.04.2006 19:23 <DIR> REGSHAVE
01.02.2006 20:34 <DIR> Saitek
27.03.2006 19:56 <DIR> SmartSound Software
21.09.2006 11:44 <DIR> Symantec
30.01.2006 20:02 <DIR> SymNetDrv
07.02.2006 15:50 <DIR> VIA
30.07.2006 16:04 <DIR> Vstplugins
15.02.2006 17:37 <DIR> Windows Media Player
30.01.2006 18:50 <DIR> Windows NT
30.01.2006 18:58 <DIR> xerox
0 Datei(en) 0 Bytes
41 Verzeichnis(se), 11.632.803.840 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0821-84EE

Verzeichnis von C:\Dokumente und Einstellungen\Matz”\Lokale Einstellungen\Anwendungsdaten

10.04.2006 18:35 <DIR> Adobe
09.11.2006 07:27 <DIR> ApplicationHistory
02.11.2006 20:27 108.032 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
03.06.2006 18:26 138 fusioncache.dat
12.08.2006 16:25 27.416 GDIPFONTCACHEV1.DAT
28.09.2006 19:51 <DIR> Google
16.08.2006 15:11 <DIR> Help
09.04.2006 10:50 <DIR> Identities
16.02.2006 18:37 <DIR> Macromedia
29.06.2006 14:57 <DIR> Microsoft
23.07.2006 12:12 <DIR> Mozilla
26.09.2006 13:52 <DIR> Sony Ericsson
29.06.2006 14:56 <DIR> Unleashed Editor
3 Datei(en) 135.586 Bytes
10 Verzeichnis(se), 11.632.803.840 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0821-84EE

Verzeichnis von C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten

08.03.2006 13:33 <DIR> Adobe
10.04.2006 18:35 <DIR> AdobeUM
03.02.2006 19:06 <DIR> Ahead
18.04.2006 12:43 <DIR> Alien Skin
05.02.2006 15:24 <DIR> CyberLink
13.09.2006 13:15 <DIR> Google
16.08.2006 15:11 <DIR> Help
30.01.2006 19:51 <DIR> ICQLite
30.01.2006 19:07 <DIR> Identities
18.03.2006 01:42 <DIR> InstallShield Installation Information
21.02.2006 14:36 <DIR> Jasc Software Inc
08.11.2006 20:08 <DIR> Knob glue
30.01.2006 21:53 <DIR> Lavasoft
28.04.2006 13:01 <DIR> Macromedia
30.01.2006 20:58 <DIR> Media Player Classic
23.07.2006 12:12 <DIR> Mozilla
10.11.2006 12:34 <DIR> nView_Wallpaper
03.06.2006 18:41 <DIR> Publish Providers
29.04.2006 09:25 <DIR> Real
10.03.2006 16:44 <DIR> Registry Cleaner
29.10.2006 14:03 <DIR> Skype
23.10.2006 15:39 <DIR> SmartFTP
03.06.2006 18:41 <DIR> Sony
24.07.2006 11:29 <DIR> Sun
30.01.2006 19:38 <DIR> Symantec
08.11.2006 22:48 <DIR> teamspeak2
26.09.2006 13:47 <DIR> Teleca
09.02.2006 14:02 <DIR> vlc
18.10.2006 16:22 <DIR> Xfire
0 Datei(en) 0 Bytes
29 Verzeichnis(se), 11.632.799.744 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0821-84EE

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

02.03.2006 21:29 <DIR> Adobe
27.03.2006 20:09 <DIR> CyberLink
13.09.2006 11:48 <DIR> Google
16.02.2006 18:34 <DIR> Macromedia
16.02.2006 19:33 <DIR> Macrovision
01.10.2006 21:26 <DIR> NVIDIA
01.02.2006 15:02 <DIR> nView_Profiles
08.11.2006 20:08 <DIR> OPEN4INSIDEPOP
27.03.2006 19:55 <DIR> QuickTime
31.01.2006 20:19 <DIR> Skype
28.03.2006 16:07 <DIR> SmartSound Software Inc
26.09.2006 13:46 <DIR> Sony Ericsson
16.10.2006 17:07 <DIR> Spybot - Search & Destroy
30.01.2006 19:37 <DIR> Symantec
26.09.2006 13:46 <DIR> Teleca
31.01.2006 16:01 <DIR> Windows Genuine Advantage
0 Datei(en) 0 Bytes
16 Verzeichnis(se), 11.632.799.744 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0821-84EE

Verzeichnis von C:\Programme\Gemeinsame Dateien

10.11.2006 12:34 <DIR> .
10.11.2006 12:34 <DIR> ..
08.03.2006 13:33 <DIR> Adobe
03.02.2006 19:04 <DIR> Ahead
31.01.2006 16:28 <DIR> DESIGNER
30.01.2006 18:52 <DIR> Dienste
19.02.2006 15:54 <DIR> InstallShield
16.07.2006 10:51 <DIR> Java
31.01.2006 16:51 <DIR> Logitech
16.02.2006 18:36 <DIR> Macromedia
16.02.2006 18:34 <DIR> Macromedia Shared
20.04.2006 08:55 <DIR> Microsoft Shared
30.01.2006 18:52 <DIR> MSSoap
30.01.2006 17:48 <DIR> ODBC
29.04.2006 09:23 <DIR> Real
30.01.2006 17:48 <DIR> SpeechEngines
10.11.2006 12:35 <DIR> Symantec Shared
15.04.2006 09:53 <DIR> System
26.09.2006 13:46 <DIR> Teleca Shared
29.04.2006 09:23 <DIR> xing shared
0 Datei(en) 0 Bytes
20 Verzeichnis(se), 11.632.799.744 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0821-84EE

Verzeichnis von C:\Windows\tasks

04.11.2006 00:41 568 Norton AntiVirus - Meinen Computer prfen - Matz”.job
1 Datei(en) 568 Bytes
0 Verzeichnis(se), 11.632.799.744 Bytes frei

Aber dein link geht nicht!
Seitenanfang Seitenende
10.11.2006, 12:52
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#8 1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopier rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\runservices|Microsoft Corp Updates
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|coursings
HKLM\software\microsoft\windows\currentversion\run|INSIDEPOPDRAWSETTINGS

Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Corp Updates

Folders to delete:
C:\Programme\Knob glue
C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OPEN4INSIDEPOP
C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\Knob glue

Files to delete:
C:\WINDOWS\tasks\AAC2E25690059B4E.job
C:\WINDOWS\system32\mslck.dat
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

2.
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

Microsoft Corp Updates

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
___________________________________________________________

3.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\install*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2006, 16:17
Member

Beiträge: 19
#9 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nnjawulk

*******************

Script file located at: \??\C:\WINDOWS\bkytnwcn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Programme\Knob glue deleted successfully.


Could not open folder C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\NetPumper for deletion
Deletion of folder C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\NetPumper failed!

Could not process line:
C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\NetPumper
Status: 0xc000003a

Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OPEN4INSIDEPOP deleted successfully.


Could not open folder C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\Knob glue for deletion
Deletion of folder C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\Knob glue failed!

Could not process line:
C:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\Knob glue
Status: 0xc000003a

File C:\WINDOWS\tasks\AAC2E25690059B4E.job deleted successfully.
File C:\WINDOWS\system32\mslck.dat deleted successfully.
Registry value HKLM\software\microsoft\windows\currentversion\runservices|Microsoft Corp Updates deleted successfully.
Registry value HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|coursings deleted successfully.
Registry value HKLM\software\microsoft\windows\currentversion\run|INSIDEPOPDRAWSETTINGS deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Corp Updates deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Microsoft Corp Updates" 10.11.2006 16:18:39

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-436374069-879983540-725345543-1003\Software\Microsoft\OLE]
"Microsoft Corp Updates"="install.exe"

soo und zum schluss das letzte ... hoffentlich kannst mir weiterhelfen!

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0821-84EE


Verzeichnis von c:\Dokumente und Einstellungen\Matz”\Anwendungsdaten

18.03.2006 01:42 <DIR> InstallShield Installation Information
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\Matz”\Anwendungsdaten\Microsoft

14.10.2006 14:19 <DIR> Installer
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\Matz”\Desktop

11.07.2006 14:39 362 Install.lnk
1 Datei(en) 362 Bytes

Verzeichnis von c:\Programme

30.10.2006 17:35 <DIR> InstallShield Installation Information
0 Datei(en) 0 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\Support\EA Help

18.03.2006 01:42 <DIR> Install
0 Datei(en) 0 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\Support\EA Help\images

16.03.2005 15:56 2.494 install.jpg
1 Datei(en) 2.494 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\Support\European Help Files\De

16.03.2005 15:56 3.239 install.jpg
16.03.2005 15:56 7.178 Installing_the_game.htm
2 Datei(en) 10.417 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\Support\European Help Files\es

16.03.2005 15:56 3.239 install.jpg
1 Datei(en) 3.239 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\Support\European Help Files\fr-fr

16.03.2005 15:56 3.239 install.jpg
16.03.2005 15:56 7.147 Installing_the_game.htm
2 Datei(en) 10.386 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\Support\European Help Files\NL

16.03.2005 15:56 3.239 install.jpg
16.03.2005 15:56 7.183 Installing_the_game.htm
2 Datei(en) 10.422 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\Support\European Help Files\Sv

16.03.2005 15:56 3.239 install.jpg
16.03.2005 15:56 7.134 Installing_the_game.htm
2 Datei(en) 10.373 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\SupportXP1\EA Help

18.03.2006 02:26 <DIR> Install
0 Datei(en) 0 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\SupportXP1\EA Help\images

26.10.2005 21:21 2.494 install.jpg
1 Datei(en) 2.494 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\SupportXP1\European Help Files\De

26.10.2005 21:22 3.239 install.jpg
26.10.2005 21:22 7.178 Installing_the_game.htm
2 Datei(en) 10.417 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\SupportXP1\European Help Files\es

26.10.2005 21:22 3.239 install.jpg
1 Datei(en) 3.239 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\SupportXP1\European Help Files\fr-fr

26.10.2005 21:22 3.239 install.jpg
26.10.2005 21:22 7.147 Installing_the_game.htm
2 Datei(en) 10.386 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\SupportXP1\European Help Files\NL

26.10.2005 21:22 3.239 install.jpg
26.10.2005 21:22 7.183 Installing_the_game.htm
2 Datei(en) 10.422 Bytes

Verzeichnis von c:\Programme\EA GAMES\Battlefield 2\SupportXP1\European Help Files\Sv

26.10.2005 21:22 3.239 install.jpg
26.10.2005 21:22 7.134 Installing_the_game.htm
2 Datei(en) 10.373 Bytes

Verzeichnis von c:\Programme\Gemeinsame Dateien

19.02.2006 15:54 <DIR> InstallShield
0 Datei(en) 0 Bytes

Verzeichnis von c:\Programme\Internet Explorer\SIGNUP

18.08.2001 13:00 2.738 INSTALL.INS
1 Datei(en) 2.738 Bytes

Verzeichnis von c:\Programme\Marvell\Miniport Driver

20.04.2004 01:00 102.400 InstallU.exe
1 Datei(en) 102.400 Bytes

Verzeichnis von c:\Programme\MSN\MSNCoreFiles

30.01.2006 19:21 <DIR> Install
0 Datei(en) 0 Bytes

Verzeichnis von c:\WINDOWS

10.11.2006 13:11 <DIR> Installer
0 Datei(en) 0 Bytes

Verzeichnis von c:\WINDOWS\Microsoft.NET\Framework\v1.0.3705

11.03.2002 10:18 353 installutil.exe.config
1 Datei(en) 353 Bytes

Verzeichnis von c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322

15.05.2003 17:49 33.522 InstallPersistSqlState.sql
15.05.2003 17:49 34.150 InstallSqlState.sql
03.10.2003 12:20 35.017 InstallSqlStateTemplate.sql
21.02.2003 06:24 15.872 InstallUtil.exe
20.02.2003 18:22 40.960 InstallUtilLib.dll
5 Datei(en) 159.521 Bytes

Verzeichnis von c:\WINDOWS\OPTIONS\CABS

10.10.2006 17:53 348 InstallLog.txt
1 Datei(en) 348 Bytes

Verzeichnis von c:\WINDOWS\pchealth\helpctr

30.01.2006 18:54 <DIR> InstalledSKUs
0 Datei(en) 0 Bytes

Verzeichnis von c:\WINDOWS\system32\Macromed\Shockwave 10

31.03.2006 12:05 40.230 Install.log
1 Datei(en) 40.230 Bytes

Verzeichnis von c:\WINDOWS\WinSxS

06.09.2006 22:19 <DIR> InstallTemp
0 Datei(en) 0 Bytes

Anzahl der angezeigten Dateien:
32 Datei(en) 400.837 Bytes
10 Verzeichnis(se), 11.223.461.888 Bytes frei
Dieser Beitrag wurde am 10.11.2006 um 16:23 Uhr von gnoddes.de editiert.
Seitenanfang Seitenende
10.11.2006, 16:25
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#10 auf dem Rechner ist ein Backdoor/Rootkit

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
««
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_USERS\S-1-5-21-436374069-879983540-725345543-1003\Software\Microsoft\OLE]
"Microsoft Corp Updates"=-
««
AVG Anti-Rootkit 1.0.0.13 Beta
http://www.freewarefiles.com/program_9_90_22524.html

««
scanne mit sophos (das laden der Virensignaturen wird lange dauern)
poste dann den scanreport
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2006, 18:16
Member

Beiträge: 19
#11 Sophos Anti-Virus
Version 4.11.0 [Win32/Intel]
Virus data version 4.11, November 2006
Includes detection for 194684 viruses, trojans and worms
Copyright (c) 1989-2006 Sophos Plc, www.sophos.com

System time 18:11:58, System date 10 November 2006
Command line qualifiers are: -f -di -all -remove -mime -mbr -noc -archive -opt=ISCabinet
Full Scanning

Could not check C:\Dokumente und Einstellungen\Matz”\Desktop\Handy\120 Sony Ericsson Designs Themes W800i K750i D750i K700i\Neuer Ordner (3)\nightline1710.thm\Documents and Settings/Noeie/Bureaublad/Wouter/Nightline/HomeTab.png (corrupt)
Could not check C:\Dokumente und Einstellungen\Matz”\Desktop\Handy\120 Sony Ericsson Designs Themes W800i K750i D750i K700i\Neuer Ordner (3)\nightline1710.thm (corrupt)

1 master boot record swept.
787 files swept in 3 minutes and 26 seconds.
2 errors were encountered.
No viruses were discovered.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
10.11.2006, 18:25
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
10.11.2006, 18:48
Member

Beiträge: 19
#13 ähh ja , aber kannst mal son kleinen zwischen bericht geben , was ich hier überhuapt mache ^^ ich soll die ganze zeit nur irgendwelche berichte rienposten .... kannst du mir irgenwie kleines feedback geben oder?
mfg
Seitenanfang Seitenende
10.11.2006, 23:44
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#14 o.k.
auf dem Rechner ist/war ein Backdoor.

1.
mit der fixme.reg hast du ihn erst mal aus der Registry geholt.

2.
der Swizzortrojaner + Netpumper ist schon entfernt ;) - siehe Avenger

3.
mit dem stufflog will ich noch mal die registry sehen, denn der Backdoor nimmt dort Veraenderungen vor ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.11.2006, 02:39
Member

Beiträge: 19
#15 okay gut , scheint auch hscon weg zu sein..
abe dieser find_Stuff.bat datei wenn ich doppelklick mach öffnet sich nur kurz dos ... macht kurz was und dann verschwindet es wieder?!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: