dlh9jkd1q5.exe + noch andere unbekannte prozesse im taskmanager :/

#0
06.02.2007, 13:33
Member

Beiträge: 17
#1 hi ich hab schon wieder ein problem.
undzwar: hat mein nod32 verbindungen gemeldet die es verhindert. also woltl eihc mal im taskmanager nachschauen was denn da los sei. allerdings war der deaktiviert. nachdem ich ihn wieder aktiviert hatte waren ganz viele prozesse am laufen die ich gleich erstmal beendet habe .. einer davon war "dlh9jkd1q5.exe" und die anderen hatten auch ähnliche namen (also nur eine reihung von buchstaben und zahlen)
hoffe ihr koennt mir helfen ? ... soll ich hijackthis log machen ?

edit: hijackthislog

Logfile of HijackThis v1.99.1
Scan saved at 13:35:35, on 06.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Software\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Software\Eset\nod32kui.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Software\Opera\Opera.exe
C:\Software\ICQLite\ICQLite.exe
C:\syst.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://pimpcoins.de/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ad.de.doubleclick.net/click%3Bh=v8/34e9/f/e8/%2a/u%3B57673536%3B0-
0%3B0%3B14371030%3B1-
468/60%3B19030365/19048260/1%3B%3B%7Esscs%3D%3fhttp://red.as-eu.
falkag.net/red?cmd=url&flg=0&&rdm=60355758&dlv=528,34819,484080,339758,1214673&kid=339758&uc
l=111111A&dmn=.dip.t-dialin.net&scx=1280&scy=1024&scc=32&sta=,,,1,,,,,,,0,2,0,116,112,12
28,11,0&iid=484080&bid=1214673&dat=http%3a%2f%2fwww.klarmobil.de/index.html

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Software\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Software\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Software\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels1118.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32\kernels1118.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Software\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Software\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Software\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Software\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Software\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA71DA2-0C40-4292-B898-05CD7D4BF718}: NameServer = 10.168.0.1
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Software\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Software\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

iss bissi doof das ich vorhin die prozesse beendet hatte oder ? .. naja wenn die wieder angehen dann mach ich noch ein log

edit:/² hier noch ein stueck von nem log den ich beim vorherigen prob gepostet hatte:
C:\3456346345643.exe ---> der prozess war auch an ! die datei habe ich gelöscht .. hoffentlich war das nicht falsch ?
C:\syst.exe
C:\WINDOWS\system32\dlh9jkd1q2.exe ---> 1*die sehen so aus wie die, die ich im taskmanager beendet habe weis aber nicht genau ob das wirklich die sind
C:\WINDOWS\system32\dlh9jkd1q5.exe --->1*
C:\WINDOWS\system32\dlh9jkd1q5.exe --->1*
C:\Program Files\BraveSentry\BraveSentry.exe
C:\WINDOWS\system32\dlh9jkd1q5.exe --->1*
C:\WINDOWS\system32\dlh9jkd1q5.exe --->1*

edit:/³ nachdem mein virenprogrammw ieder eine verbindung verhindert hat hier nochmal ein hijackthislog:

Logfile of HijackThis v1.99.1
Scan saved at 14:00:39, on 06.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Software\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Software\Eset\nod32kui.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Software\Opera\Opera.exe
C:\Software\ICQLite\ICQLite.exe
C:\syst.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\dlh9jkd1q5.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://pimpcoins.de/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ad.de.doubleclick.net/click%3Bh=v8/34e9/f/e8/%2a/u%3B57673536%3B0-0%3
B0%3B14371030%3B1-468/60%3B19030365/
19048260/1%3B%3B%7Esscs%3D%3fhttp://
red.as-eu.falkag.net/red?cmd=url&flg=0&&rdm=60355758&dlv=528,34819,484080,339758,1214673&kid=339
758&ucl=111111A&dmn=.dip.t-dialin.net&scx=1280&scy=1024&scc=32&sta=,,,1,,,,,,,0,2,0
,116,112,1228,11,0&iid=484080&bid=1214673&dat=http%3a%2f%2fwww.klarmobil.de/index.html

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Software\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Software\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Software\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels1118.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32\kernels1118.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Software\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Software\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Software\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Software\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Software\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA71DA2-0C40-4292-B898-05CD7D4BF718}: NameServer = 10.168.0.1
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Software\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Software\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Dieser Beitrag wurde am 06.02.2007 um 14:03 Uhr von meuchel editiert.
Seitenanfang Seitenende
06.02.2007, 13:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.02.2007, 14:09
Member

Themenstarter

Beiträge: 17
#3 1.
"meuchel" - 07-02-06 14:05:08 Service Pack 2
ComboFix 07-02-06.3 - Running from: "C:\Software\Opera"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\dlh9jkd1q2.exe
C:\WINDOWS\system32\dlh9jkd1q5.exe
C:\WINDOWS\system32\dlh9jkd1q6.exe
C:\WINDOWS\system32\dlh9jkd1q7.exe
C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\system32\kernels1118.exe
C:\WINDOWS\system32\kernels88.exe
C:\WINDOWS\system32\vxg4am1et2.exe
C:\WINDOWS\system32\vxga1me4t1.exe
C:\WINDOWS\system32\vxga3me2.exe
C:\WINDOWS\system32\vxga4me1.exe
C:\WINDOWS\system32\vxga5me3.exe
C:\WINDOWS\system32\vx.tll


((((((((((((((((((((((((((((((( Files Created from 2007-01-06 to 2007-02-06 ))))))))))))))))))))))))))))))))))


2007-02-06 14:04 880,238 --a------ C:\combofix.exe
2007-02-06 12:54 8,184 --a------ C:\syst.exe
2007-02-06 01:02 1,177 --a------ C:\WINDOWS\mozver.dat
2007-02-05 18:44 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\Recorder
2007-02-03 11:34 46 --a------ C:\WINDOWS\system32\imon1.dat
2007-02-03 01:30 <DIR> d-------- C:\recs
2007-02-02 22:49 <DIR> d---s---- C:\DOKUME~1\meuchel\UserData
2007-01-31 19:41 <DIR> d-------- C:\DOKUME~1\meuchel\WINDOWS
2007-01-30 13:27 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\Ahead
2007-01-29 21:00 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\Ventrilo
2007-01-29 16:48 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\AdobeUM
2007-01-29 16:47 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\Adobe
2007-01-28 20:31 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\ICQLite
2007-01-28 15:07 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\vlc
2007-01-28 14:23 1,572,864 --ah----- C:\DOKUME~1\meuchel\NTUSER.DAT
2007-01-28 14:23 <DIR> dr-h----- C:\DOKUME~1\meuchel\Anwendungsdaten
2007-01-28 14:23 <DIR> dr------- C:\DOKUME~1\meuchel\Startmen�
2007-01-28 14:23 <DIR> dr------- C:\DOKUME~1\meuchel\Favoriten
2007-01-28 14:23 <DIR> dr------- C:\DOKUME~1\meuchel\Eigene Dateien
2007-01-28 14:23 <DIR> d--h----- C:\DOKUME~1\meuchel\Vorlagen
2007-01-28 14:23 <DIR> d--h----- C:\DOKUME~1\meuchel\Netzwerkumgebung
2007-01-28 14:23 <DIR> d--h----- C:\DOKUME~1\meuchel\Lokale Einstellungen
2007-01-28 14:23 <DIR> d--h----- C:\DOKUME~1\meuchel\Druckumgebung
2007-01-26 16:21 5,628,792 --a------ C:\Programme\drweb-cureit.exe
2007-01-24 23:42 <DIR> d-------- C:\Programme\RegSrch
2007-01-24 23:28 <DIR> d-------- C:\Programme\regsearch
2007-01-24 22:41 <DIR> d-------- C:\SAV32CLI
2007-01-24 22:17 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-01-24 22:17 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-01-24 22:17 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-01-24 22:17 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-01-24 22:17 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-01-24 22:17 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-01-24 22:17 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-01-24 22:17 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-01-24 21:59 721,379 --a------ C:\Programme\SDFix.exe
2007-01-24 20:10 2,052 --a------ C:\WINDOWS\system32\tmp.reg
2007-01-24 20:07 79,360 --a------ C:\WINDOWS\system32\swxcacls.exe
2007-01-24 20:07 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-01-24 20:07 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2007-01-24 20:07 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-01-24 20:07 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2007-01-24 20:06 <DIR> d-------- C:\Programme\SmitfraudFix
2007-01-24 16:33 <DIR> d-------- C:\SDFix
2007-01-24 16:33 <DIR> d-------- C:\Programme\SDFix
2007-01-24 16:29 <DIR> d-------- C:\Programme\hoster
2007-01-24 16:22 <DIR> d-------- C:\Programme\avenger
2007-01-23 19:57 <DIR> d-------- C:\Programme\ebesucher
2007-01-23 18:06 <DIR> d-------- C:\Programme\datfind
2007-01-23 17:56 851,262 --a------ C:\Programme\surfbar.exe
2007-01-23 17:56 851,262 --a------ C:\Programme\combofix.exe
2007-01-23 17:52 <DIR> d-------- C:\Programme\hijackthis
2007-01-23 17:48 0 --a------ C:\WINDOWS\nsreg.dat
2007-01-22 23:41 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2007-01-22 23:41 249,856 --------- C:\WINDOWS\Setup1.exe
2007-01-22 23:41 <DIR> d-------- C:\Programme\Recorder
2007-01-22 17:07 <DIR> d-------- C:\Programme\CC-Bar
2007-01-20 13:55 <DIR> d-------- C:\Programme\Paradiesbar


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2013-03-22 17:33 300048 --a------ C:\WINDOWS\system32\drivers\amon.sys
2007-02-06 11:35 -------- d-------- C:\Programme\mozilla firefox
2007-02-04 21:12 -------- d---s---- C:\DOKUME~1\meuchel\Anwendungsdaten\microsoft
2007-01-28 20:32 -------- d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\macromedia
2007-01-28 14:36 -------- d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\mozilla
2007-01-28 14:23 -------- d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\identities
2007-01-24 23:42 1383 --a------ C:\Programme\regsrch.zip
2007-01-24 23:28 328521 --a------ C:\Programme\regsearch.zip
2007-01-24 20:06 693715 --a------ C:\Programme\smitfraudfix.zip
2007-01-24 16:33 673270 --a------ C:\Programme\sdfix.zip
2007-01-24 16:29 278665 --a------ C:\Programme\hoster.zip
2007-01-24 16:22 127378 --a------ C:\Programme\avenger.zip
2007-01-23 18:06 289 --a------ C:\Programme\datfind.zip
2006-11-26 17:41 73216 --a------ C:\WINDOWS\cadkasdeinst01.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Software\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"nod32kui"="\"C:\\Software\\Eset\\nod32kui.exe\" /WAITSERVICE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\Software\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Mixer"
"hkey"="HKLM"
"command"="Mixer.exe /startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Software\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SO5 Integrator Pass Two]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOINTGR"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\SOINTGR.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="kernels88"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\kernels88.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=dword:00000002
"wuauserv"=dword:00000002
"wscsvc"=dword:00000002


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{266f9b9d-e6bf-11d2-90aa-806d6172696f}]
Shell\AutoRun\command E:\start.exe


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-06 14:09:34
C:\ComboFix2.txt ... 07-01-23 18:04

2. hab ich gemacht
3.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68B4-98A4

Verzeichnis von C:\WINDOWS\system32

22.03.2013 17:34 442 mapisvc.inf
22.03.2013 17:33 114.688 nms32.dll
22.03.2013 17:33 245.760 imon.dll
- nod32
22.03.2013 17:02 261 $winnt$.inf
22.03.2013 16:59 2.951 CONFIG.NT
22.03.2013 16:59 16.832 amcompat.tlb
22.03.2013 16:59 23.392 nscompat.tlb
22.03.2013 16:58 488 logonui.exe.manifest
22.03.2013 16:58 488 WindowsLogon.manifest
22.03.2013 16:58 749 nwc.cpl.manifest
22.03.2013 16:58 749 cdplayer.exe.manifest
22.03.2013 16:58 749 wuaucpl.cpl.manifest
22.03.2013 16:58 749 sapi.cpl.manifest
22.03.2013 16:58 749 ncpa.cpl.manifest
22.03.2013 16:56 21.740 emptyregdb.dat
06.02.2007 14:21 43.209 nvapps.xml
06.02.2007 14:19 227 imon1.dat
05.02.2007 21:31 2.206 wpa.dbl
24.01.2007 20:10 0 tmp.txt
24.01.2007 20:10 2.052 tmp.reg
01.12.2006 05:20 79.360 swxcacls.exe
29.10.2006 02:52 311.740 perfh009.dat
29.10.2006 02:52 40.128 perfc009.dat
29.10.2006 02:52 316.924 perfh007.dat
29.10.2006 02:52 48.354 perfc007.dat
29.10.2006 02:52 723.744 PerfStringBackup.INI
25.10.2006 09:09 227.208 FNTCACHE.DAT
23.10.2006 09:17 98.304 CmdLineExt.dll
Dieser Beitrag wurde am 06.02.2007 um 14:27 Uhr von meuchel editiert.
Seitenanfang Seitenende
20.02.2007, 14:16
Member

Themenstarter

Beiträge: 17
#4 hi hab schon wieder ein problem .. irgendwie nervt das *g*

combofix.exe:
"meuchel" - 07-02-20 14:05:34 Service Pack 2
ComboFix 07-01-23.2 - Running from: "C:\Programme"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\dlh9jkd1q2.exe
C:\WINDOWS\system32\dlh9jkd1q5.exe
C:\WINDOWS\system32\dlh9jkd1q6.exe
C:\WINDOWS\system32\dlh9jkd1q7.exe
C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\system32\kernels88.exe
C:\WINDOWS\system32\vxg4am1et2.exe
C:\WINDOWS\system32\vxg6ame4.exe
C:\WINDOWS\system32\vxga4me1.exe
C:\WINDOWS\system32\vxga8me6.exe
C:\WINDOWS\system32\vxga4me1.exe
C:\WINDOWS\system32\svchosts.exe
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\vx.tll
C:\Programme\Gemeinsame Dateien\{38B49~1
C:\Programme\Gemeinsame Dateien\{68B49~1
C:\Programme\InetGet2
C:\Programme\Inetget2
C:\WINDOWS\system32\adir.dll
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\zlbw.dll


((((((((((((((((((((((((((((((( Files Created from 2007-01-20 to 2007-02-20 ))))))))))))))))))))))))))))))))))


2007-02-20 14:10 27,136 --a------ C:\WINDOWS\system32\wsys.dll
2007-02-20 13:44 <DIR> d--h----- C:\WINDOWS\system32\vidmon
2007-02-20 13:44 <DIR> d--h----- C:\WINDOWS\system32\nfomon
2007-02-20 13:44 <DIR> d--h----- C:\Programme\Gemeinsame Dateien\Uninstall Information
2007-02-20 13:44 <DIR> d--h----- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\vidmon
2007-02-20 13:44 <DIR> d--h----- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\nfo
2007-02-20 13:37 58,418 --a------ C:\WINDOWS\system32\ma.exe.exe
2007-02-20 13:37 4,864 --a------ C:\WINDOWS\system32\runtime.sys
2007-02-20 13:37 36,402 --a------ C:\WINDOWS\system32\pp.exe.exe
2007-02-20 13:37 13,686 --a------ C:\WINDOWS\system32\a3dxq.dll
2007-02-20 13:37 <DIR> d-------- C:\{68B498A4-0000-1031--popo0031}
2007-02-20 13:37 <DIR> d-------- C:\{38B498A4-0000-1031--popo0031}
2007-02-20 09:38 <DIR> d-------- C:\Programme\PeDevice
2007-02-20 09:05 73 --a------ C:\WINDOWS\system32\sfxzmtsmt.dll
2007-02-20 09:05 73 --a------ C:\WINDOWS\system32\pfxzmtwbmail.dll
2007-02-20 09:05 57 --a------ C:\WINDOWS\system32\pfxzmtforum.dll
2007-02-20 09:05 32 --a------ C:\WINDOWS\system32\pfxzmtymsg.dll
2007-02-20 09:05 32 --a------ C:\WINDOWS\system32\pfxzmticq.dll
2007-02-20 09:05 32 --a------ C:\WINDOWS\system32\pfxzmtgtal.dll
2007-02-20 09:05 32 --a------ C:\WINDOWS\system32\pfxzmtaim.dll
2007-02-20 09:05 111 --a------ C:\WINDOWS\system32\pfxzmtsmtspm.dll
2007-02-20 09:04 8,704 --a------ C:\WINDOWS\system32\sporder.dll
2007-02-20 09:04 77,824 --a------ C:\WINDOWS\system32\rsvp32_2.dll
2007-02-20 09:04 2,560 --a------ C:\WINDOWS\system32\unsvchosts.exe
2007-02-06 14:25 <DIR> d-------- C:\datFind
2007-02-06 14:04 880,238 --a------ C:\combofix.exe
2007-02-06 12:54 9,685 --a------ C:\syst.exe
2007-02-05 18:44 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\Recorder
2007-02-03 01:30 <DIR> d-------- C:\recs
2007-02-02 22:49 <DIR> d---s---- C:\DOKUME~1\meuchel\UserData
2007-01-31 19:41 <DIR> d-------- C:\DOKUME~1\meuchel\WINDOWS
2007-01-30 13:27 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\Ahead
2007-01-29 21:00 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\Ventrilo
2007-01-29 16:48 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\AdobeUM
2007-01-29 16:47 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\Adobe
2007-01-28 20:31 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\ICQLite
2007-01-28 15:07 <DIR> d-------- C:\DOKUME~1\meuchel\Anwendungsdaten\vlc
2007-01-28 14:23 <DIR> dr-h----- C:\DOKUME~1\meuchel\Anwendungsdaten
2007-01-28 14:23 <DIR> dr------- C:\DOKUME~1\meuchel\Startmen
2007-01-28 14:23 <DIR> dr------- C:\DOKUME~1\meuchel\Favoriten
2007-01-28 14:23 <DIR> dr------- C:\DOKUME~1\meuchel\Eigene Dateien
2007-01-28 14:23 <DIR> d--h----- C:\DOKUME~1\meuchel\Vorlagen
2007-01-28 14:23 <DIR> d--h----- C:\DOKUME~1\meuchel\Netzwerkumgebung
2007-01-28 14:23 <DIR> d--h----- C:\DOKUME~1\meuchel\Lokale Einstellungen
2007-01-28 14:23 <DIR> d--h----- C:\DOKUME~1\meuchel\Druckumgebung
2007-01-26 16:21 5,628,792 --a------ C:\Programme\drweb-cureit.exe
2007-01-24 23:42 <DIR> d-------- C:\Programme\RegSrch
2007-01-24 23:28 <DIR> d-------- C:\Programme\regsearch
2007-01-24 22:41 <DIR> d-------- C:\SAV32CLI
2007-01-24 22:17 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-01-24 22:17 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-01-24 22:17 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-01-24 22:17 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-01-24 22:17 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-01-24 22:17 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-01-24 22:17 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-01-24 21:59 721,379 --a------ C:\Programme\SDFix.exe
2007-01-24 20:10 2,052 --a------ C:\WINDOWS\system32\tmp.reg
2007-01-24 20:07 79,360 --a------ C:\WINDOWS\system32\swxcacls.exe
2007-01-24 20:07 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-01-24 20:07 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2007-01-24 20:07 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-01-24 20:07 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2007-01-24 20:06 <DIR> d-------- C:\Programme\SmitfraudFix
2007-01-24 16:33 <DIR> d-------- C:\SDFix
2007-01-24 16:33 <DIR> d-------- C:\Programme\SDFix
2007-01-24 16:29 <DIR> d-------- C:\Programme\hoster
2007-01-24 16:22 <DIR> d-------- C:\Programme\avenger
2007-01-23 19:57 <DIR> d-------- C:\Programme\ebesucher
2007-01-23 18:06 <DIR> d-------- C:\Programme\datfind
2007-01-23 17:56 851,262 --a------ C:\Programme\surfbar.exe
2007-01-23 17:56 851,262 --a------ C:\Programme\combofix.exe
2007-01-23 17:52 <DIR> d-------- C:\Programme\hijackthis
2007-01-22 23:41 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2007-01-22 23:41 249,856 --------- C:\WINDOWS\Setup1.exe
2007-01-22 23:41 <DIR> d-------- C:\Programme\Recorder
2007-01-22 17:07 <DIR> d-------- C:\Programme\CC-Bar
2007-01-20 13:55 <DIR> d-------- C:\Programme\Paradiesbar


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2013-03-22 17:33 300048 --a------ C:\WINDOWS\system32\drivers\amon.sys
2007-02-20 14:10 507392 --a------ C:\WINDOWS\system32\winlogon.exe
2007-02-20 13:56 -------- d-------- C:\Programme\mozilla firefox
2007-02-20 13:44 58418 --a------ C:\WINDOWS\system32\setup.exe
2007-02-06 14:24 289 --a------ C:\Programme\datfind.zip
2007-02-05 18:44 -------- d-------- C:\Dokumente und Einstellungen\meuchel\Anwendungsdaten\recorder
2007-02-04 21:12 -------- d---s---- C:\Dokumente und Einstellungen\meuchel\Anwendungsdaten\microsoft
2007-01-30 13:27 -------- d-------- C:\Dokumente und Einstellungen\meuchel\Anwendungsdaten\ahead
2007-01-29 21:02 -------- d-------- C:\Dokumente und Einstellungen\meuchel\Anwendungsdaten\ventrilo
2007-01-29 16:48 -------- d-------- C:\Dokumente und Einstellungen\meuchel\Anwendungsdaten\adobeum
2007-01-29 16:47 -------- d-------- C:\Dokumente und Einstellungen\meuchel\Anwendungsdaten\adobe
2007-01-28 20:32 -------- d-------- C:\Dokumente und Einstellungen\meuchel\Anwendungsdaten\macromedia
2007-01-28 20:31 -------- d-------- C:\Dokumente und Einstellungen\meuchel\Anwendungsdaten\icqlite
2007-01-28 15:07 -------- d-------- C:\Dokumente und Einstellungen\meuchel\Anwendungsdaten\vlc
2007-01-28 14:36 -------- d-------- C:\Dokumente und Einstellungen\meuchel\Anwendungsdaten\mozilla
2007-01-28 14:23 -------- d-------- C:\Dokumente und Einstellungen\meuchel\Anwendungsdaten\identities
2007-01-24 23:42 1383 --a------ C:\Programme\regsrch.zip
2007-01-24 23:28 328521 --a------ C:\Programme\regsearch.zip
2007-01-24 20:06 693715 --a------ C:\Programme\smitfraudfix.zip
2007-01-24 16:33 673270 --a------ C:\Programme\sdfix.zip
2007-01-24 16:29 278665 --a------ C:\Programme\hoster.zip
2007-01-24 16:22 127378 --a------ C:\Programme\avenger.zip
2006-11-26 17:41 73216 --a------ C:\WINDOWS\cadkasdeinst01.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Software\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"nod32kui"="\"C:\\Software\\Eset\\nod32kui.exe\" /WAITSERVICE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"Nfo"="C:\\WINDOWS\\system32\\nfomon\\nfomon.exe"
"vidmon"="C:\\WINDOWS\\system32\\vidmon\\vidmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\Software\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Mixer"
"hkey"="HKLM"
"command"="Mixer.exe /startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Software\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SO5 Integrator Pass Two]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOINTGR"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\SOINTGR.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="kernels88"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\kernels88.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=dword:00000002
"wuauserv"=dword:00000002
"wscsvc"=dword:00000002

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\A3dxq

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_CLIENT_IP-IPX
*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_EXAMPLE

Completion time: 07-02-20 14:12:21
C:\ComboFix2.txt ... 07-02-06 14:09
C:\ComboFix3.txt ... 07-01-23 18:04


hijackthislog:
Logfile of HijackThis v1.99.1
Scan saved at 14:16:23, on 20.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Software\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Software\Eset\nod32kui.exe
C:\WINDOWS\system32\nfomon\nfomon.exe
C:\WINDOWS\system32\vidmon\vidmon.exe
C:\Software\Opera\Opera.exe
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Software\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PEDEV_IEListener Class - {E1412445-4FF8-410e-8D24-F2CF86B171A4} - C:\Programme\PeDevice\PeDev.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Software\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Software\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Nfo] C:\WINDOWS\system32\nfomon\nfomon.exe
O4 - HKLM\..\Run: [vidmon] C:\WINDOWS\system32\vidmon\vidmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Software\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Software\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Software\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Software\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA71DA2-0C40-4292-B898-05CD7D4BF718}: NameServer = 10.168.0.1
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000271 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Software\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Software\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

cleanup hab ich schon gemacht
Seitenanfang Seitenende
20.02.2007, 17:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 meuchel

Start > Ausführen --> reinschreiben: cmd
und ok. kopiere rein

Zitat

expand c:\WINDOWS\system32\dllcache\winlogon.exe c:\windows\system32\winlogon.exe
mit Yes bestaetigen, dass die winlogon.exe expandiert wird.

---------------------------------------------------------------------

LSPfix
http://www.spychecker.com/program/lspfix.html
hake an: "I know what Im doing" -- Remove

- und lösche die
rsvp32_2.dll (eventuell musst du die dll von links nach rechts bringen) + Remove

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Nfo
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|vidmon

registry keys to delete:
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{39D37D53-EAB9-4E04-9AC2-1D72F051590C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4499F8BB-234F-4c22-9131-5B147BD231B4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E47627B-D89E-442b-82A6-F2FAB368621B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B2369FD-C388-404d-B3A8-DD4784267EA1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5CE9E73-125D-4e2f-8CB2-1349AB21EB53}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B424100F-21D7-4660-B2D0-90C71A597177}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BAA62B4F-5E59-40CC-B2EC-0E19B8776FA2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E1412445-4FF8-410e-8D24-F2CF86B171A4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28252909-1BE7-4236-BD77-B59CFF2AE6C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{43A1C50A-0683-4CAF-8066-3184184DFDB9}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E1412445-4FF8-410e-8D24-F2CF86B171A4}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\A3dxq
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System
HKLM\SOFTWARE\WinSock2\Buibert

Files to delete:
C:\syst.exe
C:\WINDOWS\system32\setup.exe
C:\Programme\surfbar.exe
C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\system32\unsvchosts.exe
C:\WINDOWS\system32\ma.exe.exe
C:\WINDOWS\system32\pp.exe.exe
C:\WINDOWS\system32\a3dxq.dll
C:\WINDOWS\system32\wsys.dll
C:\WINDOWS\system32\sfxzmtsmt.dll
C:\WINDOWS\system32\pfxzmtwbmail.dll
C:\WINDOWS\system32\pfxzmtforum.dll
C:\WINDOWS\system32\pfxzmtymsg.dll
C:\WINDOWS\system32\pfxzmticq.dll
C:\WINDOWS\system32\pfxzmtgtal.dll
C:\WINDOWS\system32\pfxzmtaim.dll
C:\WINDOWS\system32\pfxzmtsmtspm.dll

Folders to delete:
C:\Programme\PeDevice
C:\WINDOWS\system32\nfomon
C:\WINDOWS\system32\vidmon
C:\{68B498A4-0000-1031--popo0031}
C:\{38B498A4-0000-1031--popo0031}
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vidmon
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nfo
C:\Programme\Gemeinsame Dateien\Uninstall Information
C:\Programme\CC-Bar
C:\Programme\Paradiesbar

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
______________

mit LSPfix pruefe, dass die rsvp32_2.dll nicht mehr im Winsock ist
http://virus-protect.org/artikel/spyware/rsvp32_2.dll.html
-->> C:\WINDOWS\system32\rsvp32_2.dll - benenne die dll um (mit rechtsklick) - in dl + loeschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: