winA.tmp etc. werden in temp-ordner erstellt...

#0
02.06.2007, 16:58
...neu hier

Beiträge: 4
#1 hallo!

wunderbar, dass es dieses board gibt, mit so viel hilfsbereiter kompetenz! hoffentlich kann auch mir geholfen werden! ich habe schon einiges ausprobiert und auch ein wenig an spyware beseitigen koennen, aber die .tmp-dateien in C:\WINNT\temp\ erstellen sich immernoch regelmaessig neu! ich muss dazu erwaehnen, dass ich "windows 2000 professional" benutze, inkl. dem neusten service-pack und sicherheitsupdates... ist natuerlich ein recht veraltetes system und ich weiss nicht genau, was sich da noch machen laesst, aber bevor ich formatiere, wuerde ich gerne versuchen, die spyware manuell zu beseitigen!

---

Logfile of HijackThis v1.99.1
Scan saved at 16:56:34, on 02.06.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus 2007\pavsrv50.exe
C:\Programme\Panda Software\Panda Antivirus 2007\AVENGINE.EXE
C:\WINNT\system32\spoolsv.exe
D:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINNT\System32\svchost.exe
D:\Programme\AMD\Cool 'N' Quiet\GemServ.exe
D:\Programme\Nero 7.0 Ultra Edition\Nero 7\InCD\InCDsrv.exe
C:\Programme\Panda Software\Panda Antivirus 2007\PsCtrls.exe
C:\Programme\Panda Software\Panda Antivirus 2007\PsImSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\Tablet.exe
D:\Programme\Spy Sweeper\SpySweeper.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\DynDNS\DynDNS.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\WTablet\TabUserW.exe
C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nebyzkdm.exe
c:\programme\panda software\panda antivirus 2007\WebProxy.exe
D:\Programme\Firefox\firefox.exe
D:\Programme\Miranda\miranda32.exe
D:\Programme\Hijack This!\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon iP3000\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHG~1\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Apvxdwin] "C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [nebyzkdm.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nebyzkdm.exe
O4 - HKLM\..\Run: [Genuine] rundll32.exe "C:\WINNT\system32\nonknsbn.dll",realset
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\Flash Get\jc_all.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Copy to Semagic - D:\Programme\Semagic\copy.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon iP3000\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon iP3000\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon iP3000\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon iP3000\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\Flash Get\jc_link.htm
O8 - Extra context menu item: Semagic - D:\Programme\Semagic\link.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{82D65BEB-3D49-48F2-A9C7-CB52B896D52F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{82D65BEB-3D49-48F2-A9C7-CB52B896D52F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{82D65BEB-3D49-48F2-A9C7-CB52B896D52F}: NameServer = 192.168.0.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DynDNS Updater Service (DynDNS_Updater_Service) - Kana Solution - C:\WINNT\DynDNS\DynDNS.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - D:\Programme\AMD\Cool 'N' Quiet\GemServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programme\Nero 7.0 Ultra Edition\Nero 7\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7.0 Ultra Edition\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\PsCtrls.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\pavsrv50.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\PsImSvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\system32\Tablet.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINNT\SYSTEM32\VundoFixSVC.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - D:\Programme\Spy Sweeper\SpySweeper.exe
Seitenanfang Seitenende
02.06.2007, 18:38
Member

Beiträge: 519
#2 Lass mal CCleaner drüber laufen und poste noch folgendes:

http://board.protecus.de/t23187.htm

Zitat

O4 - HKLM\..\Run: [nebyzkdm.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nebyzkdm.exe
mal online scannen lassen.
Seitenanfang Seitenende
02.06.2007, 19:43
...neu hier

Themenstarter

Beiträge: 4
#3 hallo und danke fuer die schnelle antwort!
nachdem ich ein panda, crap-cleaner und cleanup! drueber habe laufen lassen, sind die .tmp-dateien verschwunden und wurden auch nach einigen neustarts nicht mehr erstellt! das problem scheint also geloest zu sein, allerdings habe ich nun probleme mit dem windows installer, der jedesmal wenn ich einen ordner oeffne anspringt... weiterhin, erscheinen beim hochfahren merkwuerdige schwarze terminal-fenster, die aber in weniger als einer sekunde schon wieder verschwinden und der internet explorer kommt nun mit gelegentlichen popups (couponmountain.com)... ich poste erneut einen hijackthis! report und einen combofix report!

---

Logfile of HijackThis v1.99.1
Scan saved at 19:41:52, on 02.06.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus 2007\pavsrv50.exe
C:\Programme\Panda Software\Panda Antivirus 2007\AVENGINE.EXE
C:\WINNT\system32\spoolsv.exe
D:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINNT\System32\svchost.exe
D:\Programme\AMD\Cool 'N' Quiet\GemServ.exe
C:\Programme\Panda Software\Panda Antivirus 2007\PsCtrls.exe
C:\Programme\Panda Software\Panda Antivirus 2007\PsImSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\Tablet.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\WTablet\TabUserW.exe
C:\WINNT\DynDNS\DynDNS.exe
C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE
c:\programme\panda software\panda antivirus 2007\WebProxy.exe
C:\WINNT\system32\notepad.exe
D:\Programme\Firefox\firefox.exe
C:\WINNT\system32\rundll32.exe
D:\Programme\Hijack This!\HijackThis.exe

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon iP3000\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHG~1\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Apvxdwin] "C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [nebyzkdm.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nebyzkdm.exe
O4 - HKLM\..\Run: [combofix] C:\WINNT\system32\cmd.exe /c C:\ComboFix\Combobatch.bat
O4 - HKCU\..\Run: [Genuine] rundll32.exe "C:\WINNT\system32\hvhgtdra.dll",realset
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\Flash Get\jc_all.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Copy to Semagic - D:\Programme\Semagic\copy.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon iP3000\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon iP3000\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon iP3000\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon iP3000\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\Flash Get\jc_link.htm
O8 - Extra context menu item: Semagic - D:\Programme\Semagic\link.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{82D65BEB-3D49-48F2-A9C7-CB52B896D52F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{82D65BEB-3D49-48F2-A9C7-CB52B896D52F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{82D65BEB-3D49-48F2-A9C7-CB52B896D52F}: NameServer = 192.168.0.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DynDNS Updater Service (DynDNS_Updater_Service) - Kana Solution - C:\WINNT\DynDNS\DynDNS.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - D:\Programme\AMD\Cool 'N' Quiet\GemServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\PsCtrls.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\pavsrv50.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\PsImSvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\system32\Tablet.exe

---

"consequential-apathy" - 02.06.2007 19:25:41 Service Pack 4
ComboFix 07-05.27.BV - Running from: "D:\"


(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINNT\system32\wmtdhilr.dll
C:\WINNT\system32\aycdd.ini
C:\WINNT\system32\ddcya.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((((((((( Files Created from 2007-05-02 to 2007-06-02 ))))))))))))))))))))))))))))))))))


2007-06-02 19:30 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_534.dat
2007-06-02 19:30 130 --a------ C:\WINNT\system32\tablet.dat
2007-06-02 03:26 33,302 --a------ C:\WINNT\system32\fccyvut.dll
2007-06-01 21:04 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-06-01 18:39 28,672 --a------ C:\WINNT\system32\drivers\CO_Mon.sys
2007-05-31 02:59 413,760 --a------ C:\WINNT\system32\mpg4c32.dll
2007-05-31 02:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-05-31 02:09 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Nero
2007-05-31 02:08 82,432 --a------ C:\WINNT\system32\drmstor.dll
2007-05-31 02:08 301,712 --a------ C:\WINNT\system32\drmclien.dll
2007-05-30 23:21 70,528 --a------ C:\WINNT\system32\drivers\PAVDRV50.SYS
2007-05-30 23:21 45,056 --a------ C:\WINNT\system32\avldr.dll
2007-05-30 23:21 <DIR> d-a------ C:\WINNT\system32\PAV
2007-05-30 23:21 <DIR> d-a------ C:\Programme\Panda Software
2007-05-30 22:40 60,928 --a------ C:\WINNT\system32\gwz.dll
2007-05-25 16:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-05-25 16:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2007-05-24 17:23 <DIR> d-------- C:\WINNT\FLV Player
2007-05-20 02:47 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\ATI
2007-05-14 22:42 <DIR> d-------- C:\Programme\DivX


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-31 01:00:22 -------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2007-05-30 21:21:09 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-25 14:23:00 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Real
2007-05-14 20:42:37 3,410 ----a-w C:\WINNT\mozver.dat
2007-05-01 19:01:14 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Azureus
2007-04-13 13:19:52 7,680 ----a-w C:\WINNT\system32\lsdelete.exe
2007-04-04 12:51:24 5,632 ----a-w C:\WINNT\system32\drivers\AWRTPD.sys
2007-04-02 15:22:46 -------- d-----w C:\Programme\ScanDrv5
2007-03-16 13:04:57 68,300 ----a-w C:\WINNT\system32\perfc007.dat
2007-03-16 13:04:57 377,218 ----a-w C:\WINNT\system32\perfh007.dat
2007-03-14 17:27:58 972,336 ----a-w C:\WINNT\UNRecode.exe
2007-03-14 17:19:56 95,864 ----a-w C:\WINNT\system32\NeroCo.dll
2007-03-14 17:19:26 972,336 ----a-w C:\WINNT\UNNeroBackItUp.exe
2007-03-12 16:54:30 239,152 ----a-w C:\WINNT\NuNInst.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{A5366673-E8CA-11D3-9CD9-0090271D075B}=D:\PROGRA~1\FLASHG~1\jccatch.dll [02-01-16 19:12 ]
{AE7CD045-E861-484f-8273-0445EE161910}=D:\Programme\Adobe\Acrobat Reader 7.0\Acrobat\AcroIEFavClient.dll [04-12-14 02:13 ]
{C72D1441-D9D9-FF2F-D17C-83ADA8E023B3}=C:\WINNT\system32\gwz.dll [07-05-21 15:59 ]
{E5225210-F293-40FE-BB2F-D5A3C7F13C47}=C:\WINNT\system32\fccyvut.dll [07-06-02 03:26 ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 12:05 C:\WINNT\system32\mobsync.exe]
"Apvxdwin"="C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.exe" [07-01-25 18:50 ]
"nebyzkdm.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nebyzkdm.exe" []
"combofix"="C:\WINNT\system32\cmd.exe" [05-06-02 23:36 ]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsHistory"=1 (0x1)
"ClearRecentDocsOnExit"=1
"NoWindowsUpdate"=1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{E5225210-F293-40FE-BB2F-D5A3C7F13C47}"="C:\WINNT\system32\fccyvut.dll" [07-06-02 03:26 ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
avldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccyvut]
fccyvut.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


Contents of the 'Scheduled Tasks' folder
2007-05-26 17:47:12 C:\WINNT\tasks\AppleSoftwareUpdate.job

********************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-02 19:30:33
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


********************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\ControlSet001\Services\ati2mtag]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\SERVICES\ATI2MTAG]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ati2mtag]
"ImagePath"="system32\DRIVERS\ati2mtag.sys"
[HKEY_LOCAL_MACHINE\system\ControlSet002\Hardware Profiles\0001\System\ControlSet001\Services\ati2mtag]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\ControlSet001\Services\ati2mtag]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\SERVICES\ATI2MTAG]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ati2mtag]
"ImagePath"="system32\DRIVERS\ati2mtag.sys"
[HKEY_LOCAL_MACHINE\system\ControlSet002\Hardware Profiles\0001\System\ControlSet001\Services\ati2mtag]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\SERVICES\VGASAVE]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\VgaSave]
"ImagePath"="\SystemRoot\System32\drivers\vga.sys"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\ControlSet001\Services\ati2mtag]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\SERVICES\ATI2MTAG]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ati2mtag]
"ImagePath"="system32\DRIVERS\ati2mtag.sys"
[HKEY_LOCAL_MACHINE\system\ControlSet002\Hardware Profiles\0001\System\ControlSet001\Services\ati2mtag]

Completion time: 2007-06-02 19:32:57 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 07-06-02 19:32

--- E O F ---
Seitenanfang Seitenende
02.06.2007, 19:52
Member

Beiträge: 519
#4 hi,
hast du die genannte Datei mal online prüfen alssen ?
Wieviele Virenscanner laufen denn jetzt grad bei dir ?
Seitenanfang Seitenende
02.06.2007, 19:57
...neu hier

Themenstarter

Beiträge: 4
#5 oh, richtig!
die genannte datei wollte ich online pruefen lassen, allerdings ist sie nicht in dem verzeichnis, wie bei hijackthis! angegeben! (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nebyzkdm.exe)... dort ist sie nicht! wenn ich in der registry nach ihr suche, finde ich zwar den entsprechenden eintrag bei HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ aber er laesst sich nicht loeschen! momentan laeuft panda antivirus 2007...
Seitenanfang Seitenende
02.06.2007, 20:05
Member

Beiträge: 519
#6 ok, such einfach mal so im System nach der Datei.
Und das "neue" Problem, seitwann ist das ?
Seitenanfang Seitenende
02.06.2007, 20:17
...neu hier

Themenstarter

Beiträge: 4
#7 nachdem ich crap-cleaner laufen liess und neu gestartet habe, fing der windows installer an zu meckern, bei jedem klick in einen ordner... kurz darauf kamen auch die popups (nicht nur im IE, sondern nun auch im firefox!)... die datei ist merkwuerdig! ich habe sie nicht (mehr!) auf dem system, dennoch zeigt hijackthis! und auch crap-cleaner sie mir immer wieder im autostart an... in der registry kann ich sie wie gesagt auch nicht loeschen, allerdings koennte ich es im abgesicherten modus versuchen... die eingabeaufforderung terminals poppen ebenfalls bei jedem start auf...
Seitenanfang Seitenende
02.06.2007, 20:33
Member

Beiträge: 519
#8 Merkwürdig, frag Raman mal um Rat.
Seitenanfang Seitenende