Rätselhafter Command Service...

Dieses Thema im Forum "Sicherheit" wurde erstellt von electricaaron, 5. Dezember 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    Hallo zusammen,

    Seit neuestem installiert sich bei mir scheinbar ein Registry eintrag namens Command Service laut Spybot Search&Destroy
    der kennzeichnet mir das als Spyware und machts natürlich weg...

    Was ich lustig/seltsam finde is, dass normalerweise der Spybot Resident anspringen müsste in solchen sachen, sonst motzt des auch gleich bei jedem furz, aber wenn mal Spyware in die Registry will, hey kein problem!
    ich bin mir zimlich sicher, nichts in der art zugelassen zu haben...
    Beim neustart springt auch kein fenster links unten auf, des anzeigt, dass dieser eintrag eingetragen wird.

    Frage:
    Wie gefährlich is das dingens?
    Wie krig ichs wieder los?

    Das sind die Spybot einträge:
    http://img236.imageshack.us/my.php?image=spybot8yk.jpg

    Hijack this meldet nix
    ebenso Adaware oder Antivir...
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Ohne genauere Analyse schwer zu sagen, aber würde es auf jeden Fall sehr ernst nehmen. Erstelle mal ein HijackThis Logfile wie hier beschrieben und poste den Link.


    Grüße Jasager
     
  3. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hast du in den letzten Tagen einen Virus "entfernt"? Scanne mal dein System mit Escan(Anleitung genau beachten) und poste das Log wie in der Anleitung beschrieben (find.bat).
    Mache mal außerdem folgendes (achte darauf bei dem Log von System32 nur die letzten drei Monate zu kopieren) und poste die vier Logs.


    Grüße Jasager
     
  5. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    Hmm ich kann keine Seite finden, auf der ich escan herbekomme...
    auf der einen is der Download kaputt, auf der anderen kostets was
    und auf der nächsten funzt der Link nich :(

    aber da die Logs


    Verzeichnis von C:\WINDOWS\system32

    05.12.2005 17:44 39.291 nvapps.xml
    05.12.2005 00:32 7.051 PQ_DEBUG.TXT
    04.12.2005 11:34 126.912 FNTCACHE.DAT
    04.12.2005 00:16 13.646 wpa.dbl
    30.11.2005 19:56 43.520 CmdLineExt03.dll
    16.11.2005 22:11 968 PQ_BATCH.PQB
    15.11.2005 21:55 5.589 jupdate-1.5.0_05-b05.log
    15.11.2005 19:42 2.368 SVKP.sys
    15.11.2005 19:03 157.696 rmoc3260.dll
    15.11.2005 19:03 5.632 pndx5032.dll
    15.11.2005 19:03 24.576 prefscpl.cpl
    15.11.2005 19:03 6.656 pndx5016.dll
    15.11.2005 19:03 278.528 pncrt.dll
    15.11.2005 18:38 2.321.408 TUKernel.exe
    15.11.2005 17:45 13.646 wpa.bak
    15.11.2005 17:32 16.832 amcompat.tlb
    15.11.2005 17:32 23.392 nscompat.tlb
    15.11.2005 16:26 311.604 perfh009.dat
    15.11.2005 16:26 316.594 perfh007.dat
    15.11.2005 16:26 39.992 perfc009.dat
    15.11.2005 16:26 48.156 perfc007.dat
    15.11.2005 16:26 723.744 PerfStringBackup.INI
    15.11.2005 16:11 146.650 BuzzingBee.wav
    15.11.2005 16:11 940.794 LoopyMusic.wav
    15.11.2005 15:49 261 $winnt$.inf
    15.11.2005 15:48 2.951 CONFIG.NT
    15.11.2005 15:47 488 WindowsLogon.manifest
    15.11.2005 15:47 488 logonui.exe.manifest
    15.11.2005 15:47 749 ncpa.cpl.manifest
    15.11.2005 15:47 749 wuaucpl.cpl.manifest
    15.11.2005 15:47 749 nwc.cpl.manifest
    15.11.2005 15:47 749 sapi.cpl.manifest
    15.11.2005 15:47 749 cdplayer.exe.manifest
    15.11.2005 15:45 21.740 emptyregdb.dat
    15.11.2005 15:43 0 h323log.txt
    10.11.2005 21:17 2.377.568 MRT.exe
    04.11.2005 16:27 534.280 LegitCheckControl.DLL
    27.10.2005 20:37 53.248 dpuGUI10.dll
    27.10.2005 20:37 86.016 dpl100.dll
    27.10.2005 20:37 593.920 dpuGUI11.dll
    27.10.2005 20:37 200.704 dtu100.dll
    27.10.2005 20:37 339.968 dpus11.dll
    27.10.2005 20:37 57.344 dpv11.dll
    27.10.2005 20:37 294.912 dpu11.dll
    27.10.2005 20:37 294.912 dpu10.dll
    19.10.2005 12:49 1.864 nvsmb.nvu
    11.10.2005 20:03 65.536 QuickTimeVR.qtx
    11.10.2005 20:03 49.152 QuickTime.qts
    10.10.2005 21:49 270.336 nvrsde.dll
    10.10.2005 21:49 274.432 nvrsel.dll
    10.10.2005 21:49 241.664 nvrseng.dll
    10.10.2005 21:49 34.304 nvcod.dll
    10.10.2005 21:49 274.432 nvrses.dll
    10.10.2005 21:49 266.240 nvrsesm.dll
    10.10.2005 21:49 442.368 nvappbar.exe
    10.10.2005 21:49 241.664 nvrsfi.dll
    10.10.2005 21:49 45.056 nvapi.dll
    10.10.2005 21:49 278.528 nvrsfr.dll
    10.10.2005 21:49 319.488 nvrshe.dll
    10.10.2005 21:49 253.952 nvrshu.dll
    10.10.2005 21:49 245.760 nvrsda.dll
    10.10.2005 21:49 3.921.024 nv4_disp.dll
    10.10.2005 21:49 274.432 nvrsit.dll
    10.10.2005 21:49 258.048 nvrsja.dll
    10.10.2005 21:49 253.952 nvrsko.dll
    10.10.2005 21:49 266.240 nvrsnl.dll
    10.10.2005 21:49 249.856 nvrsno.dll
    10.10.2005 21:49 249.856 nvrspl.dll
    10.10.2005 21:49 241.664 nvrscs.dll
    10.10.2005 21:49 319.488 nvrsar.dll
    10.10.2005 21:49 425.984 keystone.exe
    10.10.2005 21:49 266.240 nvrspt.dll
    10.10.2005 21:49 5.378.048 nvoglnt.dll
    10.10.2005 21:49 286.720 nvnt4cpl.dll
    10.10.2005 21:49 34.304 nvcodins.dll
    10.10.2005 21:49 86.016 nvmctray.dll
    10.10.2005 21:49 45.056 nvmccsrs.dll
    10.10.2005 21:49 229.376 nvmccs.dll
    10.10.2005 21:49 147.456 nvcolor.exe
    10.10.2005 21:49 262.144 nvrsptb.dll
    10.10.2005 21:49 262.144 nvrsru.dll
    10.10.2005 21:49 1.466.368 nview.dll
    10.10.2005 21:49 249.856 nvrssk.dll
    10.10.2005 21:49 249.856 nvrssl.dll
    10.10.2005 21:49 245.760 nvrssv.dll
    10.10.2005 21:49 1.519.616 nwiz.exe
    10.10.2005 21:49 573.440 nvhwvid.dll
    10.10.2005 21:49 249.856 nvrstr.dll
    10.10.2005 21:49 167.936 nvwrszht.dll
    10.10.2005 21:49 163.840 nvwrszhc.dll
    10.10.2005 21:49 303.104 nvwrstr.dll
    10.10.2005 21:49 294.912 nvwrssv.dll
    10.10.2005 21:49 303.104 nvwrssl.dll
    10.10.2005 21:49 299.008 nvwrssk.dll
    10.10.2005 21:49 315.392 nvwrsru.dll
    10.10.2005 21:49 319.488 nvwrsptb.dll
    10.10.2005 21:49 217.088 nvrszhc.dll
    10.10.2005 21:49 323.584 nvwrspt.dll
    10.10.2005 21:49 294.912 nvwrspl.dll
    10.10.2005 21:49 299.008 nvwrsno.dll
    10.10.2005 21:49 319.488 nvwrsnl.dll
    10.10.2005 21:49 196.608 nvwrsko.dll
    10.10.2005 21:49 212.992 nvwrsja.dll
    10.10.2005 21:49 1.339.392 nvdspsch.exe
    10.10.2005 21:49 323.584 nvwrsit.dll
    10.10.2005 21:49 315.392 nvwrshu.dll
    10.10.2005 21:49 278.528 nvwrshe.dll
    10.10.2005 21:49 327.680 nvwrsfr.dll
    10.10.2005 21:49 303.104 nvwrsfi.dll
    10.10.2005 21:49 118.784 nvrszht.dll
    10.10.2005 21:49 327.680 nvwrsesm.dll
    10.10.2005 21:49 335.872 nvwrses.dll
    10.10.2005 21:49 466.944 nvshell.dll
    10.10.2005 21:49 286.720 nvwrseng.dll
    10.10.2005 21:49 15.868 nvdisp.nvu
    10.10.2005 21:49 335.872 nvwrsel.dll
    10.10.2005 21:49 311.296 nvwrsde.dll
    10.10.2005 21:49 131.139 nvsvc32.exe
    10.10.2005 21:49 73.728 nvtuicpl.cpl
    10.10.2005 21:49 294.912 nvwrsda.dll
    10.10.2005 21:49 180.224 nvudisp.exe
    10.10.2005 21:49 7.286.784 nvcpl.dll
    10.10.2005 21:49 286.720 nvwrscs.dll
    10.10.2005 21:49 282.624 nvwrsar.dll
    10.10.2005 21:49 1.019.904 nvwimg.dll
    10.10.2005 21:49 81.920 nvwddi.dll
    10.10.2005 21:49 1.662.976 nvwdmcpl.dll
    06.10.2005 04:18 280.064 gdi32.dll
    06.10.2005 04:08 1.839.616 win32k.sys
    04.10.2005 17:26 3.013.120 mshtml.dll
    28.09.2005 19:50 1.044.480 libdivx.dll
    28.09.2005 19:50 200.704 ssldivx.dll
    28.09.2005 11:10 466.944 CapabilityTable.exe
    28.09.2005 11:08 176.128 nvusmb.exe
    28.09.2005 11:08 176.128 NVUNINST.EXE
    28.09.2005 11:08 176.128 nvuide.exe
    28.09.2005 11:08 176.128 nvunrm.exe
    23.09.2005 04:06 8.491.520 shell32.dll
    10.09.2005 02:54 2.067.968 cdosys.dll

    Verzeichnis von C:\DOKUME~1\ELECTR~1\LOKALE~1\Temp

    17.07.2006 17:43 200.768 mwavscan.com
    05.12.2005 18:38 521 mwav.log
    05.12.2005 18:38 403 mwXface.log
    05.12.2005 17:44 970 TempICQCLImage9319342403373.html
    05.12.2005 17:44 0 icqA.tmp
    05.12.2005 17:44 0 icq9.tmp
    05.12.2005 17:44 0 icq8.tmp
    05.12.2005 17:44 0 icq7.tmp
    05.12.2005 17:44 512 ~DFB7CF.tmp
    05.12.2005 17:44 16.384 ~DFB6BB.tmp
    05.12.2005 17:42 970 TempICQCLImage9319342413548.html
    05.12.2005 11:48 283 wahtmltmp00.htm
    05.12.2005 10:25 16.384 ~DF52EC.tmp
    05.12.2005 00:30 16.384 ~DFA75F.tmp
    04.12.2005 17:52 0 yec358.tmp
    04.12.2005 17:51 0 2p1357.tmp
    04.12.2005 17:46 0 s3j353.tmp
    04.12.2005 00:00 46.080 ~e5d141.tmp
    03.12.2005 10:51 0 NBR56.tmp
    03.12.2005 10:35 0 NBR51.tmp
    03.12.2005 10:19 234.640 MSI4182d.LOG
    03.12.2005 09:57 16.384 ~DF704.tmp
    02.12.2005 22:44 16.384 ~DFCD2.tmp
    01.12.2005 18:18 16.384 ~DFA10E.tmp
    01.12.2005 18:10 16.384 ~DF34DB.tmp
    01.12.2005 18:04 32.768 ~DF45B1.tmp
    01.12.2005 16:36 16.384 ~DFA286.tmp
    01.12.2005 16:05 16.384 ~DF969B.tmp
    30.11.2005 19:56 24.748 SIntfNT.dll
    30.11.2005 19:56 20.020 SIntf32.dll
    30.11.2005 19:56 12.305 SIntf16.dll
    30.11.2005 19:55 0 aax5C.tmp
    30.11.2005 19:55 0 aax52.tmp
    30.11.2005 19:55 0 aax53.tmp
    30.11.2005 19:55 0 aax51.tmp
    30.11.2005 19:55 0 aax50.tmp
    30.11.2005 18:17 28.690 MSI25471.LOG
    30.11.2005 18:16 20 ~26.tmp
    29.11.2005 15:28 416 java_install_reg.log
    29.11.2005 15:22 16.384 ~DFEE8A.tmp
    28.11.2005 22:01 16.384 ~DFD373.tmp
    28.11.2005 21:58 16.384 ~DF189.tmp
    28.11.2005 21:25 16.384 ~DF117C.tmp
    28.11.2005 14:25 16.384 ~DFD24.tmp
    27.11.2005 17:09 0 icq20D.tmp
    27.11.2005 17:09 0 icq20C.tmp
    27.11.2005 17:09 0 icq20B.tmp
    27.11.2005 17:09 0 icq20E.tmp
    27.11.2005 17:09 16.384 ~DFD506.tmp
    26.11.2005 23:44 11.916 mod_installer_check.ini
    25.11.2005 23:50 16.384 ~DFC18D.tmp
    24.11.2005 23:09 16.384 ~DFD751.tmp
    24.11.2005 22:17 32.768 ~DF4973.tmp
    24.11.2005 18:48 308 DelUS.bat
    24.11.2005 17:48 0 4jq25.tmp
    24.11.2005 17:45 0 ec224.tmp
    24.11.2005 17:43 0 6wi23.tmp
    24.11.2005 17:40 0 pdw22.tmp
    24.11.2005 14:15 16.384 ~DF5E85.tmp
    23.11.2005 20:58 0 icq6.tmp
    23.11.2005 20:58 0 icq5.tmp
    23.11.2005 20:58 0 icq4.tmp
    23.11.2005 20:58 0 icq3.tmp
    23.11.2005 20:58 16.384 ~DF3AEB.tmp
    23.11.2005 20:58 512 ~DF3AF8.tmp
    23.11.2005 19:47 16.384 ~DF30E2.tmp
    23.11.2005 19:34 59.964 ~e5.0001
    23.11.2005 19:00 16.384 ~DF90C8.tmp
    23.11.2005 16:14 16.384 ~DF6ACE.tmp
    22.11.2005 18:36 16.384 ~DF3D6C.tmp
    22.11.2005 18:34 16.384 ~DF96B3.tmp
    22.11.2005 15:25 512 ~DFA99C.tmp
    22.11.2005 15:25 16.384 ~DFA98C.tmp
    22.11.2005 15:25 16.384 Perflib_Perfdata_52c.dat
    20.11.2005 18:37 16.384 ~DF5EB1.tmp
    20.11.2005 14:38 16.384 ~DF975E.tmp
    20.11.2005 13:27 16.384 ~DF64B.tmp
    19.11.2005 14:28 16.384 ~DF1341.tmp
    19.11.2005 13:56 16.384 ~DFE9A1.tmp
    19.11.2005 02:14 16.384 ~DF11DB.tmp
    19.11.2005 02:11 16.384 ~DFB3E6.tmp
    19.11.2005 01:44 50.688 264100f.mst
    19.11.2005 01:43 50.688 26384a8.mst
    19.11.2005 01:35 50.688 25a954d.mst
    19.11.2005 01:33 50.688 259dc0f.mst
    18.11.2005 11:42 16.384 ~DFE2C9.tmp
    17.11.2005 21:35 16.384 ~DFE2E9.tmp
    17.11.2005 14:30 797.676 IMTC.xml
    17.11.2005 14:30 426 IMTB.xml
    17.11.2005 14:30 2.036 IMTA.xml
    17.11.2005 14:18 16.384 ~DFF178.tmp
    16.11.2005 23:52 16.384 ~DF56B1.tmp
    16.11.2005 21:43 16.384 ~DF43DC.tmp
    16.11.2005 20:56 16.384 ~DF4571.tmp
    16.11.2005 20:54 16.384 ~DFE638.tmp
    16.11.2005 20:33 16.384 ~DF1E27.tmp
    16.11.2005 18:11 16.384 ~DFD36C.tmp
    16.11.2005 17:01 43.520 CmdLineExt03.dll
    16.11.2005 15:47 16.384 ~DF5319.tmp
    16.11.2005 12:44 663 jupdate1.5.0.xml
    16.11.2005 12:44 16.384 ~DF79D7.tmp
    15.11.2005 21:54 58.368 11f3d4.mst
    15.11.2005 20:17 16.384 ~DFF8E.tmp
    15.11.2005 20:00 16.384 ~DF502C.tmp
    15.11.2005 19:57 16.384 ~DFBB4.tmp
    15.11.2005 18:53 16.384 Perflib_Perfdata_790.dat
    15.11.2005 17:36 450.048 8bb9a.mst
    15.11.2005 16:06 4.533 plf2B.tmp
    15.11.2005 15:55 4.533 plf57.tmp
    04.11.2005 12:58 45.096 _VWUPSRV.EXE
    30.10.2005 16:02 107.008 ee0a.mst
    30.10.2005 16:02 107.008 3d041.mst
    11.10.2005 21:03 33.286.211 QuickTimeInstaller.exe


    Verzeichnis von C:\WINDOWS

    05.12.2005 18:02 50 wiaservc.log
    05.12.2005 18:02 354 wiadebug.log
    05.12.2005 17:44 0 0.log
    05.12.2005 17:44 585.139 WindowsUpdate.log
    05.12.2005 17:44 2.048 bootstat.dat
    05.12.2005 17:43 192 winamp.ini
    04.12.2005 17:53 54.156 QTFont.qfn
    04.12.2005 15:53 482.329 setupapi.log
    04.12.2005 12:13 60.416 ALCFDRTM.VER
    04.12.2005 00:03 35 WorldBuilder.INI
    03.12.2005 23:45 982 eReg.dat
    03.12.2005 19:02 69 NeroDigital.ini
    27.11.2005 18:34 3.077 DirectX.log
    25.11.2005 23:11 332 desctemp.dat
    20.11.2005 21:56 4 num41.jbd
    20.11.2005 21:56 4 data4711.bak
    20.11.2005 21:56 4 info147.sys
    19.11.2005 15:21 1.409 QTFont.for
    19.11.2005 02:21 343 SIERRA.INI
    18.11.2005 14:13 733 CoD.INI
    16.11.2005 17:28 192 wininit.ini
    15.11.2005 21:44 6.340 mozver.dat
    15.11.2005 19:38 4.096 d3dx.dat
    15.11.2005 18:13 67.830 wmsetup.log
    15.11.2005 17:50 18.669 ocmsn.log
    15.11.2005 17:50 122.395 comsetup.log
    15.11.2005 17:50 52.154 iis6.log
    15.11.2005 17:50 72.434 ntdtcsetup.log
    15.11.2005 17:50 1.393 imsins.log
    15.11.2005 17:50 130.994 tsoc.log
    15.11.2005 17:50 13.209 KB896424.log
    15.11.2005 17:50 16.933 msgsocm.log
    15.11.2005 17:50 166.317 ocgen.log
    15.11.2005 17:50 333.036 FaxSetup.log
    15.11.2005 17:50 12.840 updspapi.log
    15.11.2005 17:32 244 wmsetup10.log
    15.11.2005 17:23 173 KPCMS.INI
    15.11.2005 17:14 316.640 WMSysPr9.prx
    15.11.2005 17:09 400 ODBC.INI
    15.11.2005 17:00 0 nsreg.dat
    15.11.2005 16:59 100.482 UninstallThunderbird.exe
    15.11.2005 16:59 486 win.ini
    15.11.2005 16:59 99.970 UninstallFirefox.exe
    15.11.2005 16:30 86 KE.log
    15.11.2005 16:30 174.868 setupact.log
    15.11.2005 16:28 27.540 KB905749.log
    15.11.2005 16:28 1.393 imsins.BAK
    15.11.2005 16:28 26.875 KB905414.log
    15.11.2005 16:28 26.083 KB904706.log
    15.11.2005 16:27 31.612 KB902400.log
    15.11.2005 16:27 22.332 KB901017.log
    15.11.2005 16:27 24.918 KB900725.log
    15.11.2005 16:27 21.616 KB899589.log
    15.11.2005 16:27 24.930 KB896688.log
    15.11.2005 16:27 18.617 KB900930.log
    15.11.2005 16:27 19.053 KB899591.log
    15.11.2005 16:27 18.938 KB899588.log
    15.11.2005 16:27 18.478 KB899587.log
    15.11.2005 16:26 17.888 KB896423.log
    15.11.2005 16:26 19.552 KB894391.log
    15.11.2005 16:26 17.282 KB893756.log
    15.11.2005 16:26 17.051 KB901214.log
    15.11.2005 16:26 14.959 KB903235.log
    15.11.2005 16:26 15.418 KB898458.log
    15.11.2005 16:26 16.832 KB896428.log
    15.11.2005 16:26 17.269 KB896422.log
    15.11.2005 16:26 17.697 KB896358.log
    15.11.2005 16:26 17.222 KB890046.log
    15.11.2005 16:26 16.704 KB893086.log
    15.11.2005 16:26 15.195 KB893066.log
    15.11.2005 16:25 17.576 KB890859.log
    15.11.2005 16:25 13.861 KB885523.log
    15.11.2005 16:25 12.014 KB885222.log
    15.11.2005 16:25 13.869 KB887797.log
    15.11.2005 16:25 11.735 KB886677.log
    15.11.2005 16:25 12.795 KB886716.log
    15.11.2005 16:25 11.610 KB887742.log
    15.11.2005 16:25 10.174 KB884883.log
    15.11.2005 16:25 9.739 KB891122.log
    15.11.2005 16:24 10.838 KB888113.log
    15.11.2005 16:24 10.881 KB891781.log
    15.11.2005 16:24 11.307 KB873333.log
    15.11.2005 16:24 9.098 KB885250.log
    15.11.2005 16:24 1.172 KB885492.log
    15.11.2005 16:24 8.813 KB887472.log
    15.11.2005 16:24 9.153 KB890047.log
    15.11.2005 16:24 8.361 KB888302.log
    15.11.2005 16:24 8.094 KB890175.log
    15.11.2005 16:24 6.558 KB890831.log
    15.11.2005 16:24 7.710 KB886185.log
    15.11.2005 16:24 8.305 KB885835.log
    15.11.2005 16:24 7.044 KB873339.log
    15.11.2005 16:24 7.220 KB885836.log
    15.11.2005 16:24 5.347 KB885884.log
    15.11.2005 16:23 5.910 KB884020.log
    15.11.2005 16:23 7.229 KB885894.log
    15.11.2005 16:23 6.526 KB898461.log
    15.11.2005 16:23 6.284 KB893803v2.log
    15.11.2005 16:11 60.416 ALCFDRTM.EXE
    15.11.2005 16:02 5.524 Ascd_tmp.ini
    15.11.2005 15:51 829 OEWABLog.txt
    15.11.2005 15:50 8.192 REGLOCS.OLD
    15.11.2005 15:48 0 control.ini
    15.11.2005 15:48 4.161 ODBCINST.INI
    15.11.2005 15:47 749 WindowsShell.Manifest
    15.11.2005 15:45 37 vbaddin.ini
    15.11.2005 15:45 36 vb.ini
    15.11.2005 15:45 133 DtcInstall.log
    15.11.2005 15:45 1.023 sessmgr.setup.log
    15.11.2005 15:43 200 cmsetacl.log
    15.11.2005 15:39 2.492 regopt.log
    15.11.2005 15:37 0 Sti_Trace.log
    15.11.2005 15:35 231 system.ini
    15.11.2005 15:34 0 setuperr.log

    Verzeichnis von C:\

    05.12.2005 18:44 0 sys.txt
    05.12.2005 18:43 8.297 system.txt
    05.12.2005 18:43 9.178 systemtemp.txt
    05.12.2005 18:40 99.329 system32.txt
    05.12.2005 17:44 1.610.612.736 pagefile.sys
    01.12.2005 16:29 6.309.902 resolve.log
    16.11.2005 22:11 389 boot.ini
    15.11.2005 15:48 0 AUTOEXEC.BAT
    15.11.2005 15:48 0 IO.SYS
    15.11.2005 15:48 0 MSDOS.SYS
    15.11.2005 15:48 0 CONFIG.SYS
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    untersuche mal die C:\Windows\System32\SVKP.sys hier und poste das Ergebnis. Hier mal der Direktdownload von Escan.
    Ansonsten kann ich eigentlich nichts auffälliges erkennen.

    Nachtrag:
    Überprüfe auch die System32\cmdlineext03.dll
    Hast du am 30.11. ein Spiel neu installiert?


    Grüße Jasager
     
  7. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    Also die SVKP.sys hat schonmal folgendes ergebnis gebracht:

    VBA32 | Virtool.SVKProtector gefunden

    Die CmdLineExt03.dll :

    EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)

    Entdeckte Packprogramme: PETITE

    sonst nix


    kann gut sein, hab in letzter zeit öfter ein paar spiele (neu)installiert

    Edit:

    Mit escan hab ich so meine regen Probleme...
    Man sollte das doch im abgesicherten Modus laufen lassen oder?
    Klingt Lustig: ich kann meinen PC nich im abgesicherten Modus starten! Immer bekomme ich gesagt "du musst beim Startup F8 Drücken, dann is alles gut!"
    Ja schön, dann kann ich leider nur wählen von welchem Laufwerk ich Booten möchte... :aua:
     
  8. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ich denke das auch die SVKP.sys zu einem Kopierschutz gehört. Im Notfall kannst du Escan auch im normalen Modus scannen lassen, aber versuche mal so in den abgesicherten Modus zu kommen.


    Grüße Jasager
     
  9. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    ACH GENAU JETZ IS MIR NOCH WAS EINGEFALLEN!

    ich wusste dass ich schonmal im abgesicherten Modus war, ich glaub da musste ich was in der Systemsteuerung unter Verwaltung umstellen, ich schau gelich mal nach.

    Edit:

    Ok irgenwie war des nix... doch schon alles ausm Gehirn entwischt :rolleyes:

    naja ok aber was heist "Safemode Hacken" ?
     
  10. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    Ähem...

    irgendwie sind wir vom Thema abgewichen...

    ich hab immer noch diesen Command Service drauf und weis nich, ob ich mir jetz Sorgen machen soll und wie ich das wieder loswerde.

    Helft mir :bitte:
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hast du jetzt mal Escan zum laufen gebracht? Habe jetzt schon eine zweite Forenmeldung (anderes Forum) gefunden die genau das gleiche Problem hat, dort gibt es bisher auch noch keine Lösung. Ich tendiere momentan zu Fehlalarm von Spybot, das ist aber nur eine Vermutung.

    Nachtrag:
    Es heißt Safe mod Haken (von anhaken) Genau genommen heißt es Safe Boot(dort minimal)


    Grüße Jasager
     
  12. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    Aaaa jetze hab ichs gschpannt :-D

    Oha der escan wirft mir gleich mal nen Fetten Haufen Meldungen hin:

    Object "redv Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "redv Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\DIMM.DLL". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Games\C&C Generals\ZeroHour\generals.exe". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Shaders\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Shaders\HWScripts\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Shaders\HWScripts\Declarations\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Shaders\HWScripts\Declarations\CGPShaders\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Shaders\HWScripts\Declarations\CGPShaders\Cache\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Shaders\HWScripts\Declarations\CGVShaders\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Shaders\HWScripts\Declarations\CGVShaders\Cache\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Profiles\defaults\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Profiles\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Profiles\defaults\english\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Profiles\defaults\french\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Profiles\defaults\german\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Profiles\defaults\italian\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Profiles\defaults\japanese\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Profiles\defaults\spanish\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Profiles\player\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Profiles\player\default\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Profiles\player\default\savegames\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Profiles\server\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Support\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Games\Far Cry\Support\Manual\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ubisoft\Far Cry\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ubisoft\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "D:\Games\C&C Generals\ZeroHour\Data\INI\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "D:\Games\C&C Generals\ZeroHour\Data\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "D:\Games\C&C Generals\ZeroHour\Data\Scripts\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "D:\Games\C&C Generals\ZeroHour\support\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "D:\Games\C&C Generals\ZeroHour\Data\Cursors\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "D:\Games\C&C Generals\ZeroHour\Data\Movies\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "D:\Games\C&C Generals\ZeroHour\Data\WaterPlane\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "D:\Games\C&C Generals\ZeroHour\MSS\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "D:\Games\C&C Generals\ZeroHour\Data\English\Movies\". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "D:\Games\C&C Generals\ZeroHour\Data\English\". Action Taken: No Action Taken.
    Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ccd". Action Taken: No Action Taken.
    Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dff". Action Taken: No Action Taken.
    Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".kp". Action Taken: No Action Taken.
    Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".txd". Action Taken: No Action Taken.
    Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".xpi". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Sierra Utilities". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{B6F867E8-F092-4C5E-7D72-AC7057DBEF45}". Action Taken: No Action Taken.
    Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{C7E1449D-7638-6832-426D-589655951031}". Action Taken: No Action Taken.


    hoffe ihr blikts da mehr als ich...
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    das ist alles harmlos,kannst du nochmal in dem Log (mwav.log) nach "infected" und "tagged"suchen (bearbeiten>>suchen) und die jeweiligen Einträge posten.


    Grüße Jasager
     
  14. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    auch net wenig:

    Tue Dec 06 16:21:49 2005 => Offending file found: C:\DOKUME~1\ELECTR~1\LOKALE~1\Temp\insthelp.dll
    Tue Dec 06 16:21:49 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

    Tue Dec 06 16:21:49 2005 => Offending file found: C:\DOKUME~1\ELECTR~1\LOKALE~1\Temp\war3_install.exe
    Tue Dec 06 16:21:49 2005 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.

    Tue Dec 06 16:21:50 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\temp\insthelp.dll
    Tue Dec 06 16:21:50 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\temp\war3_install.exe
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\temporary internet files\content.ie5\8fecdqo7\common[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\temporary internet files\content.ie5\cjidls3v\adsend[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\temporary internet files\content.ie5\cjidls3v\common[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\temporary internet files\content.ie5\gopw2uj5\adswrapper[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\temporary internet files\content.ie5\gopw2uj5\common[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\temporary internet files\content.ie5\mr59ba7h\adsend[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\temporary internet files\content.ie5\mr59ba7h\common[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\Temporary Internet Files\content.ie5\8fecdqo7\common[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\Temporary Internet Files\content.ie5\cjidls3v\adsend[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\Temporary Internet Files\content.ie5\cjidls3v\common[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\Temporary Internet Files\content.ie5\gopw2uj5\adswrapper[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\Temporary Internet Files\content.ie5\gopw2uj5\common[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\Temporary Internet Files\content.ie5\mr59ba7h\adsend[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.

    Tue Dec 06 16:21:51 2005 => Offending file found: C:\Dokumente und Einstellungen\electricaaron\Lokale Einstellungen\Temporary Internet Files\content.ie5\mr59ba7h\common[1].js
    Tue Dec 06 16:21:51 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

    tagged findet er nix
     
  15. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    aber alles nur Gedöns was Escan anzeigt um sich ein wenig wichtig zu machen damit man das Programm kauft. Du kannst mal deine Temp Ordner mit dem Programm CCleaner bereinigen. Aber alles in allem scheint mir dein System sauber zu sein und ich denke das es sich um einen Fehlalarm von Spybot handelt, warte einfach mal das nächste Definitionsupdate ab.
    Oh, gerade gefunden, es handelt sich wohl definitiv um ein false positive siehe hier.



    Grüße Jasager
     
  16. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    Huih!
    Dann bin ich aber mal schwehr erleichtert, ich hatte echt schon krasse selbstzweifel deswegen....

    :danke: :danke: :danke: :bet:
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen