Jump to content

Welcome to Geeks to Go - Register now for FREE

Geeks To Go is a helpful hub, where thousands of volunteer geeks quickly serve friendly answers and support. Check out the forums and get free advice from the experts. Register now to gain access to all of our features, it's FREE and only takes one minute. Once registered and logged in, you will be able to create topics, post replies to existing threads, give reputation to your fellow members, get your own private messenger, post status updates, manage your profile and so much more.

Create Account How it Works
Photo

Hijack Logfile (Malware Nail Aurora and others?)


  • This topic is locked This topic is locked

#1
Statist

Statist

    Member

  • Member
  • PipPip
  • 13 posts
Your help is really appreciated! I tried everything to get rid of he Aurora Nail Malware but no sucess so far :tazz:

I am running Xp and am using Firefox and Internet Explorer. Again thanks for your suggestions!!

Here my hijack log

Logfile of HijackThis v1.99.1
Scan saved at 21:02:07, on 06.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\ycqirpp.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HarvEX\HarvEX.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\STAT\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zybvrb] c:\windows\system32\wgmhmis.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [gvirqb] c:\windows\system32\ycqirpp.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0 Professional\PDFConv\IEShellExt.dll /100
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-sec...m/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65DC7AFF-1467-4394-8778-7467688324B7}: NameServer = 145.253.2.11,145.253.2.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{65DC7AFF-1467-4394-8778-7467688324B7}: NameServer = 145.253.2.11,145.253.2.75
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
  • 0

Advertisements


#2
coachwife6

coachwife6

    SuperStar

  • Retired Staff
  • 11,413 posts
edited.

Edited by coachwife6, 06 July 2005 - 02:00 PM.

  • 0

#3
Statist

Statist

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts

edited.

View Post


:tazz: Do I miss something??
  • 0

#4
coachwife6

coachwife6

    SuperStar

  • Retired Staff
  • 11,413 posts
I replied to the wrong post. But I will try to take a look at it in a little while.
  • 0

#5
coachwife6

coachwife6

    SuperStar

  • Retired Staff
  • 11,413 posts
Download Ewido, install then from within the program check for updates BUT dont scan yet
ewido security suite: http://fileforum.bet...te/1098736486/1
When installing, under "Additional Options" uncheck "Install background guard" and "Install scan via context menu". When you run ewido for the first time, you will get a warning "Database could not be found!". Click OK.
We will fix this in a moment.
From the main ewido screen, click on update in the left menu, then click the Start update button.
After the update finishes (the status bar at the bottom will display "Update successful"), Now close the program.
Do NOT run a scan yet.

Notes: If you already have the program please make sure its version 3.5 you have and updated.
If the program just exits before it finishes start it again and set it up to do a custom scan:
Start the program click the scan button over to the left click custom scan, click add drive/directory/file
and add c:\documents and settings\
add c:\windows\
add c:\windows\system32\ also, then click start scan, have it remove everything found.

Please download Nailfix from here:
http://www.noidea.us...050515010747824
Unzip it to the desktop but please do NOT run it yet.

Next, please reboot your computer in Safe Mode by doing the following:
1) Restart your computer
2) After hearing your computer beep once during startup, but before the Windows icon appears, press F8.
3) Instead of Windows loading as normal, a menu should appear
4) Select the first option, to run Windows in Safe Mode.

For additional help in booting into Safe Mode, see the following site:
http://www.pchell.co.../safemode.shtml


Once in Safe Mode, please double-click on Nailfix.cmd. Your desktop and icons will disappear and reappear, and a window should open and close very quickly --- this is normal.

Then please run Ewido, and run a full scan. Save the logfile from the scan.

Next please run HijackThis, click Scan, and check:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [zybvrb] c:\windows\system32\wgmhmis.exe
O4 - HKLM\..\Run: [gvirqb] c:\windows\system32\ycqirpp.exe
r


Close all open windows except for HijackThis and click Fix Checked.

Restart your computer in normal mode and please post a new HijackThis log, as well as the log from the Ewido scan.
  • 0

#6
Statist

Statist

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts
Thanks for the detailed description!! Aurora however still pops up :tazz: .

I hope you have another idea, thanks for your help!!!

Here is Ewido Log:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:12:13, 20.07.2005
+ Report-Checksumme: D8EFD973

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{978C4EC7-60D1-4005-8CE0-D6A7169E36EA} -> Spyware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{978C4EC7-60D1-4005-8CE0-D6A7169E36EA}\ShellEx\PropertySheetHandlers\{978C4EC7-60D1-4005-8CE0-D6A7169E36EA} -> Spyware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{42F58F60-9299-4564-9ABD-8E9324844560} -> Spyware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{696D1AF8-D0FF-42FD-BD8D-D0B20D64F508} -> Spyware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{8FC08358-3634-44C7-A8F2-96DC7F39ACD2} -> Spyware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{DE53FA5D-11CC-4CB5-8D8E-EB5AA59C1E5A} -> Spyware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{E38924F7-F290-4C13-BEEC-E8C587F58128} -> Spyware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{FA82A7EC-2AFC-4EE0-8F83-3229F7C6437E} -> Spyware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{64440E59-A0DD-421C-AA4B-268141D764BB} -> Spyware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Var3.RsyncHlpr -> Spyware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Var3.RsyncHlpr\CLSID -> Spyware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Var3.RsyncHlpr\CurVer -> Spyware.Begin2Search : Gesäubert mit Backup
HKU\S-1-5-21-839522115-1202660629-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{16B238D5-80DE-47CE-8F17-B3ECE2C2248D} -> Spyware.Begin2Search : Gesäubert mit Backup
HKU\S-1-5-21-839522115-1202660629-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{22B720C7-5FA6-40A8-9F8F-8584BF669690} -> Spyware.Begin2Search : Gesäubert mit Backup
HKU\S-1-5-21-839522115-1202660629-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{302A3240-4805-4A34-97D7-1645A0B08410} -> Spyware.VX2 : Gesäubert mit Backup
HKU\S-1-5-21-839522115-1202660629-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D568F0F-8AC9-40AB-88B7-415134C78777} -> Spyware.Begin2Search : Gesäubert mit Backup
HKU\S-1-5-21-839522115-1202660629-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{52FE5233-367C-4EFB-BDD7-0BE4D212C107} -> Spyware.Begin2Search : Gesäubert mit Backup
HKU\S-1-5-21-839522115-1202660629-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{999A06FF-10EF-4A29-8640-69E99882C26B} -> Spyware.Begin2Search : Gesäubert mit Backup
HKU\S-1-5-21-839522115-1202660629-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} -> Spyware.Begin2Search : Gesäubert mit Backup
:mozilla.33:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
:mozilla.34:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
:mozilla.35:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.36:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.37:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.38:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.40:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.41:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.42:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.44:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.45:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.46:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.47:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.48:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.51:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.71:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
:mozilla.72:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
:mozilla.73:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
:mozilla.84:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Overture : Gesäubert mit Backup
:mozilla.85:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Overture : Gesäubert mit Backup
:mozilla.97:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup
:mozilla.98:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup
:mozilla.153:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.154:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.198:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup
:mozilla.205:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.206:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.207:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.208:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.209:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.210:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.211:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.213:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.214:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.215:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.216:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.217:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.264:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.265:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.266:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.267:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.270:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.271:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.272:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.273:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.274:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.275:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.276:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.277:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.278:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.279:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.280:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.281:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.282:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.283:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.284:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.285:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.301:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.302:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.303:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Webtrendslive : Gesäubert mit Backup
:mozilla.304:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.345:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.352:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Findwhat : Gesäubert mit Backup
:mozilla.390:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Pointroll : Gesäubert mit Backup
:mozilla.391:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Pointroll : Gesäubert mit Backup
:mozilla.392:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Pointroll : Gesäubert mit Backup
:mozilla.393:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Bluestreak : Gesäubert mit Backup
:mozilla.461:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Webtrendslive : Gesäubert mit Backup
:mozilla.465:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.466:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.468:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.480:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.483:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Serving-sys : Gesäubert mit Backup
:mozilla.484:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Serving-sys : Gesäubert mit Backup
:mozilla.485:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Serving-sys : Gesäubert mit Backup
:mozilla.486:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Serving-sys : Gesäubert mit Backup
:mozilla.487:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Serving-sys : Gesäubert mit Backup
:mozilla.518:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Bfast : Gesäubert mit Backup
:mozilla.519:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Bfast : Gesäubert mit Backup
:mozilla.566:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Coremetrics : Gesäubert mit Backup
:mozilla.572:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
:mozilla.573:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Fastclick : Gesäubert mit Backup
:mozilla.635:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Webtrendslive : Gesäubert mit Backup
:mozilla.640:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.641:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.642:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.643:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.644:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.705:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Questionmarket : Gesäubert mit Backup
:mozilla.706:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Ru4 : Gesäubert mit Backup
:mozilla.707:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Ru4 : Gesäubert mit Backup
:mozilla.755:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Adserver : Gesäubert mit Backup
:mozilla.756:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Adserver : Gesäubert mit Backup
:mozilla.757:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Adserver : Gesäubert mit Backup
:mozilla.767:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitslink : Gesäubert mit Backup
:mozilla.768:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitslink : Gesäubert mit Backup
:mozilla.769:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitslink : Gesäubert mit Backup
:mozilla.770:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitslink : Gesäubert mit Backup
:mozilla.793:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Spylog : Gesäubert mit Backup
:mozilla.836:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Comclick : Gesäubert mit Backup
:mozilla.837:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Comclick : Gesäubert mit Backup
:mozilla.838:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Comclick : Gesäubert mit Backup
:mozilla.845:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup
:mozilla.870:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\STAT\Cookies\stat@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\STAT\Cookies\stat@trafficmp[2].txt -> Spyware.Cookie.Trafficmp : Gesäubert mit Backup
C:\Dokumente und Einstellungen\STAT\Lokale Einstellungen\Temp\61NG8BCR.dll -> Adware.SAHA : Gesäubert mit Backup
C:\Dokumente und Einstellungen\STAT\Lokale Einstellungen\Temp\VP9IUG4Q.dll -> Adware.SAHA : Gesäubert mit Backup
C:\Dokumente und Einstellungen\STAT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\78RA23DW\abiuninst[1].exe -> Adware.BetterInternet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\STAT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\852789AJ\aurora[1].exe -> Adware.BetterInternet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\STAT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\852789AJ\Nail[1].exe -> Adware.BetterInternet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\STAT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H9ST3DE6\SS-dll-current[1].dll -> Spyware.SafeSurfing : Gesäubert mit Backup
C:\Dokumente und Einstellungen\STAT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HNZF1XOE\DrPMon[1].dll -> Adware.BetterInternet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\STAT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UXTMBYP8\Poller[1].exe -> Adware.BetterInternet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\STAT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UXTMBYP8\svcproc[1].exe -> Adware.BetterInternet : Gesäubert mit Backup
C:\WINDOWS\hajitqnpzi.exe -> Adware.BetterInternet : Gesäubert mit Backup
C:\WINDOWS\system32\COMMCOSS.DLL -> Spyware.SafeSurfing : Gesäubert mit Backup
C:\WINDOWS\system32\nhjeckg.exe -> Adware.BetterInternet : Gesäubert mit Backup
C:\WINDOWS\system32\rtneg3.dll -> Spyware.Beginto : Gesäubert mit Backup
C:\WINDOWS\system32\trgen.dll -> Spyware.HotBar : Gesäubert mit Backup


::Report Ende


and here the Hijack This log

Logfile of HijackThis v1.99.1
Scan saved at 14:29:30, on 20.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
c:\windows\system32\epfnzlj.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\GEARSec.exe
C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\STAT\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [fsetaew] c:\windows\system32\epfnzlj.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0 Professional\PDFConv\IEShellExt.dll /100
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-sec...m/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65DC7AFF-1467-4394-8778-7467688324B7}: NameServer = 145.253.2.11,145.253.2.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{65DC7AFF-1467-4394-8778-7467688324B7}: NameServer = 145.253.2.11,145.253.2.75
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Thanks again for your help!!!

Edited by Statist, 20 July 2005 - 11:50 AM.

  • 0

#7
coachwife6

coachwife6

    SuperStar

  • Retired Staff
  • 11,413 posts
You also have the epolvy trojan, and I will try to get back to you tonight with more information. :tazz:
  • 0

#8
coachwife6

coachwife6

    SuperStar

  • Retired Staff
  • 11,413 posts
Download Process Explorer from http://www.sysintern...ssExplorer.html

Run Process Explorer and find the Process in the list of Processes:
c:\windows\system32\epfnzlj.exe
Select the process and click Process > Suspend.

Then in HijackThis click Config > Misc Tools > Delete a file on reboot...
In the explorer Window select the file c:\windows\system32\epfnzlj.exe
When prompted if you want to reboot click YES
Leave Process explorer running with the process suspended.

After the reboot check the following items in HijackThis.
Close all windows except HijackThis and click Fix checked:


O4 - HKLM\..\Run: [fsetaew] c:\windows\system32\epfnzlj.exe r



REboot and post a new log and let me know how it's running.
  • 0

#9
Statist

Statist

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts

Download Process Explorer from http://www.sysintern...ssExplorer.html

Run Process Explorer and find the Process in the list of Processes:
c:\windows\system32\epfnzlj.exe
Select the process and click Process > Suspend.

Then in HijackThis click Config > Misc Tools > Delete a file on reboot...
In the explorer Window select the file c:\windows\system32\epfnzlj.exe
When prompted if you want to reboot click YES
Leave Process explorer running with the process suspended.

After the reboot check the following items in HijackThis.
Close all windows except HijackThis and click Fix checked:


O4 - HKLM\..\Run: [fsetaew] c:\windows\system32\epfnzlj.exe r



REboot and post a new log and let me know how it's running.

View Post


Unfortunately I could not find a process with the name you mentioned.
However I did find a process called woslze.exe that yielded no google results. Should I apply the changes you proposed to this file or a renamed one after the next reboot? Thanks again!!

PS: Screenshot of process explorer in attachment.

Attached Files


Edited by Statist, 22 July 2005 - 02:27 AM.

  • 0

#10
coachwife6

coachwife6

    SuperStar

  • Retired Staff
  • 11,413 posts
Give me a new log for hijack this and don't reboot until you hear back from me. I believe it is probably mutating each time you reboot. :tazz:

Please copy and paste next time. I don't like to open documents. ;)
  • 0

Advertisements


#11
Statist

Statist

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts

Give me a new log for hijack this and don't reboot until you hear back from me. I believe it is probably mutating each time you reboot.  :tazz:

Please copy and paste next time. I don't like to open documents.  ;)

View Post



Here comes the Hijack this log. Thanks for your help!

BTW is there any good way to prevent such infections? My Virus scanner (bitdefender does not even recognise the malware).



Logfile of HijackThis v1.99.1
Scan saved at 12:56:43, on 25.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
c:\windows\system32\ftarulb.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\System32\GEARSec.exe
C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\eDonkey2000\edonkey2000.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\hajitqnpzi.exe
C:\Dokumente und Einstellungen\STAT\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [squwgng] c:\windows\system32\ftarulb.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0 Professional\PDFConv\IEShellExt.dll /100
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-sec...m/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65DC7AFF-1467-4394-8778-7467688324B7}: NameServer = 145.253.2.11,145.253.2.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{65DC7AFF-1467-4394-8778-7467688324B7}: NameServer = 145.253.2.11,145.253.2.75
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
  • 0

#12
coachwife6

coachwife6

    SuperStar

  • Retired Staff
  • 11,413 posts
I'm working right now...give me about three hours. Don't reboot. ;)

Here is something you can do in the meantime:

1. Use ANY browser besides Internet Explorer, almost every exploit is crafted to take advantage of an IE weakness. We usually recommend FireFox Posted Image.

2. Install Sun's Java. It's much more secure than Microsoft's Java Virtual Machine .

3. We strongly recommend installing SpywareBlaster (it's free for personal use) Click Here.

Prevent the installation of ActiveX-based spyware, adware, browser hijackers, dialers, and other potentially unwanted pests.
Block spyware/tracking cookies in Internet Explorer and Mozilla/Firefox.
Restrict the actions of potentially dangerous sites in Internet Explorer.
Consumes no system resources.

Download, run, check for updates, download updates, select all, protect against checked. All done. Check for updates every couple of weeks. If you have any errors running the program like a missing file see the link at the bottom of the javacool page.

4. It's also very important to keep your system up to date to avoid unnecessary security risks. Click Here to make sure that you have the latest patches for Windows.

5. I also use adaware and a good firewall. :tazz:
  • 0

#13
coachwife6

coachwife6

    SuperStar

  • Retired Staff
  • 11,413 posts
Download Process Explorer from http://www.sysintern...ssExplorer.html

Run Process Explorer and find the Process in the list of Processes:\

O4 - HKLM\..\Run: [squwgng] c:\windows\system32\ftarulb.exe r

Select the process and click Process > Suspend.

Then in HijackThis click Config > Misc Tools > Delete a file on reboot...
In the explorer Window select the file c:\windows\system32\ftarulb.exe r
When prompted if you want to reboot click YES
Leave Process explorer running with the process suspended.

After the reboot check the following items in HijackThis.
Close all windows except HijackThis and click Fix checked:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [squwgng] c:\windows\system32\ftarulb.exe rxe r

b oot into safe mode:

please double-click on Nailfix.cmd. (you downloaded it previously and installed on your desktop)

Your desktop and icons will disappear and reappear, and a window should open and close very quickly --- this is normal.

run ewido and give me an ewido and hijack this log. :tazz:
  • 0

#14
Statist

Statist

    Member

  • Topic Starter
  • Member
  • PipPip
  • 13 posts

Download Process Explorer from http://www.sysintern...ssExplorer.html

Run Process Explorer and find the Process in the list of Processes:\




O4 - HKLM\..\Run: [squwgng] c:\windows\system32\ftarulb.exe r


I can only find the process but not the 04_HKLM view How can I find this view. Thanks!





Select the process and click Process > Suspend.

Then in HijackThis click Config > Misc Tools > Delete a file on reboot...
In the explorer Window select the file c:\windows\system32\ftarulb.exe r
When prompted if you want to reboot click YES
Leave Process explorer running with the process suspended.

After the reboot check the following items in HijackThis.
Close all windows except HijackThis and click Fix checked:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [squwgng] c:\windows\system32\ftarulb.exe rxe r

b oot into safe mode:

please double-click on Nailfix.cmd. (you downloaded it previously and installed on your desktop)

Your desktop and icons will disappear and reappear, and a window should open and close very quickly --- this is normal.

run ewido and give me an ewido and hijack this log.  :tazz:

View Post


  • 0

#15
coachwife6

coachwife6

    SuperStar

  • Retired Staff
  • 11,413 posts
I'm not following you. :tazz:
  • 0






Similar Topics

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

As Featured On:

Microsoft Yahoo BBC MSN PC Magazine Washington Post HP