Logfile of HijackThis v1.99.1
Scan saved at 15:02:13, on 25.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\ewido\security suite\SecuritySuite.exe
c:\windows\system32\yqzwvzi.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\STAT\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [xkdfer] c:\windows\system32\yqzwvzi.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0 Professional\PDFConv\IEShellExt.dll /100
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-sec...m/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65DC7AFF-1467-4394-8778-7467688324B7}: NameServer = 145.253.2.11,145.253.2.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{65DC7AFF-1467-4394-8778-7467688324B7}: NameServer = 145.253.2.11,145.253.2.75
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------
+ Erstellt am: 14:59:00, 25.07.2005
+ Report-Checksumme: A725270
+ Scanergebnis:
:mozilla.13:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
:mozilla.20:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.21:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.22:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.23:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.24:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.25:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.44:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.45:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.46:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.47:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.48:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.49:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.50:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.51:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
:mozilla.52:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
:mozilla.55:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.90:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
:mozilla.104:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup
:mozilla.149:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Sextracker : Gesäubert mit Backup
:mozilla.150:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Sextracker : Gesäubert mit Backup
:mozilla.151:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Sextracker : Gesäubert mit Backup
:mozilla.152:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Sextracker : Gesäubert mit Backup
:mozilla.153:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Paycounter : Gesäubert mit Backup
:mozilla.244:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.245:C:\Dokumente und Einstellungen\STAT\Anwendungsdaten\Mozilla\Firefox\Profiles\xz4lkzk5.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\STAT\Cookies\stat@trafficmp[1].txt -> Spyware.Cookie.Trafficmp : Gesäubert mit Backup
C:\WINDOWS\hajitqnpzi.exe -> Adware.BetterInternet : Gesäubert mit Backup
C:\WINDOWS\Nail.exe -> Adware.BetterInternet : Gesäubert mit Backup
C:\WINDOWS\svcproc.exe -> Adware.BetterInternet : Gesäubert mit Backup
C:\WINDOWS\system32\DrPMon.dll -> Adware.BetterInternet : Gesäubert mit Backup
C:\WINDOWS\system32\oypgbvx.exe -> Adware.BetterInternet : Gesäubert mit Backup
Aurora still pops up even in protected mode. This goddamm program logs everything I do and comes up with tailored ads . Nail.exe still in the logs.
How is this programm distributed via P2P networks? I am close to reformating the whole drive
Thanks!
PS: My former post was related to that I could only find the process and not the whole registry/directory path you specified. One of the processes did not turn up but a suspicous other one with the -r handle which I tried to fix.