Command Service - guard.tmp

command.exe
guard.tmp

command.exe, guard.tmp

HijackThis

O4 - HKLM\..\RunServicesOnce: [capscanuninstall] "C:\WINDOWS\command.com" /c del "C:\DOKUME~1\User\LOKALE~1\Temp\uninstal.exe"

Cleanup

L2mfix

HostsXpert.zip

Onlinescan

Spysweeper

F-Secure Black Light

01/03/06 00:20:27 [Info]: Hidden file: C:\WINDOWS\system32\drivers\i386p.sys
01/03/06 00:20:42 [Info]: Hidden file: C:\WINDOWS\system32\msctl32.dll

datfindbat

Verzeichnis von C:\WINDOWS\system32

06.11.2005  15:21         4.066.304 logonuiX.exe
06.11.2005  15:19           237.229 wbcsvc.dll
06.11.2005  15:18           235.437 r28slcl71fq.dll
06.11.2005  14:45           237.229 s2rslc971f.dll
06.11.2005  13:07           234.453 ckyptui.dll
05.11.2005  13:38           687.592 atmtd.dll
05.11.2005  13:38           687.592 atmtd.dll._

Verzeichnis von C:\WINDOWS
05.11.2005  18:10            42.736 icont.exe
10.08.2005  11:10            73.216 cadkasdeinst01.exe

Verzeichnis von C:\
05.11.2005  13:34           148.357 113_dollarrevenue_4_0_3_9.exe
25.10.2005  16:01               740 temp.html
02.07.2005  18:09            24.576 t5io.g
02.07.2005  17:49            28.672 t5io

L2mfix

deleting local copy: ckyptui.dll
deleting local copy: ihmpagnt.dll
deleting local copy: r28slcl71fq.dll
deleting local copy: guard.tmp

The following are the files found:
***********************************

C:\WINDOWS\system32\ckyptui.dll
C:\WINDOWS\system32\ihmpagnt.dll
C:\WINDOWS\system32\r28slcl71fq.dll
C:\WINDOWS\system32\guard.tmp

Gehe in die Registry
Start-->Ausführen--> regedit
bearbeiten--> suchen--> CMDSERVICE

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

datfindbat

Verzeichnis von C:\WINDOWS\system32

09.11.2005  16:21           236.582 guard.tmp
09.11.2005  16:20           236.582 pxrpnsp.dll
09.11.2005  14:41           235.147 en44l1hq1.dll
09.11.2005  13:59           236.582 ir80l5lm1.dll
08.11.2005  23:53           234.489 jvsh400.dll
08.11.2005  22:48           235.358 lv6809jue.dll
08.11.2005  22:39           234.667 k8pm0i71e8.dll
08.11.2005  22:29           234.272 k0lqla351d.dll
08.11.2005  21:51           235.467 irrml5911.dll
08.11.2005  20:57           234.542 l0p20a7oed.dll
08.11.2005  20:47           234.565 fpr2039oe.dll
08.11.2005  20:08           687.592 atmtd.dll._
08.11.2005  20:08           687.592 atmtd.dll
08.11.2005  20:07           236.135 g004ladq1d0e.dll

Verzeichnis von C:\WINDOWS
08.11.2005  20:10                 0 msresearch1.dat
08.11.2005  20:10            22.368 sp2update00.exe
08.11.2005  20:09                40 teller2.chk
08.11.2005  20:09                38 drsmartload.dat
08.11.2005  20:08            40.176 msresearch.exe
08.11.2005  20:05            23.936 drsmartload95a.exe
08.11.2005  20:05             9.376 x.exe
08.11.2005  20:05             6.518 spywareremoval.ico
08.11.2005  20:05             6.518 shopping.ico
08.11.2005  20:05             6.518 casino.ico
08.11.2005  20:05             6.518 adult.ico
08.11.2005  20:05                 0 hosts
08.11.2005  20:05            12.344 azesearch.bmp
08.11.2005  20:05            26.583 azebar.xml
08.11.2005  20:05            38.400 azesearch4.dll
09.10.2005  18:35            68.860 regular_plugin.exe
09.10.2005  18:35               104 banner.js
09.10.2005  18:35            12.800 azentretien.dll

Verzeichnis von C:\
08.11.2005  20:08            25.105 mte3ndi6odoxng.exe
08.11.2005  20:07            14.848 stub_113_4_0_4_0.exe
08.11.2005  20:06           578.560 installer.exe
08.11.2005  20:06            40.960 drsmartload.exe

Unknown Service # 2
Service Name: cmdService
Display Name: Command Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path:
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 3
Accept Pause: Falsch
Accept Stop: Falsch

HijackThis

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2Fza2lhIEVpY2gA\command.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UmFpbmVyIEtvY2g\command.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\QmF1bQ\command.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFydGluYQ\command.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFya3Vz\command.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Um9iIEJlcnQ\command.exe

C:\WINDOWS\TWFydGluYQ\command.exe
C:\WINDOWS\system32\dwdsregt.exe
C:\WINDOWS\system32\qwinlsaz.exe
C:\PROGRA~1\GEMEIN~1\zroq\zroqm.exe
C:\windows\system32\rkdsrego.exe

Verzeichnis von C:\WINDOWS\system32
30.12.2005 18:52 237.045 guard.tmp
30.12.2005 18:43 235.771 hr8m05l1e.dll
30.12.2005 13:21 237.045 l4p2le7o1h.dll
30.12.2005 13:07 236.740 lv6u09j9e.dll
02.11.2005 00:44 127.574 tsuninst.exe
10.10.2005 23:50 3.082 affv6628p1now.sys

Verzeichnis von C:\WINDOWS
30.12.2005 13:08 0 timessquare1.dat
29.12.2005 20:32 38 drsmartload.dat
29.12.2005 20:30 0 drsmartloadb1.dat
29.12.2005 20:30 40 teller2.chk
29.12.2005 20:29 1.024 ms1.exe
29.12.2005 20:29 2.033 hosts
29.12.2005 20:28 3.057 secure32.html
29.12.2005 20:28 0 uniq

Verzeichnis von C:\
29.12.2005 20:28 3.057 secure32.html

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
notepad files.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E479-4804

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web
29.12.2005 22:58 71.680 ibm00003.dll
29.12.2005 22:58 53.760 ibm00004.dll

Verzeichnis von C:\Programme\Gemeinsame Dateien

29.12.2005 23:43 okqf

Adware:Adware/Look2Me C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\ Content.IE5\8XAV4PYB\AppWrap[2].exe

Adware:Adware/CommAd C:\WINDOWS\TWFya3Vz\command.exe

Adware:Adware/CommAd C:\WINDOWS\TWFya3Vz\asappsrv.dll

Adware:adware/commad C:\WINDOWS\SYSTEM32\atmtd.dll

CmdServices

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{a394e835-c8d6-4b4b-884b-d2709059f3be}
HKEY_LOCAL_MACHINE\system\controlset001\services\cmdservice
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\cmdservice
HKEY_CLASSES_ROOT\toolband.xbtb04715.1
HKEY_CLASSES_ROOT\xbtb04715.ietoolbar
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\xbtb04715.xbtb04715toolbar
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser\{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F}
HKEY_LOCAL_MACHINE\software\microsoft\downloadmanager

Adware.Freeprod Toolbar - iexplore.exe

HKEY_CURRENT_USER\software\microsoft\internet explorer\main\featurecontrol\feature_localmachine_lockdown

Adware.Freeprod Toolbar

S-1-5-21-1454471165-651377827-725345543-500\software\microsoft\internet explorer\ toolbar\Webbrowser\{77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f}

C:\Programme\Gemeinsame Dateien\InetGet
C:\Programme\Gemeinsame Dateien\Windows
C:\Programme\Toolbar888
C:\WINDOWS\SG9tZXIgU2ltcHNvbg\asappsrv.dll

C:\WINDOWS\system32\wqapi.dll
C:\WINDOWS\system32\jtno0753e.dll
C:\WINDOWS\system32\guard.tmp

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\id.id
C:\WINDOWS\System32\wbem\logs\wbemess.log
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tsinstall_4_0_4_0_b4.exe
C:\WINDOWS\System32\tsuninst.exe --> Targetsaver
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmdinst.exe
C:\WINDOWS\System32\cmdinst.exe
Comments : This installation was built with Inno Setup: http://www.innosetup.com

Link: Command

Sicherheit im InterNet

command.exe, guard.tmp

command.exe guard.tmp

command.exe, guard.tmp

CmdServices

command.exe
guard.tmp