Erst VirusBusters, jetzt SystemcrashThema ist geschlossen! |
|
---|---|
Thema ist geschlossen! |
|
16.12.2006, 13:20
Member
Themenstarter Beiträge: 12 |
|
|
|
16.12.2006, 13:36
Moderator
Beiträge: 7805 |
#17
Du sioehst, sauber ist das noch lange nicht! Nur um das Spamen des Rootkits zu unterbinden, nutze bitte gmer:
http://www.majorgeeks.com/GMER_d5198.html Einfach herunterladen, starten, scan druecken und wenn es dich fragt, ob es den Service und die Datei loeschen soll, bitte mit ja anworten. Danach bitte den Scanreport hier einstellen. __________ MfG Ralf SEO-Spam Hunter |
|
|
16.12.2006, 13:58
Member
Themenstarter Beiträge: 12 |
#18
Hallo,
GMER startet sofort mit der Warnung "GMER has found system modification which might have been caused by ROOTKIT activity. Scan Y/N". Es frägt mich aber nicht, ob ich einen Service/Datei löschen will. GMER endet mit der Meldung "GMER has fond system modification caused by ROOTKIT activity". Hier der Scanreport: GMER 1.0.12.12011 - http://www.gmer.net Rootkit scan 2006-12-16 13:55:24 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.12 ---- SYSENTER \??\C:\WINDOWS\system32:lzx32.sys AAFF2A1C Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.12 ---- .text ntkrnlpa.exe!Kei386EoiHelper + 4E0 8053D558 3 Bytes [ 41, 97, 6B ] .text tcpip.sys!IPTransmit + 10B7 AAF66CFA 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys .text tcpip.sys!IPTransmit + 24D9 AAF6811C 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys .text tcpip.sys!IPTransmit + 4662 AAF6A2A5 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys .text wanarp.sys F868B3FD 7 Bytes CALL AAFF47EF \??\C:\WINDOWS\system32:lzx32.sys ---- Services - GMER 1.0.12 ---- Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!! ---- Registry - GMER 1.0.12 ---- Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386\Security Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386\Security Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet011\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386\Security Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386\Enum Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\ControlSet012\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386\Security Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386\Enum Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl 0 Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath \??\C:\WINDOWS\system32:lzx32.sys Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName Win23 lzx files loader Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Group Base Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam 0x5E 0xCB 0x83 0x69 ... Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked 1 ---- Files - GMER 1.0.12 ---- ADS C:\WINDOWS\Feder.bmp:kxasa ADS C:\WINDOWS\Fächer.bmp:zysur ADS C:\WINDOWS\Kaffeetasse.bmp:cbmnrp ADS C:\WINDOWS\system32:lzx32.sys <-- ROOTKIT !!! ---- EOF - GMER 1.0.12 ---- Spamen tut das Teil immer noch. |
|
|
16.12.2006, 14:23
Moderator
Beiträge: 7805 |
|
|
|
16.12.2006, 16:18
Ehrenmitglied
Beiträge: 29434 |
#20
Steev
1. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:2. fixe mit dem HijackThis Zitat O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\awuxbxbb.dll (file missing)PC neustarten «« ADSSpy - anwenden und alle Streams, die angezeigt werden - loeschen http://virus-protect.org/artikel/tools/ADSSpy.exe ADS C:\WINDOWS\Feder.bmp:kxasa ADS C:\WINDOWS\Fächer.bmp:zysur ADS C:\WINDOWS\Kaffeetasse.bmp:cbmnrp ADS C:\WINDOWS\system32:lzx32.sys »» AVG Anti-Rootkit 1.0.0.13 Beta http://www.freewarefiles.com/program_9_90_22524.html ___________ dann wende den gmer noch mal an und berichte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
16.12.2006, 18:16
Member
Themenstarter Beiträge: 12 |
#21
Hallo,
das hat gezogen würd ich sagen :-) (ich konnte zwar vorher den Service mit GMER entfernen, aber nicht das File). 1. Avenger (konnte C:\WINDOWS\system32:lzx32.sys und C:\WINDOWS\system32\lzx32.sys nicht entfernen), hier das Log: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\dmybqmno ******************* Script file located at: \??\C:\pldfdikv.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\pe386 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\pe386 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\pe386 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\pe386 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 Status: 0xc0000034 Could not delete file C:\WINDOWS\system32:lzx32.sys Deletion of file C:\WINDOWS\system32:lzx32.sys failed! Could not process line: C:\WINDOWS\system32:lzx32.sys Status: 0xc0000033 File C:\WINDOWS\system32\lzx32.sys not found! Deletion of file C:\WINDOWS\system32\lzx32.sys failed! Could not process line: C:\WINDOWS\system32\lzx32.sys Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. 2. Hijackthis konnte die Einträge bis auf O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) entfernen (hab ich später mit SmitfraudFix entfernt) 3. ADSSpy: konnte alle gefundenen Streams entfernen. 4. AVG Anti-Rootkit 1.0.0.13 Beta --> konnte keine Rootkits mehr finden. Hier noch ein Combofix Log: Stephan - 06-12-16 18:15:17,68 Service Pack 2 ComboFix 06.11.27W - Running from: "D:\Eigene Dateien Stephan\Sonstiges\Tools\Virustools" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\QooBox\Purity\WINDOWS\system32\PPATCH~1 C:\QooBox\Purity\WINDOWS\system32\PPATCH~1\?hkntfs.exe ((((((((((((((((((((((((((((((( Files Created from 2006-11-16 to 2006-12-16 )))))))))))))))))))))))))))))))))) 2006-12-16 18:04 <DIR> dr-h----- C:\Dokumente und Einstellungen\Stephan\Recent 2006-12-16 17:53 3,800 --a------ C:\WINDOWS\system32\tmp.reg 2006-12-16 17:53 <DIR> d-------- C:\SmitfraudFix 2006-12-16 17:20 <DIR> d-------- C:\avenger 2006-12-16 13:49 80 --a------ C:\WINDOWS\gmer_uninstall.cmd 2006-12-15 23:27 668 --a------ C:\datFind.bat 2006-12-13 22:45 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2006-12-13 22:45 <DIR> d-------- C:\Programme\Grisoft 2006-12-13 07:34 <DIR> d-------- C:\Programme\CleanUp! 2006-11-30 22:53 <DIR> d-------- C:\Programme\iTunes 2006-11-30 22:51 <DIR> d-------- C:\Programme\Apple Software Update (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-12-16 18:07 -------- d-------- C:\Programme\Mozilla Firefox 2006-12-16 18:07 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-12-16 12:05 -------- d-------- C:\Programme\QuickTime 2006-12-12 19:56 -------- d-------- C:\Programme\Easy Internet signup 2006-12-10 14:11 -------- d-------- C:\Programme\Common Files 2006-11-30 22:53 -------- d-------- C:\Programme\iPod 2006-10-31 18:51 -------- d-------- C:\Programme\Google 2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "UpdateManager"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot" "PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe" "IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe" "SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe" "ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "kcvbuswh"="C:\\araegovw.bat" "T-DSL SpeedMgr"="\"C:\\Programme\\T-DSL SpeedManager\\SpeedMgr.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000004 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard" "{C671A733-A4AA-4B5F-8CEE-006242C457B5}"="" "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "ClearRecentDocsOnExit"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Stephan.job C:\WINDOWS\tasks\Symantec NetDetect.job Completion time: 06-12-16 18:15:37.15 C:\ComboFix.txt ... 06-12-16 18:15 C:\ComboFix2.txt ... 06-12-16 13:27 C:\ComboFix3.txt ... 06-12-16 12:56 5. GMER: Damit konnte ich dann endlich das File "C:\WINDOWS\system32:lzx32.sys" entfernen. Hier noch ein aktuelles HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 18:08:32, on 16.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\BrmfBAgS.exe C:\WINDOWS\system32\eTSrv.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\fxssvc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\SEC\MagicTune 2.5\GammaTray.exe C:\Programme\SEC\Natural Color\NaturalColorLoad.exe C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe D:\Eigene Dateien Stephan\Sonstiges\Tools\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: WSOBHOObj Class - {4D0B671C-7F9A-4516-B4DB-D30F3A12EE26} - C:\Programme\Aladdin\eToken\WSO\eTWSOBHO.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web Sign On - {46832FF5-95B5-4654-88F4-7F5F37AD1FC2} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [kcvbuswh] C:\araegovw.bat O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Color Calibration.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Web Sign On - {1A69BF73-60DD-49b7-9251-F7A7D7070940} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130605000171 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144265827890 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINDOWS\system32\eTSrv.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing) O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Ich habe jetzt zumindest den Eindruck das Spamen ist vorbei und das System läuft. Steev |
|
|
16.12.2006, 18:18
Ehrenmitglied
Beiträge: 29434 |
|
|
|
16.12.2006, 18:31
Member
Themenstarter Beiträge: 12 |
#23
Gmer schließt mit "no modifications found" ab und im Reiter Log kann ich keine Einträge finden.
Steev |
|
|
16.12.2006, 18:38
Ehrenmitglied
Beiträge: 29434 |
#24
da ist noch ein Purityscan-Trojaner auf dem Rechner, denke ich
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
16.12.2006, 18:45
Member
Themenstarter Beiträge: 12 |
#25
Hallo,
das kam dabei raus: Verzeichnis von C:\Programme\Common Files 10.12.2006 14:11 <DIR> . 10.12.2006 14:11 <DIR> .. 17.06.2006 19:14 <DIR> InstallShield 01.06.2005 20:55 <DIR> Microsoft Shared 11.12.2006 19:39 <DIR> S?mantec 0 Datei(en) 0 Bytes 5 Verzeichnis(se), 8.071.610.368 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 edit |
|
|
16.12.2006, 20:02
Ehrenmitglied
Beiträge: 29434 |
#26
wusste ichs doch
hier ist der Trojaner: C:\Programme\Common Files 11.12.2006 19:39 <DIR> S?mantec ------------------------- Versteckte- und Systemdateien sichtbar machen http://virus-protect.org/invisible.html im abgesicherten Modus, suche nach Datum und Uhrzeit, es wird kein Fragezeichen angezeigt werden, sondern kryptische zeichen, deshalb kann ich es auch nicht mit dem avenger loeschen lassen C:\Programme\Common Files 11.12.2006 19:39 S?mantec ______________________ bei der Gelegenheit deinstalliere gleich auch: C:\Programme\Warez P2P Client _________________________________________________________________ ich habe gesehen, dass du onlinebanking machst - das beste/sicherste waere, bei Gelegenheit zu formatieren...... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
17.12.2006, 16:08
Member
Themenstarter Beiträge: 12 |
#27
Hallo,
es war die Datei dvdplay.exe mit 70kB, keine kryptischen Zeichen. Beim Ausführen von Listen.bat ist der obige Eintrag jetzt weg. Danke nochmals für Deine Hilfe und bei nächster Gelegenheit zieh ich eine Neuinstallation durch. Steev |
|
|
da ist was schiefgelaufen. Hier nochmal:
Stephan - 06-12-16 13:26:51,65 Service Pack 2
ComboFix 06.11.27W - Running from: "D:\Eigene Dateien Stephan\Sonstiges\Tools\Virustools"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\QooBox\Purity\WINDOWS\system32\PPATCH~1
C:\QooBox\Purity\WINDOWS\system32\PPATCH~1\?hkntfs.exe
((((((((((((((((((((((((((((((( Files Created from 2006-11-16 to 2006-12-16 ))))))))))))))))))))))))))))))))))
2006-12-16 11:18 <DIR> d-------- C:\avenger
2006-12-16 11:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Stephan\Recent
2006-12-15 23:27 668 --a------ C:\datFind.bat
2006-12-13 22:45 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-12-13 22:45 <DIR> d-------- C:\Programme\Grisoft
2006-12-13 07:34 <DIR> d-------- C:\Programme\CleanUp!
2006-11-30 22:53 <DIR> d-------- C:\Programme\iTunes
2006-11-30 22:51 <DIR> d-------- C:\Programme\Apple Software Update
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]
2006-12-16 12:05 -------- d-------- C:\Programme\QuickTime
2006-12-16 11:26 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-16 11:18 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-12 19:56 -------- d-------- C:\Programme\Easy Internet signup
2006-12-10 14:11 -------- d-------- C:\Programme\Common Files
2006-11-30 22:53 -------- d-------- C:\Programme\iPod
2006-10-31 18:51 -------- d-------- C:\Programme\Google
2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"UpdateManager"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe"
"SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe"
"ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"kcvbuswh"="C:\\araegovw.bat"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
"{C671A733-A4AA-4B5F-8CEE-006242C457B5}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Stephan.job
C:\WINDOWS\tasks\Symantec NetDetect.job
Completion time: 06-12-16 13:27:13.51
Steev