security center "fake" balloon tip ..."your computer might be at risk"

#1 Hallo, hoffe mal auf hilfe, da ich grad echt am verzweifeln bin.
habe mir irgendwas eingefangen das ich nicht wieder los werde.

Symptome:

Zuerst eine Virenmeldung von AntiVir Personal: 14.01.2005,15:35:26 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Inapsol.1!
C:\WINDOWS\SYSTEM32\302.EXE

Hab ich von AntiVir Löschen lassen.

Dann kamen in unregelmäßigen Abständen Balloon Tips vom Security Center die aber wie ich weiss nicht von Microsoft stammen.

"Your computer might be at risk...

es folgen PopUps von Strip Poker Seiten, oder Popups die zum download von software auffordern, oder ein "Sicherheitshinweis" das spyware auf dem Rechner wäre.

Ok...AdAware, Spybot und AntiVir finden nix mehr. Hab bereits mit Hijack Einträge wie O15 - Trusted Zone: http://*.63.219.181.7 gefixt.
(kommt aber von Zeit zu Zeit wieder.)

Hab m it XPClean alle temp einträge gelöscht und so....hilft alles nichts...kommt immer wieder in unregelmäßigen abständen...

Hier mal ein Hijack log wo der eintrag mit der trusted zone drin ist:

Logfile of HijackThis v1.99.0
Scan saved at 15:38:27, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\progra~1\samsung\smarthru\PORTCTRL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\usrshutd.exe
C:\WINDOWS\system32\winmsdc.exe
C:\WINDOWS\system32\vwipxspnt.exe
C:\WINDOWS\system32\tlntadmnx.exe
E:\Downloads\HijackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.1:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [GW Port Controller] c:\progra~1\samsung\smarthru\PORTCTRL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092623716315
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

und hier ein aktueller von heute nach einem fix dieses eintrags (problem besteht aber trotzdem weiter):

Logfile of HijackThis v1.99.0
Scan saved at 11:40:00, on 15.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\progra~1\samsung\smarthru\PORTCTRL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\usrshutd.exe
C:\WINDOWS\system32\winmsdc.exe
C:\WINDOWS\system32\vwipxspnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Downloads\HijackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.1:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [GW Port Controller] c:\progra~1\samsung\smarthru\PORTCTRL.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092623716315
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


hoffe mir kann jemand helfen, habe nämlich wenig lust meinen rechner neu aufzusetzen !! hab zu dem thema durchaus was im netz gefunden, aber alles in englisch, zudem scheint das problem bei jedem etwas anders zu sein wenn es überhaupt gelöst wurde.

(PS.: falls jemand andere scans mit anderen tools benötigt, seid bitte so nett und postet mir einen link wo ich das tool bekommen kann, bin da alles andere profi)

vielen Dank im vorraus

Highfive

#2 AdAware und Spybot S&D hast du, gut. Dann besorge dir nun noch eScan (http://www.mwti.net/). Scanne mit allen 3 Tools im abgesicherten Modus.
Sollte eScan etwas finden: log speichern -> mit Editor öffnen -> nach "infected" suchen -> betroffene Zeilen hier im Forum posten (Datei, kompletter Pfad, Art der Infektion)

Kennst du diese Programme:
C:\progra~1\samsung\smarthru\PORTCTRL.EXE
C:\WINDOWS\system32\usrshutd.exe
C:\WINDOWS\system32\winmsdc.exe
C:\WINDOWS\system32\vwipxspnt.exe
O4 - HKLM\..\Run: [GW Port Controller] c:\progra~1\samsung\smarthru\PORTCTRL.EXE
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Dir unbekannte Einträge sind zu fixen.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#3 hallo malkesh,

O4 - HKLM\..\Run: [GW Port Controller] c:\progra~1\samsung\smarthru\PORTCTRL.EXE
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

sind bekannt und OK, drucker, scanner und pdf converter

wenn du mir nun noch sagst wie ich die einträge

C:\WINDOWS\system32\usrshutd.exe
C:\WINDOWS\system32\winmsdc.exe
C:\WINDOWS\system32\vwipxspnt.exe

fixe ??? ...das geht nicht mit hijack und in den system prozessen tauchen die nicht auf.

welche 3 tools von eScan meinst du ? und gibt es die auch als free oder shareware ? finde auf der seite nur kauf software.

danke für die antwort

Highfive

#4 eScan: http://www.mwti.net/antivirus/free_utilities.asp

C:\WINDOWS\system32\usrshutd.exe
C:\WINDOWS\system32\winmsdc.exe
C:\WINDOWS\system32\vwipxspnt.exe
Diese Einträge waren laufende Prozesse, macht also nichts wenn du zu dem Zeutpunkt wo du sie fixen wolltest nicht liefen.

Dann scanne erst mal und teile das Ergebnis mit (AdAware, Spybot S&D, eScan im abgesicherten Modus, wie oben beschrieben)
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#5 hallo malkesh,

hier nochmal die logs von eScan und ein nues Hijack log

Sat Jan 15 13:10:20 2005 => **********************************************************
Sat Jan 15 13:10:20 2005 => eScan AntiVirus Toolkit Utility.
Sat Jan 15 13:10:20 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sat Jan 15 13:10:20 2005 => **********************************************************
Sat Jan 15 13:10:20 2005 => Version 4.6.2 (C:\Programme\eScan\mwavscan.com)
Sat Jan 15 13:10:20 2005 => Log File: C:\PROGRA~1\eScan\LOG\MWAV.LOG
Sat Jan 15 13:10:20 2005 => Command Line Options Given: /MEM /REG /STARTUP /SER /SC /S
Sat Jan 15 13:10:20 2005 => Database Path in KL Key: C:\PROGRA~1\eScan.
Sat Jan 15 13:10:20 2005 => Latest Date of files in KL key: 15 Jan 2005 13:01:03.
Sat Jan 15 13:10:20 2005 => Latest Date of files inside MWAV: 15 Jan 2005 13:01:03.
Sat Jan 15 13:10:20 2005 => eScan Install Directory: C:\PROGRA~1\eScan\
Sat Jan 15 13:10:20 2005 => MailScan Install Directory: C:\PROGRA~1\eScan\
Sat Jan 15 13:10:21 2005 => AV Library Loaded...

Sat Jan 15 13:10:21 2005 => **********************************************************
Sat Jan 15 13:10:21 2005 => eScan AntiVirus Toolkit Utility.
Sat Jan 15 13:10:21 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sat Jan 15 13:10:21 2005 =>
Sat Jan 15 13:10:21 2005 => Support: support@mwti.net
Sat Jan 15 13:10:21 2005 => Web: http://www.mwti.net
Sat Jan 15 13:10:21 2005 => **********************************************************
Sat Jan 15 13:10:21 2005 => Version 4.6.2 (C:\Programme\eScan\mwavscan.com)
Sat Jan 15 13:10:21 2005 => Log File: C:\PROGRA~1\eScan\LOG\MWAV.LOG
Sat Jan 15 13:10:21 2005 => Database Path in KL Key: C:\PROGRA~1\eScan.
Sat Jan 15 13:10:21 2005 => Latest Date of files in KL key: 15 Jan 2005 13:01:03.
Sat Jan 15 13:10:21 2005 => Latest Date of files inside MWAV: 15 Jan 2005 13:01:03.

Sat Jan 15 13:10:21 2005 => Options Selected by User:
Sat Jan 15 13:10:21 2005 => Memory Check: Enabled
Sat Jan 15 13:10:21 2005 => Registry Check: Enabled
Sat Jan 15 13:10:21 2005 => StartUp Folder Check: Enabled
Sat Jan 15 13:10:21 2005 => System Folder Check: Disabled
Sat Jan 15 13:10:21 2005 => System Area Check: Disabled
Sat Jan 15 13:10:21 2005 => Services Check: Enabled
Sat Jan 15 13:10:21 2005 => Drive Check Option Disabled
Sat Jan 15 13:10:21 2005 => Folder Check: Disabled

Sat Jan 15 13:10:21 2005 => ***** Scanning Memory Files *****
Sat Jan 15 13:10:21 2005 => Scanning File C:\WINDOWS\SYSTEM32\CSRSS.EXE
Sat Jan 15 13:10:21 2005 => Scanning File C:\WINDOWS\SYSTEM32\WINLOGON.EXE
Sat Jan 15 13:10:21 2005 => Scanning File C:\WINDOWS\System32\smss.exe
Sat Jan 15 13:10:21 2005 => Scanning File C:\PROGRA~1\eScan\msvlclnt.dll
Sat Jan 15 13:10:21 2005 => Scanning File C:\Programme\eScan\escanwin.exe
Sat Jan 15 13:10:22 2005 => Scanning File C:\Programme\eScan\ipc.dll
Sat Jan 15 13:10:22 2005 => Scanning File C:\Programme\eScan\kavss.dll
Sat Jan 15 13:10:22 2005 => Scanning File C:\Programme\eScan\kavss.exe
Sat Jan 15 13:10:22 2005 => Scanning File C:\Programme\eScan\kavssd.dll
Sat Jan 15 13:10:22 2005 => Scanning File C:\Programme\eScan\kavssdi.dll
Sat Jan 15 13:10:22 2005 => Scanning File C:\Programme\eScan\kavssi.dll
Sat Jan 15 13:10:22 2005 => Scanning File C:\Programme\eScan\msvlclnt.dll
Sat Jan 15 13:10:22 2005 => Scanning File C:\Programme\eScan\mwavscan.com
Sat Jan 15 13:10:22 2005 => Scanning File C:\WINDOWS\AppPatch\AcGenral.DLL
Sat Jan 15 13:10:22 2005 => Scanning File C:\WINDOWS\Explorer.EXE
Sat Jan 15 13:10:22 2005 => Scanning File C:\WINDOWS\system32\ADVAPI32.dll
Sat Jan 15 13:10:22 2005 => Scanning File C:\WINDOWS\system32\Apphelp.dll
Sat Jan 15 13:10:22 2005 => Scanning File c:\windows\system32\ATL.DLL
Sat Jan 15 13:10:22 2005 => Scanning File C:\WINDOWS\system32\AUTHZ.dll
Sat Jan 15 13:10:22 2005 => Scanning File C:\WINDOWS\system32\basesrv.dll
Sat Jan 15 13:10:22 2005 => Scanning File C:\WINDOWS\system32\browselc.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\BROWSEUI.dll
Sat Jan 15 13:10:23 2005 => Scanning File c:\windows\system32\certcli.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\CLBCATQ.DLL
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\COMCTL32.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\comdlg32.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\COMRes.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\credui.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\CRYPT32.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\cryptdll.dll
Sat Jan 15 13:10:23 2005 => Scanning File c:\windows\system32\cryptsvc.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\CRYPTUI.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\cscdll.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\cscui.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\CSRSRV.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\System32\davclnt.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\DNSAPI.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\System32\drprov.dll
Sat Jan 15 13:10:23 2005 => Scanning File c:\windows\system32\ESENT.dll
Sat Jan 15 13:10:23 2005 => Scanning File C:\WINDOWS\system32\eventlog.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\GDI32.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\HHCTRL.OCX
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\hnetcfg.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\IMAGEHLP.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\iphlpapi.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\kerberos.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\KERNEL32.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\LINKINFO.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\LSASRV.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\lsass.exe
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\MLANG.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\MPR.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\MSACM32.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\MSASN1.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\MSGINA.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\msi.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\System32\MSIMG32.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\msprivs.dll
Sat Jan 15 13:10:24 2005 => Scanning File C:\WINDOWS\system32\msv1_0.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\MSVCP60.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\msvcrt.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\mswsock.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\mui\0007\HHCTRLui.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\mwtsp.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\NCObjAPI.DLL
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\NDdeApi.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\NETAPI32.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\netlogon.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\System32\NETRAP.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\NETSHELL.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\System32\NETUI0.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\System32\NETUI1.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\ntdll.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\NTDSAPI.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\System32\ntlanman.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\NTMARTA.DLL
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\ntshrui.dll
Sat Jan 15 13:10:25 2005 => Scanning File C:\WINDOWS\system32\ODBC32.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\odbcint.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\ole32.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\OLEAUT32.dll
Sat Jan 15 13:10:26 2005 => Scanning File c:\windows\system32\POWRPROF.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\PROFMAP.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\PSAPI.DLL
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\rasadhlp.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\REGAPI.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\RICHED20.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\RICHED32.DLL
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\RPCRT4.dll
Sat Jan 15 13:10:26 2005 => Scanning File c:\windows\system32\rpcss.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\rsaenh.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\rtutils.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\SAMLIB.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\SAMSRV.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\scecli.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\SCESRV.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\schannel.dll
Sat Jan 15 13:10:26 2005 => Scanning File C:\WINDOWS\system32\Secur32.dll
Sat Jan 15 13:10:27 2005 => Scanning File C:\WINDOWS\system32\services.exe
Sat Jan 15 13:10:27 2005 => Scanning File C:\WINDOWS\system32\SETUPAPI.dll
Sat Jan 15 13:10:27 2005 => Scanning File C:\WINDOWS\system32\sfc.dll
Sat Jan 15 13:10:27 2005 => Scanning File C:\WINDOWS\system32\sfc_os.dll
Sat Jan 15 13:10:27 2005 => Scanning File C:\WINDOWS\system32\shdoclc.dll
Sat Jan 15 13:10:27 2005 => Scanning File C:\WINDOWS\system32\SHDOCVW.dll
Sat Jan 15 13:10:27 2005 => Scanning File C:\WINDOWS\system32\SHELL32.dll
Sat Jan 15 13:10:27 2005 => Scanning File C:\WINDOWS\System32\shgina.dll
Sat Jan 15 13:10:27 2005 => Scanning File C:\WINDOWS\system32\ShimEng.dll
Sat Jan 15 13:10:27 2005 => Scanning File C:\WINDOWS\system32\SHLWAPI.dll
Sat Jan 15 13:10:27 2005 => Scanning File C:\WINDOWS\system32\SHSVCS.dll
Sat Jan 15 13:10:27 2005 => Scanning File C:\WINDOWS\system32\SPORDER.dll
Sat Jan 15 13:10:28 2005 => Scanning File c:\windows\system32\srsvc.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\system32\sxs.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\System32\themeui.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\system32\umpnpmgr.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\system32\urlmon.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\system32\USER32.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\system32\USERENV.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\system32\UxTheme.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\system32\VDMDBG.DLL
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\system32\VERSION.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\system32\VSSAPI.DLL
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\system32\w32time.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\System32\wbem\esscli.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\System32\wbem\FastProx.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\System32\wbem\ncprov.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\System32\wbem\repdrvfs.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\System32\wbem\wbemcomn.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\System32\wbem\wbemcore.dll
Sat Jan 15 13:10:28 2005 => Scanning File C:\WINDOWS\System32\wbem\wbemess.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\System32\wbem\wmiprvsd.dll
Sat Jan 15 13:10:29 2005 => Scanning File c:\windows\system32\wbem\wmisvc.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\System32\wbem\wmiutils.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\wdigest.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\wiashext.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\WININET.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\WINMM.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\System32\winrnr.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\WinSCard.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\WINSPOOL.DRV
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\winsrv.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\WINSTA.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\WINTRUST.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\WLDAP32.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\WlNotify.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\WS2_32.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\system32\WS2HELP.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\System32\wshisn.dll
Sat Jan 15 13:10:29 2005 => Scanning File C:\WINDOWS\System32\wshtcpip.dll
Sat Jan 15 13:10:30 2005 => Scanning File C:\WINDOWS\system32\WSOCK32.dll
Sat Jan 15 13:10:30 2005 => Scanning File C:\WINDOWS\system32\WTSAPI32.dll
Sat Jan 15 13:10:30 2005 => Scanning File C:\WINDOWS\system32\xpsp2res.dll
Sat Jan 15 13:10:30 2005 => Scanning File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
Sat Jan 15 13:10:30 2005 => Scanning File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82\gdiplus.dll

Sat Jan 15 13:10:30 2005 => ***** Scanning Registry Files *****

Sat Jan 15 13:10:30 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Sat Jan 15 13:10:30 2005 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction ***
Sat Jan 15 13:10:30 2005 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**]
Sat Jan 15 13:10:30 2005 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction ***
Sat Jan 15 13:10:30 2005 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**]
Sat Jan 15 13:10:30 2005 => Scanning File C:\WINDOWS\System32\webcheck.dll
Sat Jan 15 13:10:30 2005 => Scanning File C:\WINDOWS\System32\stobject.dll

Sat Jan 15 13:10:30 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
Sat Jan 15 13:10:30 2005 => {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
Sat Jan 15 13:10:30 2005 => Scanning File C:\PROGRA~1\Adobe\ACROBA~2.0\Acrobat\ActiveX\ACROIE~1.DLL
Sat Jan 15 13:10:30 2005 => {53707962-6F74-2D53-2644-206D7942484F} = C:\PROGRA~1\SPYBOT~1\SDHelper.dll
Sat Jan 15 13:10:30 2005 => Scanning File C:\PROGRA~1\SPYBOT~1\SDHelper.dll
Sat Jan 15 13:10:30 2005 => {AB4B115E-8D3C-4B7A-86E2-968BAF773CEE} = C:\WINDOWS\system32\msved.dll
Sat Jan 15 13:10:30 2005 => Scanning File C:\WINDOWS\system32\msved.dll
Sat Jan 15 13:10:30 2005 => {AE7CD045-E861-484f-8273-0445EE161910} = C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
Sat Jan 15 13:10:30 2005 => Scanning File C:\PROGRA~1\Adobe\ACROBA~2.0\Acrobat\ACROIE~1.DLL

Sat Jan 15 13:10:30 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sat Jan 15 13:10:30 2005 => Scanning File C:\Programme\D-Tools\daemon.exe
Sat Jan 15 13:10:30 2005 => Scanning File C:\PROGRA~1\MOTHER~1\MBM5.EXE
Sat Jan 15 13:10:31 2005 => Scanning File C:\WINDOWS\system32\RUNDLL32.EXE
Sat Jan 15 13:10:31 2005 => Scanning File C:\WINDOWS\system32\nwiz.exe
Sat Jan 15 13:10:31 2005 => Scanning File E:\Programme\QuickTime\qttask.exe
Sat Jan 15 13:10:31 2005 => Scanning File C:\WINDOWS\system32\RUNDLL32.EXE
Sat Jan 15 13:10:31 2005 => Scanning File C:\WINDOWS\system32\dumprep.exe
Sat Jan 15 13:10:31 2005 => Scanning File C:\Programme\Logitech\Video\ISStart.exe
Sat Jan 15 13:10:31 2005 => Scanning File C:\Programme\Logitech\Video\LogiTray.exe
Sat Jan 15 13:10:31 2005 => Scanning File c:\progra~1\samsung\smarthru\PORTCTRL.EXE
Sat Jan 15 13:10:31 2005 => Scanning File C:\WINDOWS\system32\LVCOMSX.EXE
Sat Jan 15 13:10:31 2005 => Scanning File C:\Programme\FreePDF_XP\fpassist.exe
Sat Jan 15 13:10:31 2005 => Scanning File C:\Programme\Logitech\iTouch\iTouch.exe
Sat Jan 15 13:10:31 2005 => Scanning File C:\WINDOWS\Logi_MwX.Exe
Sat Jan 15 13:10:31 2005 => Scanning File C:\WINDOWS\system32\sp2chk.exe
Sat Jan 15 13:10:31 2005 => Scanning File C:\Programme\AVPersonal\AVGNT.EXE
Sat Jan 15 13:10:31 2005 => Scanning File C:\Programme\eScan\LAUNCH.EXE
Sat Jan 15 13:10:31 2005 => Scanning File C:\PROGRA~1\eScan\TRAYICOS.EXE
Sat Jan 15 13:10:32 2005 => Scanning File C:\PROGRA~1\eScan\AVPMWrap.EXE

Sat Jan 15 13:10:32 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Sat Jan 15 13:10:32 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Sat Jan 15 13:10:32 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Sat Jan 15 13:10:32 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sat Jan 15 13:10:32 2005 => Scanning File C:\WINDOWS\System32\CTFMON.EXE

Sat Jan 15 13:10:32 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Sat Jan 15 13:10:32 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Sat Jan 15 13:10:32 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Sat Jan 15 13:10:32 2005 => Scanning HKCR\txtfile\shell\open\command
Sat Jan 15 13:10:32 2005 => Scanning File C:\WINDOWS\system32\NOTEPAD.EXE

Sat Jan 15 13:10:32 2005 => Scanning HKCR\comfile\shell\open\command

Sat Jan 15 13:10:32 2005 => Scanning HKCR\exefile\shell\open\command

Sat Jan 15 13:10:32 2005 => Scanning HKCR\dllfile\shell\open\command

Sat Jan 15 13:10:32 2005 => Scanning HKCR\batfile\shell\open\command

Sat Jan 15 13:10:32 2005 => Scanning HKCR\piffile\shell\open\command

Sat Jan 15 13:10:32 2005 => Scanning HKCR\scrfile\shell\open\command

Sat Jan 15 13:10:32 2005 => Scanning HKCR\scrfile\shell\config\command

Sat Jan 15 13:10:32 2005 => Scanning HKCR\regfile\shell\open\command

Sat Jan 15 13:10:32 2005 => Scanning HKCR\htmlfile\shell\open\command
Sat Jan 15 13:10:32 2005 => Scanning File C:\PROGRA~1\INTERN~1\iexplore.exe

Sat Jan 15 13:10:32 2005 => Scanning HKCR\htafile\shell\open\command
Sat Jan 15 13:10:32 2005 => Scanning File C:\WINDOWS\System32\mshta.exe

Sat Jan 15 13:10:32 2005 => Scanning HKCR\jsfile\shell\open\command
Sat Jan 15 13:10:32 2005 => *** File C:\PROGRA~1\MACROM~1\DREAMW~1\DREAMW~1.EXE having Size Restriction ***
Sat Jan 15 13:10:32 2005 => Scanning File C:\PROGRA~1\MACROM~1\DREAMW~1\DREAMW~1.EXE [**]

Sat Jan 15 13:10:32 2005 => Scanning HKCR\jsefile\shell\open\command
Sat Jan 15 13:10:32 2005 => Scanning File C:\WINDOWS\System32\WScript.exe

Sat Jan 15 13:10:32 2005 => Scanning HKCR\vbsfile\shell\open\command
Sat Jan 15 13:10:32 2005 => Scanning File C:\WINDOWS\System32\WScript.exe

Sat Jan 15 13:10:32 2005 => Scanning HKCR\vbefile\shell\open\command
Sat Jan 15 13:10:32 2005 => Scanning File C:\WINDOWS\System32\WScript.exe

Sat Jan 15 13:10:32 2005 => Scanning HKCR\wshfile\shell\open\command
Sat Jan 15 13:10:32 2005 => Scanning File C:\WINDOWS\System32\WScript.exe

Sat Jan 15 13:10:32 2005 => Scanning HKCR\wsffile\shell\open\command
Sat Jan 15 13:10:32 2005 => Scanning File C:\WINDOWS\System32\WScript.exe

Sat Jan 15 13:10:32 2005 => ***** Scanning StartUp Folders *****

Sat Jan 15 13:10:32 2005 => ***** Scanning C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart Folder *****
Sat Jan 15 13:10:33 2005 => Scanning Folder: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\*.*
Sat Jan 15 13:10:33 2005 => Scanning File C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\desktop.ini [**]

Sat Jan 15 13:10:33 2005 => ***** Scanning C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Folder *****
Sat Jan 15 13:10:33 2005 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\*.*
Sat Jan 15 13:10:33 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk [**]
Sat Jan 15 13:10:33 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk [**]
Sat Jan 15 13:10:33 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini [**]
Sat Jan 15 13:10:33 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk [**]

Sat Jan 15 13:10:33 2005 => ***** Scanning Service Files *****
Sat Jan 15 13:10:33 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ACPI.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\drivers\aec.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\System32\drivers\afd.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\System32\alg.exe
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\amdk7.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\Programme\AVPersonal\AVGUARD.EXE
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\asyncmac.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\atapi.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\atmarpc.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\audstub.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\PROGRAMME\AVPERSONAL\AVGNTDD.SYS
Sat Jan 15 13:10:33 2005 => Scanning File C:\Programme\AVPersonal\AVWUPSRV.EXE
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\Drivers\Brfilt.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\System32\brsvc01a.exe
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\Drivers\BrSerWdm.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\Drivers\BrUsbMdm.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\Drivers\BrUsbScn.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\cdrom.sys
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\cisvc.exe
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\clipsrv.exe
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\System32\dllhost.exe
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Sat Jan 15 13:10:33 2005 => Scanning File C:\WINDOWS\system32\Drivers\DgiVecp.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\disk.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\System32\dmadmin.exe
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\drivers\dmboot.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\drivers\dmio.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\drivers\dmload.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\drivers\DMusic.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\drivers\drmkaud.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\xcrdisk.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\drivers\es1371mp.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\PROGRA~1\eScan\TRAYSSER.EXE
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\services.exe
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\fxssvc.exe
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\fdc.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\flpydisk.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\drivers\fltmgr.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ftdisk.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\drivers\fwdrv.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\gameenum.sys
Sat Jan 15 13:10:34 2005 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\highfive\LOKALE~1\Temp\gkmixern.sys in SYSTEM\CurrentControlSet\Services\gkmixern...
Sat Jan 15 13:10:34 2005 => ERROR!!! Invalid Entry \??\H:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI...
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\msgpc.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\hidusb.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\Drivers\HTTP.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\i8042prt.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\imapi.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\System32\imapi.exe
Sat Jan 15 13:10:34 2005 => ERROR!!! Invalid Entry System32\DRIVERS\imounter.sys in SYSTEM\CurrentControlSet\Services\im_bus...
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\drivers\ip6fw.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ipinip.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ipnat.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ipsec.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\irenum.sys
Sat Jan 15 13:10:34 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\isapnp.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\itchfltr.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\PROGRA~1\eScan\avpm.exe
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\kbdclass.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\kbdhid.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\SYSTEM32\DRIVERS\KLIF.SYS
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\drivers\kmixer.sys
Sat Jan 15 13:10:35 2005 => *** File C:\PROGRA~1\Kerio\PERSON~1\kpf4ss.exe having Size Restriction ***
Sat Jan 15 13:10:35 2005 => Scanning File C:\PROGRA~1\Kerio\PERSON~1\kpf4ss.exe [**]
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\Drivers\l8042pr2.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\Drivers\LCcFltr.Sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\LHidFlt2.Sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\Drivers\LHidUsb.Sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\Drivers\LMouFlt2.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\SYSTEM32\MBMIODRVR.SYS
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\mf.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\System32\mnmsrvc.exe
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\mouclass.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\mouhid.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\mrxdav.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\System32\msdtc.exe
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\System32\msiexec.exe
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\drivers\MSKSSRV.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\drivers\MSPCLOCK.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\drivers\MSPQM.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\mssmbios.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\drivers\MSTEE.sys
Sat Jan 15 13:10:35 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\NdisIP.sys
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ndistapi.sys
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Sat Jan 15 13:10:36 2005 => ERROR!!! Invalid Entry System32\DRIVERS\genelan.sys in SYSTEM\CurrentControlSet\Services\Ndisusb...
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ndiswan.sys
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\netbios.sys
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\netbt.sys
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\system32\netdde.exe
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\system32\netdde.exe
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\System32\lsass.exe
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ngrpci.sys
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\System32\lsass.exe
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Sat Jan 15 13:10:36 2005 => *** File C:\WINDOWS\system32\DRIVERS\nv4_mini.sys having Size Restriction ***
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [**]
Sat Jan 15 13:10:36 2005 => Scanning File C:\WINDOWS\system32\nvsvc32.exe
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\nwlnknb.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\Drivers\omcamvid.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\parport.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\pci.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\services.exe
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\System32\lsass.exe
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\raspptp.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\lsass.exe
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\psched.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ptilink.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\PxHelp20.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\LVCM.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\rasacd.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\raspppoe.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\raspti.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\rdbss.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\sessmgr.exe
Sat Jan 15 13:10:37 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\redbook.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\locator.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\rsvp.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\Drivers\SaiNtUsb.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\lsass.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\SCardSvr.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\drivers\scsiport.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\secdrv.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\serenum.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\Seri*hier nicht!*.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\SLIP.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\drivers\splitter.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\spoolsv.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\sr.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\srv.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\StreamIP.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\SYSTEM32\SVKP.SYS
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\swenum.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\drivers\swmidi.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\dllhost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\drivers\sysaudio.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\smlogsvc.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\tcpip.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\termdd.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\update.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\System32\ups.exe
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\drivers\usbaudio.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\usbccgp.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\usbehci.sys
Sat Jan 15 13:10:38 2005 => ERROR!!! Invalid Entry System32\Drivers\geneusb.sys in SYSTEM\CurrentControlSet\Services\USBHSB...
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\usbhub.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\usbohci.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\usbprint.sys
Sat Jan 15 13:10:38 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\System32\drivers\vga.sys
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\viaagp.sys
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\viaagp1.sys
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\System32\Drivers\viausb1.sys
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\viaide.sys
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\System32\vssvc.exe
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\wanarp.sys
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\drivers\wdmaud.sys
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\System32\wbem\wmiapsrv.exe
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\System32\drivers\ws2ifsl.sys
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\System32\svchost.exe

Sat Jan 15 13:10:39 2005 => ***** Scanning Important System Files *****
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\winsock.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\WSSPORD.DAT
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\ws2help.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\ws2_32.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wscntfy.exe
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wscript.exe
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wscsvc.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wscui.cpl
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wshatm.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wshbth.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wshcon.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wshde.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wshext.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wship6.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wshisn.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wshnetbs.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wshom.ocx
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wshrm.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wshtcpip.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wsnmp32.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wsock32.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\system32\wstdecod.dll
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\explorer.exe
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\explorer.scf
Sat Jan 15 13:10:39 2005 => Scanning File C:\WINDOWS\notepad.exe
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\notepad.exe
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\ctfmon.exe
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\cmd.exe
Sat Jan 15 13:10:40 2005 => *** File C:\WINDOWS\system32\kernel32.dll having Size Restriction ***
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\kernel32.dll [**]
Sat Jan 15 13:10:40 2005 => *** File C:\WINDOWS\system32\ntoskrnl.exe having Size Restriction ***
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\ntoskrnl.exe [**]
Sat Jan 15 13:10:40 2005 => *** File C:\WINDOWS\system32\ntkrnlpa.exe having Size Restriction ***
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\ntkrnlpa.exe [**]
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\HAL.DLL
Sat Jan 15 13:10:40 2005 => *** File C:\WINDOWS\system32\win32k.sys having Size Restriction ***
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\win32k.sys [**]
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\ntdll.dll
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\advapi32.dll
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\user32.dll
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\gdi32.dll
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\bootvid.dll
Sat Jan 15 13:10:40 2005 => Scanning File C:\WINDOWS\system32\command.com

Sat Jan 15 13:10:40 2005 => ***** Checking for specific ITW Viruses *****
Sat Jan 15 13:10:40 2005 => Checking for Welchia Virus...
Sat Jan 15 13:10:40 2005 => Checking for LovGate Virus...
Sat Jan 15 13:10:40 2005 => Checking for CodeRed Virus...
Sat Jan 15 13:10:40 2005 => Checking for OpaServ Virus...
Sat Jan 15 13:10:40 2005 => Checking for Sobig.e Virus...
Sat Jan 15 13:10:40 2005 => Checking for Winupie Virus...
Sat Jan 15 13:10:40 2005 => Checking for Swen Virus...
Sat Jan 15 13:10:40 2005 => Checking for JS.Fortnight Virus...
Sat Jan 15 13:10:40 2005 => Checking for Novarg Virus...
Sat Jan 15 13:10:40 2005 => Checking for Pagabot Virus...
Sat Jan 15 13:10:40 2005 => Checking for Parite.b Virus...
Sat Jan 15 13:10:40 2005 => Checking for Parite.a Virus...

Sat Jan 15 13:10:40 2005 => ***** Scanning complete. *****

Sat Jan 15 13:10:40 2005 => Total Files Scanned: 445
Sat Jan 15 13:10:40 2005 => Total Virus(es) Found: 0
Sat Jan 15 13:10:40 2005 => Total Disinfected Files: 0
Sat Jan 15 13:10:40 2005 => Total Files Renamed: 0
Sat Jan 15 13:10:40 2005 => Total Deleted Files: 0
Sat Jan 15 13:10:40 2005 => Total Errors: 5
Sat Jan 15 13:10:40 2005 => Time Elapsed: 00:00:18
Sat Jan 15 13:10:40 2005 => Virus Database Date: 2005/01/15
Sat Jan 15 13:10:40 2005 => Virus Database Count: 113297

Sat Jan 15 13:10:40 2005 => Scan Completed.

Sat Jan 15 13:10:40 2005 => AV Library Unloaded (3)...




Der folgende ist ein Auszug mit der einen "infected" meldung. Datei hab ich löschen lassen.



Sa Jan 15 13:13:33 2005 => eScan for Windows.
Sa Jan 15 13:13:33 2005 => Copyright © 2004-2005, MicroWorld Technologies Inc.
Sa Jan 15 13:13:33 2005 => Support: support@mwti.net
Sa Jan 15 13:13:33 2005 => Web: http://www.mwti.net
Sa Jan 15 13:13:33 2005 => ******************************************************************
Sa Jan 15 13:13:33 2005 => Version 1.26
Sa Jan 15 13:13:33 2005 => LogFile: C:\PROGRA~1\eScan\Log\15010000.log
Sa Jan 15 13:13:33 2005 =>
Sa Jan 15 13:13:33 2005 => Heuristics: On
Sa Jan 15 13:13:33 2005 => Packed files: On
Sa Jan 15 13:13:33 2005 => System areas: On
Sa Jan 15 13:13:33 2005 => Archived files: On
Sa Jan 15 13:13:33 2005 => Calculate Analysis: On
Sa Jan 15 13:13:33 2005 => Action specified in case of an infection: Automatic

Sa Jan 15 13:59:48 2005 => Scanning File C:\WINDOWS\system32\HAL.DLL
Sa Jan 15 13:59:48 2005 => Scanning File C:\WINDOWS\system32\hccoin.dll
Sa Jan 15 13:59:48 2005 => Scanning File C:\WINDOWS\system32\hdplg.dll
Sa Jan 15 13:59:48 2005 => File Infected with "HackTool.Win32.Hidd.c". Action Taken: File renamed!
Sa Jan 15 13:59:48 2005 => Scanning File C:\WINDOWS\system32\hdwwiz.cpl
Sa Jan 15 13:59:49 2005 => Scanning File C:\WINDOWS\system32\help.exe


Und hier das Hijack log das es jetzt nach den scans gab:

Logfile of HijackThis v1.99.0
Scan saved at 16:32:18, on 15.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\progra~1\samsung\smarthru\PORTCTRL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
E:\Downloads\HijackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.1:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [GW Port Controller] c:\progra~1\samsung\smarthru\PORTCTRL.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092623716315
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Mal sehn ob es jetzt OK ist.

gruss

highfive

#6 tja, einmal den internet explorer gestratet und da war wieder mein ballon tip ...
gefolgt von netten aufforderungen zum software download...

auch der eintrag

O15 - Trusted Zone: http://*.63.219.181.7

war wieder im Hijack log zu finden ...

ausserdem auch wieder folgende prozesse die bis dahin nicht da gelistet waren

C:\WINDOWS\system32\usrshutd.exe
C:\WINDOWS\system32\winmsdc.exe
C:\WINDOWS\system32\vwipxspnt.exe
C:\WINDOWS\system32\tlntadmnx.exe


wo versteckt sich blos dqas programm, das das anrichtet ???

hier nochmal der Hijack log nachdem das ballon tip pop up vom security center
sich wieder gemeldet hatte:

Logfile of HijackThis v1.99.0
Scan saved at 17:00:23, on 15.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\progra~1\samsung\smarthru\PORTCTRL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\usrshutd.exe
C:\WINDOWS\system32\winmsdc.exe
C:\WINDOWS\system32\vwipxspnt.exe
C:\WINDOWS\system32\tlntadmnx.exe
E:\Downloads\HijackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.1:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [GW Port Controller] c:\progra~1\samsung\smarthru\PORTCTRL.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092623716315
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

#7 da ich nach drei tagen langsam die nase voll hab, werd ich wohl den rechner neu aufsetzen...

kann mir einer sagen wie ich meine mails (outlook express) sichern kann ??
sowie das adressbuch ??

das wäre sehr unschön wenn das verloren ginge.

reicht es die datei die beim speicher ort der mail dateien liegt zu sichern und später wieder dahin zu legen ?

danke für info

highfive

#8 Es gibt ein Programm, das das macht. Ist aber shareware und kostet 10 Euro.
Du kannst dich auch hier durchlesen:
http://beqiraj.com/windows/oebackup/index.asp
Ansonsten Google!

Zu deinem Hijackerproblem, du kannst es auch hiermit versuchen:
http://forums.skads.org/index.php?showtopic=80

Neu aufsetzen ist aber auch ein gute Alternative.
__________
MfG Ralf
SEO-Spam Hunter

#9 Hallo@highfive

Gehe in die Registry
Start<Ausfuehren<regedit

navegiere zum Schluessel :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ *http://*.63.219.181.7*

und loesche den KOMPLETTEN Schluessel *http://*.63.219.181.7*
(mit allem, was dazugehoert:
----------------------------------------------------------------------------------------

#1) lade rem.zip herunter
Load 1:Rem.zip
http://users.pandora.be/bluepatchy/www/rem.zip
Load 2: Rem.zip
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)

#Lade:
http://computercops.biz/postp377976.html
von dieser Seite:
Download the file here and unzip it.
-->imm_mh4.zip (auf "here" klicken)--entpacken (auf dem Desktop)

3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/virus/savemode.shtml

4) starte die datei rem.bat, und imm_mh4-->runme.bat. anklicken
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt von beiden Tools zu finden sein

7) markiere den inhalt und füge ihn hier ein.

erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. und runme.bat
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo!

Zunächst einmal bin ich neu hier und habe Einiges mit Interesse gelesen.

Ich habe seit drei Tagen ähnliche Probleme allerdings mit zahlreichen Symptomen auf WinMe zusammen mit IE 5.5

Symptome: (hauptsächlich)

Mal eine Meldung von AntiVir Personal: (mehrmals) das Trojanische Pferd TR/Click.526 wurde nach dem Standardeinstellung verschoben. Keine Aktion erforrderlich. Das nervt aber....!

Was mich dabei wundert, ist daß es sich später wiederholt, vermutlich erst nach dem neuen Boot... obwohl ich schon zuvor mit verschiedenen Anwendungen den ganzen PC gescannt habe, wie mit Ad-Aware 6.0, Spybot - Search & Destroy, Trojan-Check 6 Guard, Safeguard etc... die letzte bleibt aber nicht resident, angeblich wegen "critical component of safeguard is missing" und dann wird beendet.

Alles hat angefangen, als ich unangefordert zu anderen Webseiten umgeleitet worden war. Sogar wurde eine ganze Liste unter den Favoriten von IE hinzugefügt. Ich habe nun mit diesen diversen Tools gelöscht, auch die bedenlichen Cookies. Verwundert war ich, als das Spyware Programm "WareOut" danach beim Scannen alle Webseiten als Vertrauen Sites auflistete, die ich garn nicht so festgelegt habe. Nach Prüfung im IE unter Sicherheit hatte ich da etwa nur 5 Sites eingetragen und mit WareOut waren sie über 30 oder 50 angegeben!

WareOut - angeblich ein AntySpyWare - (von www.warout.com) wurde nach meiner Bestätigung aber schnell von sich selbst online installiert, als ich eine Warnung von irgendeiner Seite unter anderen unangefordeten erhielt, daß ein Trojaner auf meinen PC wäre etc.... wobei sogar jemand aus Nigeria auch versuchte, mit meinem PC eine Verbindung herzustellen. Ich habe übrigens ZoneAlarm und er war blockiert.

Da mir alles verdächtigt war, habe ich schließlich WarOut deinstalliert.

Letztendlich habe ich Mozilla Firefox heruntergeladen, um so IE zu vermeiden, nachdem ich da auch das Toobar Myway oder so etwas Search Assistant etc mit Ad-AWare entfernt habe.. Mit Firefox wird es merkwürdigerweise nach page2.googlesyndication.com geschaut, bevor ich die gewünschte Seite bekomme, vielleicht eine Art Alexa? Ansonsten habe ich nicht mehr das Problem wie mit IE, daß mir mal ganze andere Seiten mit dem zurück auf dem Browser angezeigt wurde, die ich schon zuvor oder erst gestern besuchte, als wäre es ein Capture gewesen....

Es kamen aber nach wie vor am Anfang Balloon Tips vom Security Center: "Your computer might be at risk... etc" mit der Aufforderung den Help von Microsoft zu lesen: HH.exe aber das half mir nicht weiter...

Es kommt mal auch noch die Meldung von Windows Securtity Center, daß malicious coden im Netzwerk aufgespürt sind etc.. einfach so ohne weiteres, allerdings nur mit dem Hinweis, daß "creditcard mails passwords etc..." geklaut werden....

Offenbar habe ich aber nun, ohne IE zu öffnen, weitgehend weniger Probleme.

Zur Information habe ich zuvor Folgendes u.a.m. entfernt bzw. in Quarantaine gesteckt, also mal manuell mal mit einem Antispyware Programm:

msbb alles was mit \ncase 180Solutions dazu gehört
Q3192243.COM
MSXMIDI.EXE
BLA.EXE
NDNuninstall4_85.exe
hotbar.exe
Windows\ijl15.dll

Trojan Win32.StartPage
einige von C:\_restore\temp?a0154905.cpy

Im Regisry: HKLM\Software\
- CommonName \CRegKey wegen Malware?
Angeblich sollte ich noch \clRegKey und noch \clRegKey löschen, wegen DownloadWare? , finde ich aber nicht???

Dennoch bin ich im Zweifel, ob ich noch weiter löschen muß, denn es kommt mir im Autostart noch solche verdächtig:

BrOken.exe
LOPtcon für scansystem
34763 für preliminary.exe
prgsys0984.exe für WinInit.dll

Gelöscht wurde aber schon mit einem Ad-Aware Programm:

HCLEAN32.exe
Csxxy.exe
dmcfg.exe

Ansonsten bleibt Alexa, ob es wirklich ein Malware ist?

Es sieht alles kompliziert und ich beobachte weiter, was noch vorkommt. Ggf. berichte ich mal wieder hier mit der Bitte um eine Lösung. Die Handhabung mit Spybot -Search und Destroy- mit einer Menge roten Liste mit darunter noch myway u.a.m. ist recht unverständlich, daß ich habe eher die Finger weg davon lassen, zumal es kam oft die Meldung von spybot-Sd Resident, daß Einträge im Registry gemacht wurden, ohne selbst dabei bestätigen oder verweigern zu können, denn eine Schalfläche war jedesmal ausgeblendet. Aber egal, was ich da tat, war die Änderung im Registry von irgendeinem Programm offenbar verweigert mit der Meldung "verboten". Natürlich könnte ich das deaktivieren aber bisher waren immerhin über tausende Versuche verhindert, so daß ich nichts dagegen unternahm.

Außerdem hier ist mein Tipp: aus dem anderen Betriebssystem im PC (anderer Partition), kann ich bestimmte Dateien löschen, die ich normalerweise unter WinMe nicht darf, wie z.B. indext.dat von \cookies oder \temp oder \internet logs etc...

Es erste Hinweise für die Behebung der noch verbleibenden Probleme wäre ich dankbar.

Übrigens bin ich online mit einem Firewall Broadband Router und ich habe T-DSL, also mit kleinem Netzwerk.

Last but not least läßt sich IE deinstallieren? Oder könnte all diese Probleme behoben werden, wenn ich z.B. MS-IE 6.0 r'über installiere?

Gruß aus dem Rheingau

Merlinux

#11 Information zum WareOut http://www.doxdesk.com/parasite/WareOut.html
Download Hijack This http://www.majorgeeks.com/HijackThis_d3155.html
Anleitung zum HJ http://virus-protect.org/hijackthis.html
__________
MfG Argus

#12 Echt vielen Danke.

Ich habe bereits einige Namen von bedenklichen Objekten aus der Liste von www.doxdesk.com/parasite erkannt und sie sind aus dem Registry anscheinend schon entfernt.

Aber soll ich ruhig aus Autostart LOPTCON, Preliminary, scanSYS deaktivieren?

Ich habe übrigens auch "cwshredder.exe" gestern heruntergeladen und versuche mal heute damit auch wegen CoolWebSearch oder für das, was noch übrig bleibt .

Außerdem hätte ich da eine Frage.

Was ist der Unterschied zw. Hijackthis aus Version 3155 ? von www.majorgeeks.com/HijackThis_d3155.html und aus Version 1.9 von nikita.eddys-domain.de/hijackthis.html?

Allgemein arbeite ich noch daran aber bis jetzt läuft mein PC stabil ohne Zwischenfall. Ich muß noch booten, um noch was zu merken und die letzten Probleme zu beheben, allerdings ohne MS-IE wieder zu benutzen. Ich bleibe erstmals bei Mozilla-Firefox.

Gruß von Merlinux

#13

Zitat

WareOut - angeblich ein AntySpyWare - (von www.warout.com) wurde nach meiner Bestätigung aber schnell von sich selbst online installiert

Nicht auf alles klicken, was kommt! Ganz wichtig, denn das Programm hätte auch was durchaus schlimmeres sein können. Im Grunde kann man alle Warnmeldungen von fremden Webseiten ignorieren und sollte sich nur auf das verlassen, was die eigens installierte Software meldet.

Zitat

Mit Firefox wird es merkwürdigerweise nach page2.googlesyndication.com geschaut

Das ist nicht tragisch. Normalerweise wird von dort nur etwas geladen, wenn auf der aufgerufenen Seite Google-Adsense eingebaut ist (also die Google-Werbung, die man auf vielen Seiten sieht).

Zitat

Ansonsten bleibt Alexa, ob es wirklich ein Malware ist?

Nein, keine Malware. Nur eine Spyware und dabei noch ziemlich harmlos (macht sich eigentlich nur bemerkbar, wenn Du die Alexa-Suche verwendest, dann zeigt Dir Alexa Werbung an, die auf Dich zugeschnitten ist)

Zitat

Last but not least läßt sich IE deinstallieren? Oder könnte all diese Probleme behoben werden, wenn ich z.B. MS-IE 6.0 r'über installiere?

Der IE lässt sich nicht deinstallieren, da er Bestandteil des Betriebssystems ist. Der IE6 stopft aber auf jeden Fall etliche Sicherheitslöcher, also ist es sehr zu empfehlen, ihn zu installieren.

Zitat

Aber soll ich ruhig aus Autostart LOPTCON, Preliminary, scanSYS deaktivieren?

Jo, mach das mal - bzw. sollte der Mist(?) komplett entfernt werden.

Zitat

Was ist der Unterschied zw. Hijackthis aus Version 3155 ? von www.majorgeeks.com/HijackThis_d3155.html und aus Version 1.9 von nikita.eddys-domain.de/hijackthis.html?

Gar keiner. Schau mal bei Majorgeeks, welche Version dort angezeigt wird
Bei beiden ist es die Version 1.99.1

So und nun poste und mal ein HJT-Logfile

PS: Ich wusste gar nicht, dass es noch Leute gibt, die Windows Müll Edition verwenden...
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#14 Hallo Blueslaya,

nett für Deine Antwort :-)

Erstens klicke ich nicht einfach so aber da bin ich davon ausgegangen, es würde erst danach gefragt, wo vor der Installation auf der Festplatte gespeichert wird, wie das generell üblich ist. Ich hätte natürlich nicht einfach auf Einladung klicken sollen und dies merke ich mir jetzt so in Zukunft :-(

Zweitens benutze ich noch WinMe wegen der Registrierung. W2K oder XP sind mir leider zu teuer....

Und nun die Überraschung: nach dem neuen Boot meines Rechners, hat ZonAlarm all seine Einstellungen verloren, obwohl ich diesbezüglich nichts gemacht habe. So etwas habe ich nach vielen Jahren damit noch nie erlebt.

Und wenn mein CD-Brenner auch seine Geist ausgegeben hat, wäre es doch kein Zufall oder? Das Laufwerk verweigert aucgh im Lesemodus CDs zu lesen, aber auch aus anderem Betriebssytem im demselben PC. Vermultich liegt am Sensor mit Staub....

Ansonsten komme es wieder zu Fehlermeldung mit TR\Click.526 und deswegen muß Firefox geschlossen werden.

Gruß

#15 Die Sache ist nur, dass Windows ME das m.E. schlechteste Betriebssystem ist, seit es Windows gibt. Daher meine etwas abfällige Reaktion.

Wie gesagt, Du könntest uns mal ein HJT-Log posten oder Deinen PC formatieren und Windows neu installieren - das hilft garantiert
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser