Trojan.Stwoyle; Winstyle3.dll unlöschbar |
||
---|---|---|
#0
| ||
07.09.2005, 14:58
Ehrenmitglied
Beiträge: 29434 |
||
|
||
07.09.2005, 15:00
...neu hier
Themenstarter Beiträge: 9 |
#17
@ Managor ..ich habe sie weggelassen *g*...es ging nicht..kommt die Meldung konnte nicht gefunden werden.
Die bösen Dateien sind gelöscht..hier der aktuelle Hijackthis Log Logfile of HijackThis v1.99.1 Scan saved at 14:56:33, on 07.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Norton Internet Security\IAMAPP.EXE C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\SymProxySvc.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\Norton Internet Security\NISSERV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Norton Internet Security\ATRACK.EXE C:\Dokumente und Einstellungen\tanja_j\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lexmark.com/MD/?func=newreg&lang=2&prtr=4413001&ctry=00000407&os=5&src=1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O23 - Service: CWShredder Service - InterMute, Inc. - C:\Dokumente und Einstellungen\tanja_j\Eigene Dateien\programme\cwshredder.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Passwörter werd ich ändern..ist ja schon heftig..ich bin kein Profi, aber auch kein totaler Anfänger...ich öffne keine Mails von mir unbekannten Empfängern und und und..nun ja..solang noch Hoffnung besteht das ich es wieder los werde...ich sag mal erneut Danke allen :-) Ergänzung: mir selber antworten geht nicht... Verzeichnis von C:\WINDOWS\system32 07.09.2005 14:55 21.165 FFASTLOG.TXT 07.09.2005 14:55 21.961 nvapps.xml 07.09.2005 12:26 507.392 winlogon.exe 07.09.2005 12:13 0 mskav.exe 05.09.2005 12:42 127.673 mshlp.exe 05.09.2005 08:07 0 asfiles.txt 02.09.2005 08:38 13.646 wpa.dbl 05.08.2005 03:31 1.457.496 MRT.exe 29.07.2005 21:07 73.728 asuninst.exe 20.07.2005 04:05 3.014.144 mshtml.dll 08.07.2005 20:40 168.304 FNTCACHE.DAT 08.07.2005 18:28 249.344 tapisrv.dll 08.07.2005 18:28 76.800 remotesp.tsp 08.07.2005 09:13 69.632 system.mdw 04.07.2005 10:31 176.167 rmoc3260.dll 04.07.2005 10:30 5.632 pndx5032.dll 04.07.2005 10:30 6.656 pndx5016.dll 03.07.2005 04:15 664.064 wininet.old 03.07.2005 04:11 606.208 urlmon.dll 03.07.2005 04:11 665.088 wininet.dll 03.07.2005 04:11 1.485.312 shdocvw.dll 03.07.2005 04:11 474.112 shlwapi.dll 03.07.2005 04:11 448.512 mshtmled.dll 03.07.2005 04:11 146.432 msrating.dll 03.07.2005 04:11 39.424 pngfilt.dll 03.07.2005 04:11 1.019.904 browseui.dll 03.07.2005 04:11 251.904 iepeers.dll 03.07.2005 04:11 96.768 inseng.dll 03.07.2005 04:11 152.064 cdfview.dll 30.06.2005 04:05 119.296 umpnpmgr.dll 29.06.2005 03:49 74.240 mscms.dll 29.06.2005 03:49 254.976 icm32.dll 17.06.2005 20:21 77.312 P2P Networking v126.cpl 15.06.2005 19:49 295.936 kerberos.dll 11.06.2005 01:53 57.856 spoolsv.exe 07.06.2005 13:08 40.108 perfc009.dat 07.06.2005 13:08 311.912 perfh009.dat 07.06.2005 13:08 316.942 perfh007.dat 07.06.2005 13:08 48.276 perfc007.dat 07.06.2005 13:08 707.482 PerfStringBackup.INI 27.05.2005 04:04 137.216 itss.dll 27.05.2005 04:04 155.136 itircl.dll 27.05.2005 04:04 546.304 hhctrl.ocx 27.05.2005 04:04 41.472 hhsetup.dll 26.05.2005 04:16 1.343.768 wuaueng.dll 26.05.2005 04:16 173.536 wuweb.dll 26.05.2005 04:16 41.240 wups.dll 26.05.2005 04:16 18.200 wups2.dll 26.05.2005 04:16 75.544 cdm.dll 26.05.2005 04:16 198.424 iuengine.dll 26.05.2005 04:16 124.696 wuauclt.exe 26.05.2005 04:16 174.872 wuauclt1.exe 26.05.2005 04:16 128.280 wucltui.dll 26.05.2005 04:16 466.200 wuapi.dll 26.05.2005 04:16 174.872 wuaucpl.cpl 26.05.2005 04:16 194.840 wuaueng1.dll 17.05.2005 02:42 17.408 xpsp3res.dll 11.05.2005 04:30 78.336 telnet.exe 04.05.2005 14:45 884.736 msimsg.dll 04.05.2005 14:45 78.848 msiexec.exe 04.05.2005 14:45 15.360 msisip.dll 04.05.2005 14:45 271.360 msihnd.dll 04.05.2005 14:45 2.890.240 msi.dll 04.05.2005 11:11 16.832 amcompat.tlb 04.05.2005 11:11 23.392 nscompat.tlb 04.05.2005 10:25 249 spupdwxp.log 03.05.2005 22:50 0 TFTP3208 03.05.2005 22:07 2.837 qtplugin.log 03.05.2005 19:47 100 LuResult.txt 03.05.2005 18:45 1.668 lvcoinst.log 03.05.2005 18:37 278.528 pncrt.dll 03.05.2005 18:04 0 TFTP5444 03.05.2005 17:17 0 TFTP2416 03.05.2005 17:15 0 TFTP3000 03.05.2005 17:12 0 TFTP736 03.05.2005 17:11 26.624 TFTP2640 03.05.2005 16:55 13.646 wpa.bak 03.05.2005 15:57 0 h323log.txt 03.05.2005 15:12 25.065 wmpscheme.xml 03.05.2005 15:07 261 $winnt$.inf 03.05.2005 15:05 2.951 CONFIG.NT 03.05.2005 15:04 488 WindowsLogon.manifest 03.05.2005 15:04 488 logonui.exe.manifest 03.05.2005 15:03 749 sapi.cpl.manifest 03.05.2005 15:03 749 ncpa.cpl.manifest 03.05.2005 15:03 749 nwc.cpl.manifest 03.05.2005 15:03 749 wuaucpl.cpl.manifest 03.05.2005 15:03 749 cdplayer.exe.manifest 03.05.2005 15:01 21.740 emptyregdb.dat Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8C89-702D Verzeichnis von C:\DOKUME~1\tanja_j\LOKALE~1\Temp 07.09.2005 15:10 10.225 TFR8.tmp 07.09.2005 15:04 23.427 TFR4.tmp 07.09.2005 14:56 16.384 ~DF15D8.tmp 07.09.2005 14:38 56.657 TFR16.tmp 07.09.2005 14:38 23.427 TFR15.tmp 07.09.2005 14:38 10.225 TFR14.tmp 07.09.2005 14:38 27.777 TFR13.tmp 07.09.2005 14:38 32.204 TFR10.tmp 07.09.2005 14:38 40.950 TFRC.tmp 07.09.2005 14:38 35.574 TFRA.tmp 07.09.2005 14:37 67.994 TFR6.tmp 07.09.2005 14:35 2.048.000 Acr5.tmp 07.09.2005 12:53 2.198 IUCheck.log 07.09.2005 10:24 797.676 IMT28.xml 07.09.2005 10:24 426 IMT27.xml 07.09.2005 10:24 2.036 IMT26.xml 07.09.2005 10:23 797.676 IMT20.xml 07.09.2005 10:23 426 IMT1F.xml 07.09.2005 10:23 2.036 IMT1E.xml 07.09.2005 06:59 379 kb.log 07.09.2005 06:50 16.384 ~DFE320.tmp 06.09.2005 21:21 16.384 ~DFFD93.tmp 06.09.2005 20:22 0 EPSLog.txt 06.09.2005 17:31 2.048.000 AcrD.tmp 06.09.2005 17:31 2.048.000 AcrC.tmp 06.09.2005 01:00 33.708 VIRUPDAT.INI 05.09.2005 17:08 0 3D9C37.dmp 05.09.2005 12:58 16.384 ~DFB36C.tmp 05.09.2005 12:42 16.384 ~DF13A8.tmp 05.09.2005 12:04 16.384 ~DF4286.tmp 30 Datei(en) 8.207.325 Bytes 0 Verzeichnis(se), 62.845.042.688 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8C89-702D Verzeichnis von C:\WINDOWS 07.09.2005 14:57 1.187.540 WindowsUpdate.log 07.09.2005 14:56 0 0.log 07.09.2005 14:56 159 wiadebug.log 07.09.2005 14:56 50 wiaservc.log 07.09.2005 14:53 452 SchedLgU.Txt 07.09.2005 14:38 642 setupapi.log 07.09.2005 14:16 546 win.ini 07.09.2005 14:16 227 system.ini 07.09.2005 13:23 0 setuperr.log 07.09.2005 13:23 60 setupact.log 06.09.2005 00:26 192 winamp.ini 04.09.2005 13:50 54.156 QTFont.qfn 04.09.2005 12:21 77 oupwxv.lni 04.09.2005 12:11 77 ckqoqj.llg 04.09.2005 12:01 77 spnwqu.dhv 04.09.2005 09:31 77 bhschz.ijh 04.09.2005 02:18 77 njymiq.zjg 04.09.2005 01:29 109 cdplayer.ini 02.09.2005 23:40 1.409 QTFont.for 24.08.2005 07:41 10 popcinfo.dat 23.08.2005 13:57 116 NeroDigital.ini 31.07.2005 22:07 10 smdat32m.sys 09.07.2005 10:02 450 lexstat.ini 08.07.2005 09:13 777 ODBC.INI 08.07.2005 09:13 4.348 ODBCINST.INI 08.06.2005 22:54 241 QSync.INI 07.06.2005 10:15 7.468 tanja_j000.acl 27.05.2005 01:22 10.752 hh.exe 16.05.2005 23:38 3.329 tm.ini 16.05.2005 22:48 35 tdf.dii 11.05.2005 20:54 1.073.435 setupapi.log.0.old 10.05.2005 14:08 316.640 WMSysPr9.prx 03.05.2005 18:41 299.552 WMSysPrx.prx 03.05.2005 18:37 268 _delis32.ini 03.05.2005 15:55 0 Sti_Trace.log 03.05.2005 15:53 231 SYSTEM.I~I 03.05.2005 15:07 8.192 REGLOCS.OLD 03.05.2005 15:05 0 control.ini 03.05.2005 15:03 749 WindowsShell.Manifest 03.05.2005 15:01 36 vb.ini 03.05.2005 15:01 37 vbaddin.ini 04.08.2004 09:58 288.768 winhlp32.exe 04.08.2004 09:58 32.866 slrundll.exe 04.08.2004 09:58 153.600 regedit.exe 04.08.2004 09:58 153.600 REGEDIT.COM 04.08.2004 09:58 153.600 R.COM 04.08.2004 09:58 70.144 notepad.exe 04.08.2004 09:57 1.035.264 explorer.exe 04.08.2004 09:57 50.688 twain_32.dll 02.04.2003 14:00 16.730 Feder.bmp 02.04.2003 14:00 65.978 Seifenblase.bmp 02.04.2003 14:00 48.680 winnt.bmp 02.04.2003 14:00 80 explorer.scf 02.04.2003 14:00 1.272 Blaue Spitzen 16.bmp 02.04.2003 14:00 26.680 F„cher.bmp 02.04.2003 14:00 48.680 winnt256.bmp 02.04.2003 14:00 9.522 Zapotek.bmp 02.04.2003 14:00 15.872 TASKMAN.EXE 02.04.2003 14:00 707 _default.pif 02.04.2003 14:00 1.405 msdfmap.ini 02.04.2003 14:00 17.336 Angler.bmp 02.04.2003 14:00 94.800 twain.dll 02.04.2003 14:00 65.954 Pr„riewind.bmp 02.04.2003 14:00 49.680 twunk_16.exe 02.04.2003 14:00 25.600 twunk_32.exe 02.04.2003 14:00 65.832 Santa Fe-Stuck.bmp 02.04.2003 14:00 82.944 clock.avi 02.04.2003 14:00 17.362 Rhododendron.bmp 02.04.2003 14:00 26.582 Granit.bmp 02.04.2003 14:00 18.944 vmmreg32.dll 02.04.2003 14:00 2 desktop.ini 02.04.2003 14:00 257.568 winhelp.exe 02.04.2003 14:00 17.062 Kaffeetasse.bmp 28.02.2003 18:26 46.352 setdebug.exe 28.02.2003 16:35 6.550 jautoexp.dat 21.10.2002 17:37 23.304 WMPrfJpn.prx 21.10.2002 15:33 33.820 WMPrfDeu.prx 07.09.2001 03:00 3.126 SBPCI.bmp 04.01.2000 23:20 86.016 unvise32qt.exe 17.11.1998 13:44 328.704 IsUn0407.exe 13.10.1997 20:55 299.008 unin0407.exe 14.12.1996 00:00 2 ARTGALRY.CAG 14.12.1996 00:00 15.348 MSO97.ACL 20.07.1995 00:00 586 MSTXTCNV.INI 20.07.1995 00:00 2.041 MSFNTMAP.INI 20.07.1995 00:00 280 TTEMBED.INI 20.07.1995 00:00 7.468 MSOFFICE.ACL 87 Datei(en) 6.739.010 Bytes 0 Verzeichnis(se), 62.845.034.496 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8C89-702D Verzeichnis von C:\ 07.09.2005 15:19 0 sys.txt 07.09.2005 15:19 4.520 system.txt 07.09.2005 15:18 1.663 systemtemp.txt 07.09.2005 15:18 104.085 system32.txt 07.09.2005 14:54 536.449.024 hiberfil.sys 07.09.2005 14:54 805.306.368 pagefile.sys 07.09.2005 14:16 211 boot.ini 06.09.2005 22:40 0 23990098.$$$ 06.09.2005 22:40 6 AVPCallback.log 05.09.2005 10:56 753 smitfiles.txt 15.07.2005 19:10 475.136 ffastunT.ffl 15.07.2005 12:31 5.147 ffastun.ffa 15.07.2005 12:31 544.768 ffastun.ffo 15.07.2005 12:31 475.136 ffastun.ffl 15.07.2005 12:31 1.933.312 ffastun0.ffx 04.05.2005 09:51 47.564 NTDETECT.COM 04.05.2005 09:51 251.184 ntldr 03.05.2005 18:35 90 LogiSetup.log 03.05.2005 15:05 0 AUTOEXEC.BAT 03.05.2005 15:05 0 IO.SYS 03.05.2005 15:05 0 MSDOS.SYS 03.05.2005 15:05 0 CONFIG.SYS 02.04.2003 14:00 4.952 bootfont.bin 23 Datei(en) 1.345.603.919 Bytes 0 Verzeichnis(se), 62.845.042.688 Bytes frei für das Ergebnis von silent runners langt der Platz nicht mehr... Dieser Beitrag wurde am 07.09.2005 um 15:26 Uhr von Charleen editiert.
|
|
|
||
07.09.2005, 15:37
Moderator
Beiträge: 7805 |
||
|
||
07.09.2005, 15:40
...neu hier
Themenstarter Beiträge: 9 |
#19
erledigt :-)
Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Steam" = "C:\Programme\Valve\Steam\\Steam.exe -silent" ["Valve Corporation"] "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "(Default)" = (empty string) "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "NAV Agent" = "C:\PROGRA~1\NORTON~1\navapw32.exe" ["Symantec Corporation"] "iamapp" = "C:\Programme\Norton Internet Security\IAMAPP.EXE" [null data] "Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "LVCOMS" = "C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE" ["Logitech Inc."] "UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}\(Default) = "PCTools Site Guard" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll" ["PC Tools"] {B56A7D7D-6927-48C8-A975-17DF180C71AC}\(Default) = "PCTools Browser Monitor" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["GuideWorks Pty. Ltd."] {BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{B446400D-0030-457b-8F64-422A19605186}" = "Logitech Gallery" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Logitech\ImageStudio\NameSpc.dll" ["Logitech Inc."] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\KODAK\IFSCore\kodakshx.dll" ["Eastman Kodak Company"] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\soa800.dll" [MS] "{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Sammelmappen-Teiler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\UNBIND.DLL" [MS] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "style 2" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\winstyle3.dll" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"] HKLM\Software\Classes\PROTOCOLS\Filter\ INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Startup items in "tanja_j" & "All Users" startup folders: --------------------------------------------------------- C:\Dokumente und Einstellungen\tanja_j\Startmenü\Programme\Autostart "Microsoft-Indexerstellung" -> shortcut to: "C:\Programme\Microsoft Office\Office\FINDFAST.EXE" [MS] "Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "Erinnerungen für Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"] "WinZip Quick Pick" -> shortcut to: "C:\Programme\WinZip\WZQKPICK.EXE" ["WinZip Computing, Inc."] Enabled Scheduled Tasks: ------------------------ "Norton AntiVirus - Meinen Computer prüfen" -> launches: "C:\PROGRA~1\NORTON~1\NAVW32.exe /task:C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec\NORTON~1\Tasks\mycomp.sca" ["Symantec Corporation"] "Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] Explorer Bars HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\ {4528BBE0-4E08-11D5-AD55-00010333D0AD}\ = "&Yahoo! Messenger" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\yhexbmes.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {4528BBE0-4E08-11D5-AD55-00010333D0AD}\ = "&Yahoo! Messenger" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\yhexbmes.dll" ["Yahoo! Inc."] {FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\ "ButtonText" = "Spyware Doctor" "CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["GuideWorks Pty. Ltd."] {4528BBE0-4E08-11D5-AD55-00010333D0AD}\ "ButtonText" = "Messenger" "MenuText" = "Yahoo! Messenger" "CLSIDExtension" = "{4C171D40-8277-11D5-AD55-00010333D0AD}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\yhexbmes.dll" ["Yahoo! Inc."] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\ "ButtonText" = "Real.com" {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"] Kodak Camera Connection Software, KodakCCS, "C:\WINDOWS\system32\drivers\KodakCCS.exe" ["Eastman Kodak Company"] LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."] Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS] Norton AntiVirus Auto-Protect-Dienst, navapsvc, "C:\Programme\Norton AntiVirus\navapsvc.exe" ["Symantec Corporation"] Norton Internet Security Accounts Manager, NISUM, "C:\Programme\Norton Internet Security\NISUM.EXE" ["Symantec Corporation"] Norton Internet Security Proxy Service, SymProxySvc, "C:\Programme\Norton Internet Security\SymProxySvc.exe" ["Symantec Corporation"] Norton Internet Security Service, NISSERV, "C:\Programme\Norton Internet Security\NISSERV.EXE" ["Symantec Corporation"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] ScsiAccess, ScsiAccess, "C:\WINDOWS\System32\ScsiAccess.EXE" [null data] SymWMI Service, SymWSC, "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe" ["Symantec Corporation"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\system32\MsPMSPSv.exe" [MS] |
|
|
||
07.09.2005, 16:21
Ehrenmitglied
Beiträge: 29434 |
#20
Gehe in die Registry
Start-->Ausfuehren--> regedit bearbeiten--> suchen --> winstyle3.dll style 2 loesche alles, was du findest zum Beispiel: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ "{B212D577-05B7-4963-911E-4A8588160DFA}<--loeschen " = "style 2" {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\winstyle3.dll ------------------------------------------------------------------------------------------ Schritt 1 : Erstelle eine neue Datei C:\bad Schritt 2 : Start - Ausführen - cmd (reinschreiben) kopiere in das DOS-Fenster: -- und klicke jedes Mal -- [enter] move C:\WINDOWS\system32\mskav.exe C:\bad move C:\WINDOWS\smdat32a.sys C:\bad move C:\WINDOWS\system32\winstyle3.dll C:\bad move C:\WINDOWS\system32\mshlp.exe C:\bad move C:\WINDOWS\system32\P2P Networking v126.cpl C:\bad move C:\WINDOWS\system32\TFTP3208 C:\bad move C:\WINDOWS\system32\TFTP5444 C:\bad move C:\WINDOWS\system32\TFTP2416 C:\bad move C:\WINDOWS\system32\TFTP3000 C:\bad move C:\WINDOWS\system32\TFTP736 C:\bad move C:\WINDOWS\system32\TFTP2640 C:\bad move C:\WINDOWS\oupwxv.lni C:\bad move C:\WINDOWS\ckqoqj.llg C:\bad move C:\WINDOWS\spnwqu.dhv C:\bad move C:\WINDOWS\bhschz.ijh C:\bad move C:\WINDOWS\njymiq.zjg C:\bad Schritt 3 : C:\bad --> zippe diese Datei und sende sie an raman (Bezeichnung nicht vergessen)...virus@protecus.de Schritt 4 : C:\bad loeschen •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\DOKUME~1\tanja_j\LOKALE~1\Temp\TFR8.tmp C:\DOKUME~1\tanja_j\LOKALE~1\Temp\TFR4.tmp C:\DOKUME~1\tanja_j\LOKALE~1\Temp\TFR16.tmp C:\DOKUME~1\tanja_j\LOKALE~1\Temp\TFR15.tmp C:\DOKUME~1\tanja_j\LOKALE~1\Temp\TFR14.tmp C:\DOKUME~1\tanja_j\LOKALE~1\Temp\TFR13.tmp C:\DOKUME~1\tanja_j\LOKALE~1\Temp\TFR10.tmp C:\DOKUME~1\tanja_j\LOKALE~1\Temp\TFRC.tmp C:\DOKUME~1\tanja_j\LOKALE~1\Temp\TFRA.tmp C:\DOKUME~1\tanja_j\LOKALE~1\Temp\TFR6.tmp C:\DOKUME~1\tanja_j\LOKALE~1\Temp\Acr5.tmp PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html •AboutBuster http://virus-protect.org/antispywaretools.html Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen....solange, bis keine Meldung mehr kommt (poste dann den Scanreport) Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt poste noch einmal die datfind-Dateien __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.09.2005, 16:40
Moderator
Beiträge: 7805 |
#21
Bitte diese Zeile nicht kopieren:
move C:\WINDOWS\system32\winlogon.exe C:\bad Da das die saubere Winlogon.exe ist. Das "sonderbare" Datum kommt daher, das sie die Datei zu dem Zeitpunkt durch das Orginal ersetzt hat. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.09.2005, 23:43
...neu hier
Themenstarter Beiträge: 9 |
#22
AboutBuster 5.0 reference file 28
Scan started on [07.09.2005] at [23:16:35] ------------------------------------------------ No Ads Found! ------------------------------------------------ No Files Found! ------------------------------------------------ Scan was COMPLETED SUCCESSFULLY at 23:17:04 ebenfalls kein Ergebnis bei rkfiles Datfind-Dateien: 07.09.2005 23:33 21.293 FFASTLOG.TXT 07.09.2005 23:33 21.961 nvapps.xml 07.09.2005 12:26 507.392 winlogon.exe 05.09.2005 08:07 0 asfiles.txt 02.09.2005 08:38 13.646 wpa.dbl 05.08.2005 03:31 1.457.496 MRT.exe 29.07.2005 21:07 73.728 asuninst.exe 20.07.2005 04:05 3.014.144 mshtml.dll 08.07.2005 20:40 168.304 FNTCACHE.DAT 08.07.2005 18:28 249.344 tapisrv.dll 08.07.2005 18:28 76.800 remotesp.tsp 08.07.2005 09:13 69.632 system.mdw 04.07.2005 10:31 176.167 rmoc3260.dll 04.07.2005 10:30 5.632 pndx5032.dll 04.07.2005 10:30 6.656 pndx5016.dll 03.07.2005 04:15 664.064 wininet.old 03.07.2005 04:11 665.088 wininet.dll 03.07.2005 04:11 606.208 urlmon.dll 03.07.2005 04:11 1.485.312 shdocvw.dll 03.07.2005 04:11 474.112 shlwapi.dll 03.07.2005 04:11 146.432 msrating.dll 03.07.2005 04:11 448.512 mshtmled.dll 03.07.2005 04:11 39.424 pngfilt.dll 03.07.2005 04:11 1.019.904 browseui.dll 03.07.2005 04:11 152.064 cdfview.dll 03.07.2005 04:11 96.768 inseng.dll 03.07.2005 04:11 251.904 iepeers.dll 30.06.2005 04:05 119.296 umpnpmgr.dll 29.06.2005 03:49 254.976 icm32.dll 29.06.2005 03:49 74.240 mscms.dll 17.06.2005 20:21 77.312 P2P Networking v126.cpl 15.06.2005 19:49 295.936 kerberos.dll 11.06.2005 01:53 57.856 spoolsv.exe 07.06.2005 13:08 40.108 perfc009.dat 07.06.2005 13:08 311.912 perfh009.dat 07.06.2005 13:08 316.942 perfh007.dat 07.06.2005 13:08 48.276 perfc007.dat 07.06.2005 13:08 707.482 PerfStringBackup.INI 27.05.2005 04:04 155.136 itircl.dll 27.05.2005 04:04 41.472 hhsetup.dll 27.05.2005 04:04 137.216 itss.dll 27.05.2005 04:04 546.304 hhctrl.ocx 26.05.2005 04:16 18.200 wups2.dll 26.05.2005 04:16 173.536 wuweb.dll 26.05.2005 04:16 1.343.768 wuaueng.dll 26.05.2005 04:16 41.240 wups.dll 26.05.2005 04:16 75.544 cdm.dll 26.05.2005 04:16 198.424 iuengine.dll 26.05.2005 04:16 466.200 wuapi.dll 26.05.2005 04:16 124.696 wuauclt.exe 26.05.2005 04:16 174.872 wuaucpl.cpl 26.05.2005 04:16 174.872 wuauclt1.exe 26.05.2005 04:16 128.280 wucltui.dll 26.05.2005 04:16 194.840 wuaueng1.dll 17.05.2005 02:42 17.408 xpsp3res.dll 11.05.2005 04:30 78.336 telnet.exe 04.05.2005 14:45 884.736 msimsg.dll 04.05.2005 14:45 78.848 msiexec.exe 04.05.2005 14:45 271.360 msihnd.dll 04.05.2005 14:45 15.360 msisip.dll 04.05.2005 14:45 2.890.240 msi.dll 04.05.2005 11:11 16.832 amcompat.tlb 04.05.2005 11:11 23.392 nscompat.tlb 04.05.2005 10:25 249 spupdwxp.log 03.05.2005 22:07 2.837 qtplugin.log 03.05.2005 19:47 100 LuResult.txt 03.05.2005 18:45 1.668 lvcoinst.log 03.05.2005 18:37 278.528 pncrt.dll 03.05.2005 17:15 0 TFTP3000 03.05.2005 16:55 13.646 wpa.bak 03.05.2005 15:57 0 h323log.txt 03.05.2005 15:12 25.065 wmpscheme.xml 03.05.2005 15:07 261 $winnt$.inf 03.05.2005 15:05 2.951 CONFIG.NT 03.05.2005 15:04 488 WindowsLogon.manifest 03.05.2005 15:04 488 logonui.exe.manifest 03.05.2005 15:03 749 cdplayer.exe.manifest 03.05.2005 15:03 749 wuaucpl.cpl.manifest 03.05.2005 15:03 749 ncpa.cpl.manifest 03.05.2005 15:03 749 sapi.cpl.manifest 03.05.2005 15:03 749 nwc.cpl.manifest 03.05.2005 15:01 21.740 emptyregdb.dat Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8C89-702D Verzeichnis von C:\DOKUME~1\tanja_j\LOKALE~1\Temp 07.09.2005 23:05 1.066 kb.log 07.09.2005 23:04 16.384 ~DFB033.tmp 07.09.2005 12:53 2.198 IUCheck.log 07.09.2005 10:24 797.676 IMT28.xml 07.09.2005 10:24 426 IMT27.xml 07.09.2005 10:24 2.036 IMT26.xml 07.09.2005 10:23 797.676 IMT20.xml 07.09.2005 10:23 426 IMT1F.xml 07.09.2005 10:23 2.036 IMT1E.xml 07.09.2005 06:50 16.384 ~DFE320.tmp 06.09.2005 21:21 16.384 ~DFFD93.tmp 06.09.2005 20:22 0 EPSLog.txt 06.09.2005 17:31 2.048.000 AcrD.tmp 06.09.2005 17:31 2.048.000 AcrC.tmp 06.09.2005 01:00 33.708 VIRUPDAT.INI 05.09.2005 17:08 0 3D9C37.dmp 05.09.2005 12:58 16.384 ~DFB36C.tmp 05.09.2005 12:42 16.384 ~DF13A8.tmp 05.09.2005 12:04 16.384 ~DF4286.tmp 19 Datei(en) 5.831.552 Bytes 0 Verzeichnis(se), 62.826.536.960 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8C89-702D Verzeichnis von C:\WINDOWS 07.09.2005 23:34 0 0.log 07.09.2005 23:34 1.204.738 WindowsUpdate.log 07.09.2005 23:34 159 wiadebug.log 07.09.2005 23:34 50 wiaservc.log 07.09.2005 23:32 546 win.ini 07.09.2005 23:32 227 system.ini 07.09.2005 23:23 2.160 SchedLgU.Txt 07.09.2005 14:38 642 setupapi.log 07.09.2005 13:23 0 setuperr.log 07.09.2005 13:23 60 setupact.log 06.09.2005 00:26 192 winamp.ini 04.09.2005 13:50 54.156 QTFont.qfn 04.09.2005 01:29 109 cdplayer.ini 02.09.2005 23:40 1.409 QTFont.for 24.08.2005 07:41 10 popcinfo.dat 23.08.2005 13:57 116 NeroDigital.ini 31.07.2005 22:07 10 smdat32m.sys 09.07.2005 10:02 450 lexstat.ini 08.07.2005 09:13 777 ODBC.INI 08.07.2005 09:13 4.348 ODBCINST.INI 08.06.2005 22:54 241 QSync.INI 07.06.2005 10:15 7.468 tanja_j000.acl 27.05.2005 01:22 10.752 hh.exe 16.05.2005 23:38 3.329 tm.ini 16.05.2005 22:48 35 tdf.dii 11.05.2005 20:54 1.073.435 setupapi.log.0.old 10.05.2005 14:08 316.640 WMSysPr9.prx 03.05.2005 18:41 299.552 WMSysPrx.prx 03.05.2005 18:37 268 _delis32.ini 03.05.2005 15:55 0 Sti_Trace.log 03.05.2005 15:53 231 SYSTEM.I~I 03.05.2005 15:07 8.192 REGLOCS.OLD 03.05.2005 15:05 0 control.ini 03.05.2005 15:03 749 WindowsShell.Manifest 03.05.2005 15:01 36 vb.ini 03.05.2005 15:01 37 vbaddin.ini 04.08.2004 09:58 288.768 winhlp32.exe 04.08.2004 09:58 32.866 slrundll.exe 04.08.2004 09:58 153.600 R.COM 04.08.2004 09:58 153.600 REGEDIT.COM 04.08.2004 09:58 153.600 regedit.exe 04.08.2004 09:58 70.144 notepad.exe 04.08.2004 09:57 1.035.264 explorer.exe 04.08.2004 09:57 50.688 twain_32.dll 10.03.2004 06:01 45.056 strings.exe 02.04.2003 14:00 48.680 winnt.bmp 02.04.2003 14:00 48.680 winnt256.bmp 02.04.2003 14:00 257.568 winhelp.exe 02.04.2003 14:00 65.978 Seifenblase.bmp 02.04.2003 14:00 65.954 Pr„riewind.bmp 02.04.2003 14:00 26.582 Granit.bmp 02.04.2003 14:00 17.062 Kaffeetasse.bmp 02.04.2003 14:00 26.680 F„cher.bmp 02.04.2003 14:00 15.872 TASKMAN.EXE 02.04.2003 14:00 16.730 Feder.bmp 02.04.2003 14:00 80 explorer.scf 02.04.2003 14:00 9.522 Zapotek.bmp 02.04.2003 14:00 94.800 twain.dll 02.04.2003 14:00 17.336 Angler.bmp 02.04.2003 14:00 49.680 twunk_16.exe 02.04.2003 14:00 25.600 twunk_32.exe 02.04.2003 14:00 1.272 Blaue Spitzen 16.bmp 02.04.2003 14:00 65.832 Santa Fe-Stuck.bmp 02.04.2003 14:00 17.362 Rhododendron.bmp 02.04.2003 14:00 707 _default.pif 02.04.2003 14:00 18.944 vmmreg32.dll 02.04.2003 14:00 1.405 msdfmap.ini 02.04.2003 14:00 2 desktop.ini 02.04.2003 14:00 82.944 clock.avi 28.02.2003 18:26 46.352 setdebug.exe 28.02.2003 16:35 6.550 jautoexp.dat 21.10.2002 17:37 23.304 WMPrfJpn.prx 21.10.2002 15:33 33.820 WMPrfDeu.prx 07.09.2001 03:00 3.126 SBPCI.bmp 04.01.2000 23:20 86.016 unvise32qt.exe 17.11.1998 13:44 328.704 IsUn0407.exe 13.10.1997 20:55 299.008 unin0407.exe 14.12.1996 00:00 2 ARTGALRY.CAG 14.12.1996 00:00 15.348 MSO97.ACL 20.07.1995 00:00 7.468 MSOFFICE.ACL 20.07.1995 00:00 586 MSTXTCNV.INI 20.07.1995 00:00 280 TTEMBED.INI 20.07.1995 00:00 2.041 MSFNTMAP.INI 83 Datei(en) 6.802.587 Bytes 0 Verzeichnis(se), 62.826.594.304 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8C89-702D Verzeichnis von C:\ 07.09.2005 23:40 0 sys.txt 07.09.2005 23:40 4.329 system.txt 07.09.2005 23:40 1.152 systemtemp.txt 07.09.2005 23:39 103.811 system32.txt 07.09.2005 23:33 536.449.024 hiberfil.sys 07.09.2005 23:33 805.306.368 pagefile.sys 07.09.2005 23:32 211 boot.ini 07.09.2005 23:31 0 win.txt 07.09.2005 23:31 76 log.txt 06.09.2005 22:40 0 23990098.$$$ 06.09.2005 22:40 6 AVPCallback.log 05.09.2005 10:56 753 smitfiles.txt 15.07.2005 19:10 475.136 ffastunT.ffl 15.07.2005 12:31 5.147 ffastun.ffa 15.07.2005 12:31 544.768 ffastun.ffo 15.07.2005 12:31 475.136 ffastun.ffl 15.07.2005 12:31 1.933.312 ffastun0.ffx 04.05.2005 09:51 47.564 NTDETECT.COM 04.05.2005 09:51 251.184 ntldr 03.05.2005 18:35 90 LogiSetup.log 03.05.2005 15:05 0 IO.SYS 03.05.2005 15:05 0 CONFIG.SYS 03.05.2005 15:05 0 AUTOEXEC.BAT 03.05.2005 15:05 0 MSDOS.SYS 02.04.2003 14:00 4.952 bootfont.bin 25 Datei(en) 1.345.603.019 Bytes Und hier zum Schluss nochmal ein Hijackthis Log Logfile of HijackThis v1.99.1 Scan saved at 23:41:45, on 07.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Norton Internet Security\IAMAPP.EXE C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\SymProxySvc.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\Norton Internet Security\NISSERV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Norton Internet Security\ATRACK.EXE C:\WINDOWS\System32\alg.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\tanja_j\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lexmark.com/MD/?func=newreg&lang=2&prtr=4413001&ctry=00000407&os=5&src=1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2EEF63EE-C811-4075-A846-B76D80B2507C}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: CWShredder Service - InterMute, Inc. - C:\Dokumente und Einstellungen\tanja_j\Eigene Dateien\programme\cwshredder.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
|
|
||
08.09.2005, 00:55
Ehrenmitglied
Beiträge: 29434 |
#23
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:
dir C:\WINDOWS\System32\winlogon.exe /a h > files.txt notepad files.txt - Speichern als: Findfile.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate FindFile.bat--> doppelklick auf die bat-Datei , der Editor öffnet sich-->poste den Text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.09.2005, 10:10
...neu hier
Themenstarter Beiträge: 9 |
||
|
||
08.09.2005, 14:45
Ehrenmitglied
Beiträge: 29434 |
#25
klicke bitte die winlogon.exe mit rechtsklick an --> Eigenschaften und schreibe, was dort aufgefuehrt ist.
FindIt.zip http://bilder.informationsarchiv.net/Nikitas_Tools/FindIt.zip Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages] DOS öffnet sich -- warte den Scan ab -- es öffnet sich der Texteditor -- und poste den Text von output.txt. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Zitat
__________
MfG Sabina
rund um die PC-Sicherheit