Home » Viren, Trojaner & Malware Forum » hclean ballon,hgqhp.exe, NameServer = 195.95.218.35,85.255.112.11 » Themenansicht

hclean ballon,hgqhp.exe, NameServer = 195.95.218.35,85.255.112.11

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.09.2005, 11:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Hallo@Eckart ;)

wenn du noch einmal mit Spybot scannst, meldet sich dann der Antivirus wieder?
Oder hat sich das nach Deaktivieren der Systemwiederherstellung erledigt?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.09.2005, 13:46
Eckart
Member

Themenstarter

Beiträge: 23
#17 Antivir hat sich bereits nach dem deaktivieren der Systemwiederherstellung gemeldet, zweimal sogar. Weil ein Eintrag nicht entfernt werden konnte, habe ich dann neu gebootet und nochmal spybot gestartet. Wieder hat Antivir eine Meldung rausgelassen. Daraufhin hab ich nochmals rebootet und spyware hat mir dann gratuliert, dass es keine Spione gefunden hat!
Habe bis jetzt allerdings die Systemwiederherstellung nicht wieder aktiviert.

Mittlerweile hab ich auch ewido noch mal mit einem Komplettscan drüberlaufen lassen und wieder wurde etwas gefunden:
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 13:42:15, 13.09.2005
+ Report-Checksumme: 3FD18C12

+ Scanergebnis:

C:\Dokumente und Einstellungen\Diana\Cookies\diana@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Eckart\Cookies\eckart@adserver.71i[1].txt -> Spyware.Cookie.71i : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Eckart\Cookies\eckart@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Eckart\Cookies\eckart@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.001 -> Spyware.FindSpy : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.002 -> Spyware.FindSpy : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.VIR -> Spyware.FindSpy : Gesäubert mit Backup
C:\Programme\SpamPal\zlib.dll -> Trojan.Smitfraud : Gesäubert mit Backup


::Report Ende
gut, die antivir dateien, waren in quarantäne, aber wo kommen die anderen schon wieder her????

Dürfte ich meinen PC jetzt für von dem bisherigen Trojaner befreit ansehen?
Seitenanfang Seitenende
13.09.2005, 13:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 seufz...das nimmt kein Ende....

loesche mit der Killbox:
C:\WINDOWS\system32\rdsndin.exe
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.001
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.002
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.VIR

(deinstallieren, und loeschen)
C:\Programme\SpamPal

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.09.2005, 14:02
Eckart
Member

Themenstarter

Beiträge: 23
#19 Hab Problem mit Killbox, beim Bestätigen bei der letzten Datei mit 'Ja' kommt kurz darauf dei Meldung "PendingFileRenameOperations Registry Data has been Removed by External Process >>OK"
Was nun?
Reboot ohne Killbox, und nochmal probieren?
Seitenanfang Seitenende
13.09.2005, 14:05
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 ja, neustarten (du selbst)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.09.2005, 14:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 wenn alles fertig ist, arbeite das auch noch ab:

Wareout Remover
http://forum.hijackthis.de/showthread.php?t=7597


Downloade den Remover (angehängt)entpacke und speichere ihn auf deinem Desktop

Starte im abgesicherten Modus neu, starte dort keine anderen Programme, kein Internet Explorer oder ähnliches

Starte den wareout_remover.exe, drücke install, warte (explorer fenster verschwindet kurz)

dann poste mir den Report (ungefaehr so;)

Zitat

Fixwareout

please post this report in the forum
»»»»» Search by size and names...
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...
D:\WINNT\SYSTEM32\HCLEAN32.EXE

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.09.2005, 14:14
Eckart
Member

Themenstarter

Beiträge: 23
#22 Problem mit Killbox besteht nach wie vor...
sorry, was soll ich tun?
Seitenanfang Seitenende
13.09.2005, 14:15
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 (deinstallieren, und loeschen)
C:\Programme\SpamPal

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

wenn alles fertig ist, arbeite das auch noch ab:
Wareout Remover
http://forum.hijackthis.de/showthread.php?t=7597
-Downloade den Remover (angehängt)entpacke und speichere ihn auf deinem Desktop
-Starte im abgesicherten Modus neu, starte dort keine anderen Programme, kein Internet Explorer oder ähnliches
-Starte den wareout_remover.exe, drücke install, warte (explorer fenster verschwindet kurz)
-dann poste mir den Report

L2mfix
und wenn das auch fertig ist, lade (und mache die 2 Durchlaeufe --> poste alle 2)
http://virus-protect.org/L2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.09.2005, 14:29
Eckart
Member

Themenstarter

Beiträge: 23
#24 ok, smitfile hat nix gefunden:

smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~

mache jetzt l2mfix
Seitenanfang Seitenende
13.09.2005, 14:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 ok. und dann auch den Wareout-Remover ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.09.2005, 19:33
horrst
...neu hier

Beiträge: 10
#26 Hallo Sabina, hier bin ich wieder mit meinen Problemen...

Da sind die logs, mit denen wir dann wohl noch mal von vorne anfangen... Wie gesagt, die Probleme, die ich habe sind denen von Eckart sehr ähnlich. Dabei bleibt ja auch noch mein Google-Problem... Danke für deinen Einsatz!

Logfile of HijackThis v1.99.1
Scan saved at 19:10:41, on 13.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\gtwatch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ComCenter\IWatch.exe
C:\WINDOWS\twain_32\S6U12K\WATCH.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Totto\Desktop\HijackThis\1_99_1.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [dmvgw.exe] C:\WINDOWS\system32\dmvgw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12K\WATCH.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126008246262
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DCBC11E-A519-4325-A9DC-9B5BFA699508}: NameServer = 195.95.218.35 85.255.112.11
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AtiPTA" = "atiptaxx.exe" ["ATI Technologies, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Gtwatch" = "C:\WINDOWS\gtwatch.exe" [null data]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe" ["HP"]
"(Default)" = (empty string)
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"dmvgw.exe" = "C:\WINDOWS\system32\dmvgw.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealOne Player\rpshellext.dll" ["RealNetworks"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\KODAK\IFSCore\kodakshx.dll" ["Eastman Kodak Company"]
"{ED65AB21-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" ["Siemens AG"]
"{ED65AB22-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile ContextMenuHandler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" ["Siemens AG"]
"{ED65AB23-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile PropertySheetHandler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" ["Siemens AG"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Totto" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"ISDNWatch" -> shortcut to: "C:\Programme\ComCenter\IWatch.exe" ["AVM Berlin"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"Watch" -> shortcut to: "C:\WINDOWS\twain_32\S6U12K\WATCH.exe" ["Common Group"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, "C:\Programme\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
PCTEL Speaker Phone, Pctspk, "C:\WINDOWS\system32\pctspk.exe" ["PCtel, Inc."]
ScsiAccess, ScsiAccess, "C:\WINDOWS\System32\ScsiAccess.EXE" [null data]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 49 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 18 seconds.
---------- (total run time: 103 seconds)





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 303E-725C

Verzeichnis von C:\WINDOWS\system32

11.09.2005 16:20 45.568 ntfsnlpa.exe
11.09.2005 16:16 13.002 wpa.dbl
09.09.2005 18:57 173.872 FNTCACHE.DAT
09.09.2005 17:51 48.354 perfc007.dat
09.09.2005 17:51 40.128 perfc009.dat
09.09.2005 17:51 316.924 perfh007.dat
09.09.2005 17:51 311.740 perfh009.dat
09.09.2005 17:51 723.744 PerfStringBackup.INI
07.09.2005 13:47 269 spupdwxp.log
03.09.2005 13:05 643.471 loadctr32.exe
03.09.2005 13:02 54.792 cspdd.exe
04.08.2005 18:54 1.457.496 MRT.exe
19.07.2005 19:04 3.012.096 mshtml.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 303E-725C

Verzeichnis von C:\DOKUME~1\...\LOKALE~1\Temp

13.09.2005 19:16 512 ~DFA9D2.tmp
13.09.2005 19:16 512 ~DFA9E2.tmp
13.09.2005 19:16 30.208 ~WRS0003.tmp
13.09.2005 19:10 512 ~DF4493.tmp
4 Datei(en) 31.744 Bytes
0 Verzeichnis(se), 5.274.202.112 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 303E-725C

Verzeichnis von C:\WINDOWS

13.09.2005 18:57 0 0.log
13.09.2005 18:56 1.210.220 WindowsUpdate.log
13.09.2005 18:56 157 wiadebug.log
13.09.2005 18:56 50 wiaservc.log
13.09.2005 18:56 2.048 bootstat.dat
13.09.2005 16:21 32.594 SchedLgU.Txt
13.09.2005 16:18 378.899 setupapi.log
12.09.2005 15:34 4.517 ULEAD32.INI
11.09.2005 22:00 436.928 ntbtlog.txt
09.09.2005 18:52 46.786 iis6.log
09.09.2005 18:52 113.802 comsetup.log
09.09.2005 18:52 1.355 imsins.log
09.09.2005 18:52 15.770 ocmsn.log
09.09.2005 18:52 123.441 tsoc.log
09.09.2005 18:52 68.865 ntdtcsetup.log
09.09.2005 18:52 16.552 KB887472.log
09.09.2005 18:52 158.552 ocgen.log
09.09.2005 18:52 16.039 msgsocm.log
09.09.2005 18:52 310.942 FaxSetup.log
09.09.2005 18:52 1.355 imsins.BAK
09.09.2005 18:52 13.792 KB901214.log
09.09.2005 18:52 8.214 updspapi.log
09.09.2005 18:52 5.523 KB885884.log
09.09.2005 18:51 13.171 KB893086.log
09.09.2005 18:51 17.616 KB890859.log
09.09.2005 18:02 10.694 KB885835.log
09.09.2005 18:01 2.066 vminst.log
09.09.2005 16:37 18.286 KB899587.log
09.09.2005 16:37 17.406 KB896422.log
09.09.2005 16:36 16.394 KB885836.log
09.09.2005 16:36 17.074 KB885250.log
09.09.2005 16:36 17.680 KB899591.log
09.09.2005 16:36 17.794 KB893756.log
09.09.2005 16:36 15.874 KB873339.log
09.09.2005 16:36 18.476 KB896727.log
09.09.2005 16:35 13.434 KB888113.log
09.09.2005 16:35 13.775 KB887742.log
09.09.2005 16:35 14.293 KB896358.log
09.09.2005 16:35 13.249 KB891781.log
09.09.2005 16:35 14.246 KB890046.log
09.09.2005 16:35 13.637 KB893066.log
09.09.2005 16:35 14.927 KB873333.log
09.09.2005 16:35 12.842 KB888302.log
09.09.2005 16:34 9.783 KB886185.log
09.09.2005 16:34 13.723 KB899588.log
09.09.2005 16:34 12.509 KB896428.log
09.09.2005 16:34 13.424 KB894391.log
09.09.2005 14:12 25.580 wmsetup.log
09.09.2005 06:59 7.716 KB896423.log
08.09.2005 21:08 8.199 KB893803v2.log
08.09.2005 21:07 1.240 avmcoins.log
07.09.2005 22:05 6.807 KB898461.log
07.09.2005 14:02 807 avmenum32.log
07.09.2005 13:52 4.270 OEWABLog.txt
07.09.2005 13:51 779.224 setuplog.txt
07.09.2005 13:48 28.992 spupdsvc.log
07.09.2005 13:48 360 DtcInstall.log
07.09.2005 13:48 316.640 WMSysPr9.prx
07.09.2005 06:43 449.853 svcpack.log
07.09.2005 06:40 200 cmsetacl.log
07.09.2005 06:40 686 win.ini
07.09.2005 06:39 1.330 sessmgr.setup.log
06.09.2005 21:26 12 dirsaver.ini
06.09.2005 19:57 30.404 xpsp1hfm.log
06.09.2005 19:57 18.102 Q811630.log
06.09.2005 19:57 17.146 Q817606.log
06.09.2005 19:56 961 Q323255.log
06.09.2005 16:02 116 NeroDigital.ini
06.09.2005 15:50 27.380 KB828741.log
06.09.2005 15:50 1.060.992 setupapi.log.0.old
06.09.2005 15:50 22.506 KB835732.log
06.09.2005 15:49 13.821 Q329834.log
06.09.2005 15:49 29.401 KB823559.log
06.09.2005 15:48 13.431 Q329048.log
06.09.2005 15:48 14.106 KB834707-IE6-20040929.115007.log
06.09.2005 15:48 23.012 Q810577.log
06.09.2005 15:47 19.870 Q810833.log
06.09.2005 15:46 19.509 Q329441.log
06.09.2005 15:45 16.493 Q329170.log
06.09.2005 15:43 652 Q329390.log
06.09.2005 14:14 5.845 KB842773.log
06.09.2005 14:14 174.886 setupact.log
05.09.2005 19:28 227 system.ini
03.09.2005 14:27 1.409 QTFont.for
03.09.2005 14:27 54.156 QTFont.qfn
23.08.2005 18:44 30 iedit.INI
08.07.2005 15:53 17.658 cdplayer.ini
01.06.2005 22:02 4.214 ModemLog_HSP56 Micromodem.txt
27.05.2005 01:22 10.752 hh.exe
03.05.2005 19:54 1.491.833 screensaver_offline.scr
11.04.2005 21:17 22 kodakpcd.Totto.ini
18.01.2005 18:25 78.848 Thumbs.db
14.01.2005 19:20 74.476 Directx.log
13.12.2004 17:59 43 SFTIFFER.INI
02.11.2004 12:58 49.590 UNNMP.cfg
02.11.2004 12:58 150.263 UNNeroVision.cfg
22.10.2004 17:12 2.293.760 UNNeroVision.exe
13.10.2004 14:28 2.277.376 UNNMP.exe
15.09.2004 17:38 258.048 Setup1.exe
15.09.2004 17:38 74.752 ST6UNST.EXE
14.09.2004 16:49 19.218 Windows Update.log
07.09.2004 15:38 19 RETRIEVE.INI
06.09.2004 18:20 1.720 DEISL3.ISU
06.09.2004 18:06 43 WININIT.INI
06.09.2004 18:06 116.176 iun1405.exe
26.08.2004 19:54 0 PROTOCOL.INI
26.08.2004 17:22 1.720 DEISL2.ISU
26.08.2004 16:09 1.747 DEISL1.ISU
19.08.2004 15:02 1.220 avmadd32.log
04.08.2004 09:58 288.768 winhlp32.exe
04.08.2004 09:58 32.866 slrundll.exe
04.08.2004 09:58 153.600 R.COM
04.08.2004 09:58 153.600 regedit.exe
04.08.2004 09:58 153.600 REGEDIT.COM
04.08.2004 09:58 70.144 notepad.exe
04.08.2004 09:57 1.035.264 explorer.exe
04.08.2004 09:57 50.688 twain_32.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 303E-725C

Verzeichnis von C:\

13.09.2005 19:24 0 sys.txt
13.09.2005 19:24 9.425 system.txt
13.09.2005 19:24 440 systemtemp.txt
13.09.2005 19:21 103.138 system32.txt
13.09.2005 18:56 402.653.184 pagefile.sys
08.09.2005 20:29 0 23990098.$$$
08.09.2005 20:29 6 AVPCallback.log
07.09.2005 06:40 211 boot.ini
07.09.2005 06:29 47.564 NTDETECT.COM
07.09.2005 06:29 251.184 ntldr
05.09.2005 12:05 10.125 daily.avc
05.09.2005 12:05 11.404 avp.klb
05.09.2005 12:05 10.841 daily-ex.avc
04.09.2005 23:12 56.341 troj024.avc
04.09.2005 23:12 50.496 troj029.avc
04.09.2005 20:45 290.816 esupdate.exe
04.09.2005 20:14 254.528 mwavscan.com
04.09.2005 15:14 46.993 troj034.avc
03.09.2005 12:49 80.833 virus016.avc
03.09.2005 12:49 33.298 virus020.avc
03.09.2005 12:49 20.503 worm006.avc
03.09.2005 12:49 20.729 fa.avc
03.09.2005 12:49 55.376 unp026.avc
03.09.2005 12:49 41.540 gen003.avc
03.09.2005 12:49 14.803 ext005.avc
03.09.2005 12:49 42.019 gen999.avc
03.09.2005 12:49 35.796 malw004.avc
03.09.2005 12:49 48.106 ext003.avc
01.09.2005 10:58 143.636 spydb.avs
01.09.2005 10:21 47.082 troj026.avc
01.09.2005 10:21 50.867 unp025.avc
01.09.2005 10:21 43.227 unp024.avc
31.08.2005 23:35 43.633 Finnish.Age
31.08.2005 23:35 41.180 Polish.Age
31.08.2005 23:35 46.388 French.Age
31.08.2005 23:35 47.186 Spanish.Age
31.08.2005 23:35 42.782 Romanian.Age
31.08.2005 23:35 46.354 Portuguese.Age
31.08.2005 23:35 54.339 Italian.Age
31.08.2005 23:35 56.184 German.Age
31.08.2005 10:44 49.965 troj015.avc
31.08.2005 10:44 49.646 troj033.avc
31.08.2005 10:44 56.640 troj022.avc
31.08.2005 10:44 52.069 unp009.avc
31.08.2005 10:44 54.934 unp003.avc
31.08.2005 10:44 8.009 unp000.avc
31.08.2005 10:44 54.699 malw002.avc
31.08.2005 10:44 38.493 unp012.avc
30.08.2005 10:27 77.385 virus012.avc
30.08.2005 10:27 75.197 virus008.avc
30.08.2005 03:20 114.688 msvlclnt.dll
30.08.2005 03:18 38.976 Getvlist.exe
29.08.2005 18:59 48.691 ext004.avc
29.08.2005 10:49 47.309 gen002.avc
29.08.2005 10:49 1.570 avp.set
29.08.2005 10:49 109.327 troj003.avc
29.08.2005 10:49 61.365 unp014.avc
29.08.2005 10:49 51.447 troj025.avc
29.08.2005 10:49 1.970 eicar.avc
29.08.2005 10:49 50.243 troj020.avc
26.08.2005 12:06 50.483 troj008.avc
26.08.2005 12:06 61.028 krnunp.avc
26.08.2005 12:06 51.801 troj011.avc
26.08.2005 12:06 55.656 troj023.avc
26.08.2005 12:06 56.901 unp001.avc
26.08.2005 12:06 70.399 ca.avc
26.08.2005 12:06 50.406 troj016.avc
24.08.2005 16:29 4.749 Polish.dow
24.08.2005 16:29 1.693 Polish.tcp
24.08.2005 16:29 9.655 Polish.con
24.08.2005 16:29 5.412 French.dow
24.08.2005 16:29 10.372 French.con
24.08.2005 16:29 1.886 French.tcp
24.08.2005 16:29 5.354 Portuguese.dow
24.08.2005 16:29 10.655 Portuguese.con
24.08.2005 16:29 1.895 Portuguese.tcp
24.08.2005 13:01 49.243 ext001.avc
24.08.2005 13:01 48.717 troj030.avc
24.08.2005 13:01 78.228 virus013.avc
24.08.2005 13:01 50.067 troj031.avc
24.08.2005 13:01 81.443 unp023.avc
23.08.2005 15:51 487.424 Download.exe
20.08.2005 18:18 9.704 English.con
20.08.2005 18:18 9.704 config.lan
20.08.2005 14:48 59.950 malw001.avc
20.08.2005 14:48 49.303 troj032.avc
20.08.2005 14:48 41.459 troj028.avc
20.08.2005 14:48 29.370 gen004.avc
18.08.2005 17:45 67.241 unp004.avc
18.08.2005 17:45 71.736 unp002.avc
18.08.2005 15:37 339.968 MWAVReg.EXE
17.08.2005 16:36 49.623 troj012.avc
17.08.2005 16:36 50.230 troj021.avc
16.08.2005 15:33 51.387 troj006.avc
16.08.2005 15:33 56.352 virus019.avc
16.08.2005 15:33 50.678 troj007.avc
16.08.2005 15:33 34.766 gen001.avc
16.08.2005 15:33 74.128 virus007.avc
16.08.2005 15:24 58.536 bitmap1.bmp
16.08.2005 15:24 58.536 about.bmp
13.08.2005 19:43 50.873 troj009.avc
12.08.2005 19:01 80.280 unp019.avc
12.08.2005 19:01 50.223 troj010.avc
12.08.2005 19:01 51.739 worm003.avc
10.08.2005 18:32 76.290 virus015.avc
10.08.2005 18:32 43.421 troj027.avc
09.08.2005 18:22 101.222 troj001.avc
06.08.2005 15:11 41.565 English.Age
06.08.2005 15:11 41.565 language.ini
03.08.2005 17:09 1.235 gprs_log.txt
01.08.2005 13:10 14.376 Polish.lic
Seitenanfang Seitenende
13.09.2005, 19:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 Hallo@horrst

loesche mit der Killbox:

C:\WINDOWS\system32\dmvgw.exe
C:\WINDOWS\system32\ntfsnlpa.exe
C:\WINDOWS\system32\loadctr32.exe
C:\WINDOWS\system32\cspdd.exe

neustarten

fixe mit dem HijackThis:

O4 - HKLM\..\Run: [dmvgw.exe] C:\WINDOWS\system32\dmvgw.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DCBC11E-A519-4325-A9DC-9B5BFA699508}: NameServer = 195.95.218.35 85.255.112.11

neustarten

scanne und poste mir das log
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.09.2005, 20:03
Eckart
Member

Themenstarter

Beiträge: 23
#28 Ok sabrina! (btw: danke für deine Mühe und Geduld!)

hier die logs:

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{1CDB2949-8F65-4355-8456-263E7C208A5D}"="Desktop Explorer"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}"="Desktop Explorer Menu"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}"="nView Desktop Context Menu"
"{F5D92341-0A64-11D0-9956-0000E8096023}"="CD Copy Shell Extension"
"{F5D92342-0A64-11D0-9956-0000E8096023}"="CD Wizard Shell Extension"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"="Adobe.Acrobat.ContextMenu"
"{5464D816-CF16-4784-B9F3-75C0DB52B499}"="Yahoo! Mail"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
icm32.dll Wed 29 Jun 2005 3:55:02 A.... 237.056 231,50 K
kerberos.dll Wed 15 Jun 2005 19:51:08 A.... 285.184 278,50 K
mscms.dll Wed 29 Jun 2005 3:55:02 A.... 68.608 67,00 K
tapisrv.dll Fri 8 Jul 2005 18:10:46 A.... 238.592 233,00 K
umpnpmgr.dll Thu 30 Jun 2005 4:15:36 A.... 108.544 106,00 K

5 items found: 5 files, 0 directories.
Total of file sizes: 937.984 bytes 916,00 K
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0807-9594

Verzeichnis von C:\WINDOWS\System32

18.08.2005 22:51 <DIR> dllcache
21.02.2004 00:54 <DIR> Microsoft
05.01.2002 04:40 487.424 msvcp70.dll
05.01.2002 04:37 344.064 msvcr70.dll
2 Datei(en) 831.488 Bytes
2 Verzeichnis(se), 12.753.715.200 Bytes frei





Setting Directory
C:\
C:\
System Rebooted!

Running From:
C:\

killing explorer and rundll32.exe

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 512 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 748 'rundll32.exe'

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!

Zipping up files for submission:
adding: clear.reg (188 bytes security) (deflated 2%)
adding: CTJINI.INI (188 bytes security) (deflated 3%)
adding: lo2.txt (188 bytes security) (deflated 51%)
adding: log.txt (188 bytes security) (deflated 60%)
adding: Readme.txt (188 bytes security) (deflated 31%)
adding: report.txt (188 bytes security) (deflated 25%)
adding: smitfiles.txt (188 bytes security) (deflated 70%)
adding: start.txt (188 bytes security) (stored 0%)
adding: sys.txt (188 bytes security) (deflated 60%)
adding: system.txt (188 bytes security) (deflated 71%)
adding: system32.txt (188 bytes security) (deflated 79%)
adding: systemtemp.txt (188 bytes security) (deflated 75%)
adding: test.txt (188 bytes security) (stored 0%)
adding: test2.txt (188 bytes security) (stored 0%)
adding: test3.txt (188 bytes security) (stored 0%)
adding: test5.txt (188 bytes security) (stored 0%)
adding: win.txt (188 bytes security) (deflated 72%)
adding: windows.txt (188 bytes security) (stored 0%)

Restoring Registry Permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Revoking access for predefined group "Administrators"
Inherited ACE can not be revoked here!
Inherited ACE can not be revoked here!


Registry permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


Restoring Sedebugprivilege:

Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332

Restoring Windows Update Certificates.:
Setting Directory
C:\
C:\
System Rebooted!

Running From:
C:\

killing explorer and rundll32.exe

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 660 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 764 'rundll32.exe'

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!

Zipping up files for submission:
updating: clear.reg (188 bytes security) (deflated 2%)
adding: cleanup.reg (188 bytes security) (deflated 45%)
updating: CTJINI.INI (188 bytes security) (deflated 3%)
updating: lo2.txt (188 bytes security) (deflated 74%)
updating: log.txt (188 bytes security) (deflated 60%)
updating: Readme.txt (188 bytes security) (deflated 31%)
updating: report.txt (188 bytes security) (deflated 25%)
updating: smitfiles.txt (188 bytes security) (deflated 70%)
updating: start.txt (188 bytes security) (stored 0%)
updating: sys.txt (188 bytes security) (deflated 60%)
updating: system.txt (188 bytes security) (deflated 71%)
updating: system32.txt (188 bytes security) (deflated 79%)
updating: systemtemp.txt (188 bytes security) (deflated 75%)
updating: test.txt (188 bytes security) (stored 0%)
updating: test2.txt (188 bytes security) (stored 0%)
updating: test3.txt (188 bytes security) (stored 0%)
updating: test5.txt (188 bytes security) (stored 0%)
updating: win.txt (188 bytes security) (deflated 72%)
updating: windows.txt (188 bytes security) (stored 0%)

Restoring Registry Permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Revoking access for predefined group "Administrators"
Inherited ACE can not be revoked here!
Inherited ACE can not be revoked here!


Registry permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


Restoring Sedebugprivilege:

Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332

Restoring Windows Update Certificates.:


The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000


The following are the files found:
****************************************************************************

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************
****************************************************************************






warn das die richtigen??
irgendwie check ichs nimmer..

mit dem wareoutremover komm ich irgendwie nicht klar, irgendwie muss mann da doch einen "random part" entfernen oder versteh ich da was falsch???

bis denne
Dieser Beitrag wurde am 13.09.2005 um 20:12 Uhr von Eckart editiert.
Seitenanfang Seitenende
13.09.2005, 21:29
horrst
...neu hier

Beiträge: 10
#29 Oh Sabina,

weitere Probleme:

C:\WINDOWS\system32\dmvgw.exe

konnte auf meinem System nicht, folglich auch keinen Eintrag in Hijack-log. Auch erscheint der Eintrag

O17 - HKLM\System\CCS\Services\Tcpip\..\{7DCBC11E-A519-4325-A9DC-9B5BFA699508}: NameServer = 195.95.218.35 85.255.112.11

erst, wenn ich mich ins Netz einwähle und dann mit Hijackthis scanne.

1. Kann es sein, dass sich die Datei C:\WINDOWS\system32\dmvgw.exe beim Systemstart umbenennt (vgl. log) Kann ich die umbenannte Datei dm....exe dann gefahrlos löschen?

hier noch mal die Hijack-log (mit dem Ewido-Scanner habe ich jetzt noch gewartet):

Logfile of HijackThis v1.99.1
Scan saved at 21:21:44, on 13.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\gtwatch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ComCenter\IWatch.exe
C:\WINDOWS\twain_32\S6U12K\WATCH.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Totto\Desktop\HijackThis\1_99_1.exe
C:\Dokumente und Einstellungen\Totto\Desktop\HijackThis\1_99_1.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\System32\alg.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [dmbmj.exe] C:\WINDOWS\system32\dmbmj.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12K\WATCH.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126008246262
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
Seitenanfang Seitenende
13.09.2005, 23:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 Hallo@horrst

start-->Ausfuehren--> regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
"NameServer" = "195.95.218.4,85.255.112.9"<--loeschen

HKEY_CURRENT_USER\RemoteAccess\Profile
"IP" = "02,00,00,00,00,00,00,00,c4,b0,32,45,25,b0,e1,c3,00,00,00,00,00,00,00,00,00,00,00,00"<---loeschen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
\Parameters\Adapters
"NameServer" = "69.50.176.196,195.225.176.37"<--loeschen


------------------------------------------------------------------------------------

C:\Documents and Settings\All Users\Application Data\rasphone.pbk

Windowssuche:
eingeben: rasphone.pbk --> rechtsklick --> oeffnen mit -->
nimm das Haekchen raus aus" Deselect the "Always use this program to open this program" check box." (mein System ist in Englisch..ich weiss nicht, wie das auf einem dt.System heisst)

scrolle bis du zum Notepad(Texteditor) kommst --> oeffnen-->
loesche:

"IpDnsAddress=69.50.176.196"
"IpDns2Address=192.225.176.37"
"IpNameAssign=2"

abspeichern im Notepad und schliessen

Zitat

# Windows XP

1. Click Start, and then click Search.
2. Click All files and folders.
3. In the "All or part of the file name" box, type:

rasphone.pbk
4. Verify that "Look in" is set to "Local Hard Drives" or to (C;).
5. Click "More advanced options."
6. Check "Search system folders."
7. Check "Search subfolders."
8. Click Search.
9. Click Find Now or Search Now.
10. If you find rasphone.pbk file, right-click the file, and then click "Open With."
11. Deselect the "Always use this program to open this program" check box.
12. Scroll through the list of programs and double-click Notepad.
13. When the file opens, delete the entries below:

"IpDnsAddress=69.50.176.196"
"IpDns2Address=192.225.176.37"
"IpNameAssign=2"

14. Close Notepad and save your changes when prompted.

http://securityresponse.symantec.com/avcenter/venc/data/pf/trojan.flush.a.html
------------------------------------------------------------------------

oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern (dann erscheint eine wareout.reg auf dem Desktop)

http://virus-protect.org/reg/wareout.reg

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "wareout.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

scannen (scanne im abgesicherten Modus ohne internetverbindung) + poste mir den Scanreport ;)
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: