NewDotNet/NewDotNet.dll /A.7.Virus - keine Internetverbindung mehr ?

Thema ist geschlossen!
Thema ist geschlossen!
#0
09.02.2007, 14:51
Member

Beiträge: 12
#151 Liebe Sabina,

Vorab: teilweise dllhost-Löschung vorgenommen:
Ich bin nach meinem letzten Posting den Hinweis von regsearch gefolgt, hab PREVX1 installiert und damit die dllhost.exe im Autostartordner gefunden und gelöscht.
Sorry wegen eigenmächtigem Eingriff, aber ich wollte einfach wieder in normaler Geschwindigkeit agieren können. Nach mehrmaligem Neustart und Deaktivierung der Datei im Systemstart konnte ich dllhost.exe endlich direkt aus dem Autostart-Ordner löschen. Nun wird dllhost.exe zwar immer noch im Systemstart mit Standort Autostart-Ordner gelistet, aber wird nun endlich als deaktiviert angezeigt. (Bisher hatte ich sie ja immer deaktiviert, sie erschien aber nach jedem Neustart doch wieder als aktiviert).
Und das Beste: Das System ist wieder schnell!
Frage betreff anderer User:
Es wurden noch andere User im System eingerichtet, einer davon auch als Administrator, dort habe ich bisher nichts getan. Muss ich das in irgendeiner Form berücksichtigen?
Zu den unten geposteten Berichten:
Das listen.bat-Protokoll umfasst 2900 Zeilen und zeigt durch die Auflisten aller Dateinamen aus meinem Eigene-Dateien-Ordner mein halbes Privatleben incl. Vor- und Nachname und Wohnort auf. Lässt sich das nicht irgendwie umgehen? Ich habe diesen Bericht erstmal weggelassen.

Report regsearch {83165fee-9627-9da2-5526-9d1bc27110b3}
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0
; Results at 09.02.2007 13:03:35 for strings:
; '{83165fee-9627-9da2-5526-9d1bc27110b3}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83165FEE-9627-9DA2-5526-9D1BC27110B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83165FEE-9627-9DA2-5526-9D1BC27110B3}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83165FEE-9627-9DA2-5526-9D1BC27110B3}\Programmable]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83165FEE-9627-9DA2-5526-9D1BC27110B3}\TypeLib]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83165FEE-9627-9DA2-5526-9D1BC27110B3}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83165FEE-9627-9DA2-5526-9D1BC27110B3}\iexplore]
; End Of The Log...

Report regsearch dllhost
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0
; Results at 09.02.2007 13:10:43 for strings:
; 'dllhost'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{00000141-0000-0000-C000-000000000046}]
@="IDLLHost"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^dllhost.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^dllhost.exe]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\dllhost.exe"
"backup"="C:\\WINDOWS\\pss\\dllhost.exeCommon Startup"
"command"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\dllhost.exe"
"item"="dllhost"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\Memory Management\PrefetchParameters]
"HostingAppList"="DLLHOST.EXE,MMC.EXE,RUNDLL32.EXE"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\Memory Management\PrefetchParameters]
"HostingAppList"="DLLHOST.EXE,MMC.EXE,RUNDLL32.EXE"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Session Manager\Memory Management\PrefetchParameters]
"HostingAppList"="DLLHOST.EXE,MMC.EXE,RUNDLL32.EXE"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"HostingAppList"="DLLHOST.EXE,MMC.EXE,RUNDLL32.EXE"
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604]
"000"="dllhost"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\EXE]
"g"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\dllhost.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\dllhost.exe"="dllhost"

Report regsearch pedevice
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0
; Results at 09.02.2007 13:20:21 for strings:
; 'pedevice'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{39D37D53-EAB9-4E04-9AC2-1D72F051590C}\InProcServer32]
@="C:\\Programme\\PeDevice\\PeDevPS.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4499F8BB-234F-4c22-9131-5B147BD231B4}\LocalServer32]
@="\"C:\\Programme\\PeDevice\\PeDev.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B2369FD-C388-404d-B3A8-DD4784267EA1}\LocalServer32]
@="\"C:\\Programme\\PeDevice\\PeDev.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5CE9E73-125D-4e2f-8CB2-1349AB21EB53}\LocalServer32]
@="\"C:\\Programme\\PeDevice\\PeDev.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B424100F-21D7-4660-B2D0-90C71A597177}\LocalServer32]
@="\"C:\\Programme\\PeDevice\\PeDev.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28252909-1BE7-4236-BD77-B59CFF2AE6C4}\1.0\0\win32]
@="C:\\Programme\\PeDevice\\PeDev.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28252909-1BE7-4236-BD77-B59CFF2AE6C4}\1.0\HELPDIR]
@="C:\\Programme\\PeDevice\\"
[HKEY_CURRENT_USER\Software\PeDev]
"Path"="C:\\Programme\\PeDevice"
; End Of The Log...

Report cmd find
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C0E-2B4B
Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$
18.08.2001 20:00 4.608 dllhost.exe
1 Datei(en) 4.608 Bytes
Verzeichnis von c:\WINDOWS\Prefetch
09.02.2007 04:27 51.044 DLLHOST.EXE-3ADD119C.pf
05.02.2007 22:20 28.320 DLLHOST.EXE-53FF79ED.pf
2 Datei(en) 79.364 Bytes
Verzeichnis von c:\WINDOWS\pss
05.02.2007 11:28 393.216 dllhost.exeCommon Startup
1 Datei(en) 393.216 Bytes
Verzeichnis von c:\WINDOWS\ServicePackFiles\i386
04.08.2004 08:57 5.120 dllhost.exe
1 Datei(en) 5.120 Bytes
Verzeichnis von c:\WINDOWS\system32
04.08.2004 08:57 5.120 dllhost.exe
1 Datei(en) 5.120 Bytes
Anzahl der angezeigten Dateien:
6 Datei(en) 487.428 Bytes
0 Verzeichnis(se), 3.537.817.600 Bytes frei


Report: Avenger
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ifrvgfno
*******************
Script file located at: \??\C:\WINDOWS\system32\upkavlvn.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX\0000 failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX\0000 failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX\0000 failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX
Status: 0xc0000034
File C:\WINDOWS\system32\sporder.dll deleted successfully.
File C:\WINDOWS\system32\vbzip10.dll deleted successfully.
File C:\WINDOWS\Downloaded Program Files\NI.UERSU_0001_N68M1402 not found!
Deletion of file C:\WINDOWS\Downloaded Program Files\NI.UERSU_0001_N68M1402 failed!
Could not process line:
C:\WINDOWS\Downloaded Program Files\NI.UERSU_0001_N68M1402
Status: 0xc0000034
File C:\Dokumente und Einstellungen\Hannah\Desktop\ErrorSafeScannerInstall_de.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Hannah\Desktop\ErrorSafeScannerInstall_de.exe failed!
Could not process line:
C:\Dokumente und Einstellungen\Hannah\Desktop\ErrorSafeScannerInstall_de.exe
Status: 0xc0000034
File C:\WINDOWS\system32\miz.dll not found!
Deletion of file C:\WINDOWS\system32\miz.dll failed!
Could not process line:
C:\WINDOWS\system32\miz.dll
Status: 0xc0000034
File C:\Programme\Video.exe deleted successfully.
File C:\Programme\Track_03.exe deleted successfully.
File C:\Programme\Setup.exe deleted successfully.
File C:\Dokumente und Einstellungen\Huldus\hhhl.exe deleted successfully.
File C:\Dokumente und Einstellungen\Huldus\ggg.bat deleted successfully.
File C:\Dokumente und Einstellungen\Hannah\ggg.bat deleted successfully.
File C:\Programme\b.ico deleted successfully.
File C:\Programme\a.ico deleted successfully.
File C:\Programme\c.zip deleted successfully.
File C:\Programme\b.zip deleted successfully.
File C:\Programme\a.zip deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Froggy.lnk not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Froggy.lnk failed!
Could not process line:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Froggy.lnk
Status: 0xc0000034
File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\dllhost.exe not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\dllhost.exe failed!
Could not process line:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\dllhost.exe
Status: 0xc0000034
File C:\WINDOWS\pss\Froggy.lnk not found!
Deletion of file C:\WINDOWS\pss\Froggy.lnk failed!
Could not process line:
C:\WINDOWS\pss\Froggy.lnk
Status: 0xc0000034
File C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe failed!
Could not process line:
C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe
Status: 0xc0000034
File C:\Programme\Gemeinsame Dateien\Yazzle1396OinUninstaller.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\Yazzle1396OinUninstaller.exe failed!
Could not process line:
C:\Programme\Gemeinsame Dateien\Yazzle1396OinUninstaller.exe
Status: 0xc0000034
File C:\WINDOWS\system32\svchosts.exe not found!
Deletion of file C:\WINDOWS\system32\svchosts.exe failed!
Could not process line:
C:\WINDOWS\system32\svchosts.exe
Status: 0xc0000034
File C:\WINDOWS\system32\unsvchosts.exe not found!
Deletion of file C:\WINDOWS\system32\unsvchosts.exe failed!
Could not process line:
C:\WINDOWS\system32\unsvchosts.exe
Status: 0xc0000034
File C:\WINDOWS\system32\unsvchosts.lzma not found!
Deletion of file C:\WINDOWS\system32\unsvchosts.lzma failed!
Could not process line:
C:\WINDOWS\system32\unsvchosts.lzma
Status: 0xc0000034
File C:\WINDOWS\pss\dllhost.exe not found!
Deletion of file C:\WINDOWS\pss\dllhost.exe failed!
Could not process line:
C:\WINDOWS\pss\dllhost.exe
Status: 0xc0000034
Folder C:\Dokumente und Einstellungen\Hannah\Lokale Einstellungen\Temp\Rar$EX01.034 not found!
Deletion of folder C:\Dokumente und Einstellungen\Hannah\Lokale Einstellungen\Temp\Rar$EX01.034 failed!
Could not process line:
C:\Dokumente und Einstellungen\Hannah\Lokale Einstellungen\Temp\Rar$EX01.034
Status: 0xc0000034
Folder C:\Programme\InetGet2 not found!
Deletion of folder C:\Programme\InetGet2 failed!
Could not process line:
C:\Programme\InetGet2
Status: 0xc0000034
Folder C:\Programme\Ipwindows not found!
Deletion of folder C:\Programme\Ipwindows failed!
Could not process line:
C:\Programme\Ipwindows
Status: 0xc0000034
Folder C:\Programme\Outerinfo not found!
Deletion of folder C:\Programme\Outerinfo failed!
Could not process line:
C:\Programme\Outerinfo
Status: 0xc0000034
Folder C:\Programme\outlook not found!
Deletion of folder C:\Programme\outlook failed!
Could not process line:
C:\Programme\outlook
Status: 0xc0000034
Folder C:\WINDOWS\system32\vidmon deleted successfully.
Folder C:\WINDOWS\system32\nfomon deleted successfully.
Folder C:\Programme\Gemeinsame Dateien\Uninstall Information deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vidmon deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nfo deleted successfully.
Folder C:\Programme\PeDevice deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Qcrnlil deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Prro deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IpWins deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{9C0E2B4B-03E5-1031-0212-011228000031} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UERSU_0001_N68M1402 deleted successfully.
Completed script processing.
*******************
Finished! Terminate.

Liebe Grüße, Sharona
Dieser Beitrag wurde am 09.02.2007 um 14:57 Uhr von Sharona editiert.
Seitenanfang Seitenende
09.02.2007, 17:03
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#152 ««
LSPfix
http://www.spychecker.com/program/lspfix.html
Anschließend auf den 'Finished' Button klicken. - Danach bitte den Rechner neu starten.

««
loesche aus der registry
Start - Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^dllhost.exe]

C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\dllhost.exe"

--------------------------------------------------------------------------
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83165FEE-9627-9DA2-5526-9D1BC27110B3}]

[-HKEY_CURRENT_USER\Software\PeDev]
««
Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83165FEE-9627-9DA2-5526-9D1BC27110B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{39D37D53-EAB9-4E04-9AC2-1D72F051590C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4499F8BB-234F-4c22-9131-5B147BD231B4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B2369FD-C388-404d-B3A8-DD4784267EA1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5CE9E73-125D-4e2f-8CB2-1349AB21EB53}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B424100F-21D7-4660-B2D0-90C71A597177}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28252909-1BE7-4236-BD77-B59CFF2AE6C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28252909-1BE7-4236-BD77-B59CFF2AE6C4}

Files to delete:
c:\WINDOWS\pss\dllhost.exeCommon Startup
c:\WINDOWS\Prefetch\DLLHOST.EXE-3ADD119C.pf
c:\WINDOWS\Prefetch\DLLHOST.EXE-53FF79ED.pf
»»
im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6, scanne und poste den scanreport

--------------------------------

««
poste die listenbat als Anhang (siehe unten) - wenn dann alles sauber ist, kann man sie wieder rausloeschen - Eigene-Dateien-Ordner - lasse weg !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2007, 11:10
Member

Beiträge: 12
#153 Liebe Sabina,

ISPFix
alles war ok -> kein Neustart

Report avenger:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bbfcqohk

*******************

Script file located at: \??\C:\WINDOWS\system32\acrudstu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File c:\WINDOWS\pss\dllhost.exeCommon Startup not found!
Deletion of file c:\WINDOWS\pss\dllhost.exeCommon Startup failed!

Could not process line:
c:\WINDOWS\pss\dllhost.exeCommon Startup
Status: 0xc0000034



File c:\WINDOWS\Prefetch\DLLHOST.EXE-3ADD119C.pf not found!
Deletion of file c:\WINDOWS\Prefetch\DLLHOST.EXE-3ADD119C.pf failed!

Could not process line:
c:\WINDOWS\Prefetch\DLLHOST.EXE-3ADD119C.pf
Status: 0xc0000034



File c:\WINDOWS\Prefetch\DLLHOST.EXE-53FF79ED.pf not found!
Deletion of file c:\WINDOWS\Prefetch\DLLHOST.EXE-53FF79ED.pf failed!

Could not process line:
c:\WINDOWS\Prefetch\DLLHOST.EXE-53FF79ED.pf
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83165FEE-9627-9DA2-5526-9D1BC27110B3} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{39D37D53-EAB9-4E04-9AC2-1D72F051590C} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4499F8BB-234F-4c22-9131-5B147BD231B4} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B2369FD-C388-404d-B3A8-DD4784267EA1} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5CE9E73-125D-4e2f-8CB2-1349AB21EB53} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B424100F-21D7-4660-B2D0-90C71A597177} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28252909-1BE7-4236-BD77-B59CFF2AE6C4} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28252909-1BE7-4236-BD77-B59CFF2AE6C4} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28252909-1BE7-4236-BD77-B59CFF2AE6C4} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Report listenbat
siehe Anhang

Report SDFix -> Sophos im Normalmodus:
letzte Zeile nach 144 min heisst update.exe, dann passiert nichts mehr, nur noch ausschalten möglich. (zwei Versuche)


Neu:
Ich bekomme jetzt ständig das Fenster: nicht genügend Systemressourcen verfügbar (im Systemstart ist alles deaktiviert, habe nur firefox und die Report-Textdateien geöffnet)

LG Sharona
Dieser Beitrag wurde am 12.02.2007 um 04:28 Uhr von Sharona editiert.
Seitenanfang Seitenende
10.02.2007, 17:07
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#154 Sharona

suche das backup vom Avenger - ist eine zip-Datei im Avenger-Ordner - klicke sie und entpacke, damit stellst du alles wieder her.

dann kopiere in den Avenger:


Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Qcrnlil
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Prro
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IpWins
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{9C0E2B4B-03E5-1031-0212-011228000031}
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UERSU_0001_N68M1402
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83165FEE-9627-9DA2-5526-9D1BC27110B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{39D37D53-EAB9-4E04-9AC2-1D72F051590C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4499F8BB-234F-4c22-9131-5B147BD231B4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B2369FD-C388-404d-B3A8-DD4784267EA1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5CE9E73-125D-4e2f-8CB2-1349AB21EB53}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B424100F-21D7-4660-B2D0-90C71A597177}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28252909-1BE7-4236-BD77-B59CFF2AE6C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28252909-1BE7-4236-BD77-B59CFF2AE6C4}

Files to delete:
c:\WINDOWS\Prefetch\DLLHOST.EXE-3ADD119C.pf
c:\WINDOWS\Prefetch\DLLHOST.EXE-53FF79ED.pf
C:\WINDOWS\system32\miz.dll
C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\Downloaded Program Files\NI.UERSU_0001_N68M1402
C:\Dokumente und Einstellungen\Hannah\Desktop\ErrorSafeScannerInstall_de.exe
C:\Dokumente und Einstellungen\Hannah\Desktop\25764.exe
C:\Dokumente und Einstellungen\Hannah\Desktop\58d.exe
C:\Dokumente und Einstellungen\Hannah\Desktop\7z442.exe
C:\Dokumente und Einstellungen\Hannah\Desktop\Click to Find and Fix Errors.url
C:\Dokumente und Einstellungen\Hannah\Desktop\Get 100,000 Emoticons!.url
C:\Dokumente und Einstellungen\Hannah\Desktop\Sherv.NET - Animated Emoticons, Winks, Display Pics and more!.url
C:\WINDOWS\pss\dllhost.exeCommon Startup
C:\WINDOWS\pss\Froggy.lnkStartup
C:\Dokumente und Einstellungen\Hannah\ggg.bat
C:\Dokumente und Einstellungen\Hannah\hhhl.exe
C:\Dokumente und Einstellungen\Axel\hhhl.exe
C:\Dokumente und Einstellungen\Axel\ggg.bat
C:\Programme\A.ico
C:\Programme\a.zip
C:\Programme\B.ico
C:\Programme\b.zip
C:\Programme\c.zip
C:\Programme\Setup.exe
C:\Programme\Track_03.exe
C:\Programme\Video.exe
C:\Programme\zia02852
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\dllhost.exe

Folders to delete:
C:\Dokumente und Einstellungen\Hannah\Lokale Einstellungen\Temp\Rar$EX01.034
C:\WINDOWS\system32\vidmon
C:\WINDOWS\system32\nfomon
C:\Programme\PeDevice
C:\Programme\BearShare
C:\Programme\Watermill 3D Screensaver
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nfo
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vidmon

dann berichte . ob der Rechner wieder normal reagiert

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2007, 19:07
Member

Beiträge: 12
#155 Liebe Sabina,

Ressourcenhinweis kam auch vorher nur anfangs, später nicht mehr und nun auch nicht.

Hab zwei Avenger-Backups gefunden und beide entpackt:
eine hiess nur backup und eine hatte im Dateinamen das Datum von gestern (Datum war bei Details nicht angegeben)

Nach der neuen Avenger-Aktion fror das Fenster "Windows wird heruntergefahren ein" ein.
Das Wiederhochfahren muss ich neuerdings (dabei auch) oft zweimal tun, beim ersten Mal wird der Benutzer nach einfachem Anklicken gleich wieder heruntergefahren (und bleibt dabei hängen). Beim zweiten Mal ist dann immer alles wieder ok.

Ansonsten alles normal.


Report datfindbat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C0E-2B4B

Verzeichnis von C:\WINDOWS\system32

08.02.2007 04:04 2.953 CONFIG.NT
05.02.2007 11:22 2.206 wpa.dbl
30.01.2007 09:51 18.164 svchosts.lzma
22.01.2007 03:16 2.238 ClickToFindandFixErrors_US.ico

03.01.2007 00:19 10.980.776 MRT.exe
16.12.2006 01:31 512.000 Pauls Schreibtisch-šbungen.scr
14.12.2006 00:17 0 Biport
07.12.2006 07:40 2.362.184 wmvcore.dll
08.11.2006 06:06 679.424 inetcomm.dll
04.11.2006 14:14 1.245.696 msxml4.dll


Verzeichnis von C:\DOKUME~1\Hannah\LOKALE~1\Temp


Verzeichnis von C:\WINDOWS
10.02.2007 18:48 1.790.367 WindowsUpdate.log
10.02.2007 18:39 0 0.log
10.02.2007 18:39 159 wiadebug.log
10.02.2007 18:39 50 wiaservc.log
10.02.2007 18:39 2.048 bootstat.dat
10.02.2007 18:37 32.486 SchedLgU.Txt
10.02.2007 16:21 1.591 win.ini
09.02.2007 06:40 264 System.ini
09.02.2007 03:48 110.244 ntbtlog.txt
09.02.2007 03:06 259.888 pxinstall_log.txt
08.02.2007 17:36 34.004 LUINSTALL.LOG
07.02.2007 00:02 2.531 xpsp1hfm.log
07.02.2007 00:02 660 KB823980.log
06.02.2007 22:51 400 ODBC.INI
06.02.2007 22:30 37 vbaddin.ini
06.02.2007 20:06 774 ULEAD32.INI
30.01.2007 11:50 185.880 setupact.log
29.01.2007 16:11 381 QTW.INI
28.01.2007 19:07 950.027 setupapi.log
21.01.2007 12:25 3.827 ie7_main.log
11.01.2007 05:49 847.083 iis6.log
11.01.2007 05:49 246.072 comsetup.log
11.01.2007 05:49 1.374 imsins.log
11.01.2007 05:49 37.962 ocmsn.log
11.01.2007 05:49 37.858 tabletoc.log
11.01.2007 05:49 148.616 ntdtcsetup.log
11.01.2007 05:49 342.839 tsoc.log
11.01.2007 05:49 10.585 KB929969.log
11.01.2007 05:49 45.213 medctroc.Log
11.01.2007 05:49 367.718 ocgen.log
11.01.2007 05:49 129.496 netfxocm.log
11.01.2007 05:49 37.247 msgsocm.log
11.01.2007 05:49 733.581 FaxSetup.log
11.01.2007 05:49 233.910 msmqinst.log
29.12.2006 23:41 468 BRWMARK.INI
17.12.2006 03:03 1.393 imsins.BAK
17.12.2006 03:03 18.404 KB925454.log
17.12.2006 03:03 45.770 updspapi.log
17.12.2006 03:03 8.317 KB925398.log
17.12.2006 03:02 9.567 KB923689.log
17.12.2006 03:02 11.210 KB926255.log
17.12.2006 03:02 11.057 KB923694.log
11.12.2006 23:34 141 cdplayer.ini
16.11.2006 03:02 16.263 KB923980.log
16.11.2006 03:02 15.920 KB924270.log
16.11.2006 03:01 15.201 KB920213.log


Verzeichnis von C:\WINDOWS\temp


Verzeichnis von C:\WINDOWS\Downloaded Program Files
22.06.2006 10:41 5.032 swflash.inf
26.05.2005 04:19 293 muweb.inf
13.01.2005 13:20 65 desktop.ini
16.06.2004 05:02 323.584 isusweb.dll
04.11.2003 17:54 361 SonySncCs3View.inf
09.10.2003 10:32 144 QTPlugin.inf
22.08.2003 21:10 226 opuc.inf
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
11 Datei(en) 552.748 Bytes
0 Verzeichnis(se), 3.495.346.176 Bytes frei


Verzeichnis von C:\
10.02.2007 18:51 0 sys.txt
10.02.2007 18:51 834 down.txt
10.02.2007 18:50 117 tmp.txt
10.02.2007 18:49 15.163 system.txt
10.02.2007 18:49 134 systemtemp.txt
10.02.2007 18:47 109.706 system32.txt
10.02.2007 18:41 24.498 avenger4.txt
10.02.2007 18:39 24.520 avenger.txt
10.02.2007 18:39 402.231.296 hiberfil.sys
10.02.2007 18:39 603.979.776 pagefile.sys
10.02.2007 18:32 28.344 avenger3.txt
09.02.2007 18:58 2.310 Fr Sabina.txt
09.02.2007 18:41 34.908 listen_bat_report_ohne EigeneDateien.txt
09.02.2007 18:21 4.476 avenger2.txt
09.02.2007 14:48 18.316 avengerReportHannahohneLeerzeilen.txt
09.02.2007 14:10 18.772 avengerReportHannah.txt
09.02.2007 14:09 18.772 avengerReport.txt
09.02.2007 13:59 125.282 listen_bat_report_ohneLeerzeilen.txt
09.02.2007 13:50 125.409 listen_bat_report.txt
09.02.2007 13:49 125.409 files.txt
09.02.2007 13:47 1.040 cmd_find_Report.txt
09.02.2007 13:42 1.040 find.txt
09.02.2007 13:36 2.806 RegSearchPeDevice.txt
09.02.2007 13:19 4.380 RegSearchdllhost.txt
09.02.2007 13:10 1.976 RegSearch{83165FEE-9627-9DA2-5526-9D1BC27110B3}.txt
09.02.2007 06:40 212 boot.ini
09.02.2007 05:24 3.244 RegsearchReportohneLeerzeilen.txt
09.02.2007 04:52 8.126 SDFixReportohneLeerzeilen.txt
09.02.2007 04:27 8.192 SDFixreport.txt
09.02.2007 03:31 17.956 ComboFix_Protokoll.txt
09.02.2007 03:28 17.960 ComboFix.txt
09.02.2007 00:19 6.137 hijackthis4
08.02.2007 20:13 6.265 hijackthis1
05.02.2007 20:26 48 LSWMV.INI
15.01.2007 23:54 389 My Downloads.lnk

LG Sharona
Seitenanfang Seitenende
10.02.2007, 21:10
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#156 bitte die avenger-backups nicht entpacken !!!!!!!!!!!! Dann sind alle Viren wieder drauf - deshalb heisst es Backup ...UFF ;)
wende also noch mal das avengerscript oben an und dieses hier:

1.
Avenger - kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\svchosts.lzma
C:\WINDOWS\system32\ClickToFindandFixErrors_US.ico
2.
im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 1
wird a-squared geladen - scanne -poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2007, 23:34
Member

Beiträge: 12
#157 Sabina

Zitat

Sabina postete
Sharona

suche das backup vom Avenger - ist eine zip-Datei im Avenger-Ordner - klicke sie und entpacke, damit stellst du alles wieder her.
Ich habe es einfach befolgt, warum soll das denn nun falsch sein?

es gibt mittlerweile viele Avengerscripte und viele avengerbackups auf meinem PC und hier in unserer Kommunikation. Welches soll ich denn jetzt nochmal anwenden?
Das, was ich nach dem Entpacken schon mal angewendet habe? Das habe ich aber doch gar nicht entpackt ???

bevor ich jetzt wieder irgendetwas falsch mache, warte ich lieber deine Rückmeldung ab...UFF ;)



Nebenbei: Der PC fährt nie mehr runter und muss nach dem Abschalten immer zweimal hochgefahren werden.

mfg Sharona
Dieser Beitrag wurde am 10.02.2007 um 23:42 Uhr von Sharona editiert.
Seitenanfang Seitenende
11.02.2007, 10:40
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#158 sorry - das war natuerlich ein Fehler von mir - ich selbst hatte angewiesen alles rueckgangig zu machen, weil ich bei der Masse an viren auch eine Driver-folder mit ins Avngerscript reinkopiert habe. (was da nicht reingehoerte)
deshalb solltest du alles rueckgaengig machen und dann den avenger erneut anwenden ;) - ohne die Driver-Datei
entschuldigung fuer meinen Fehler.

das beste waere wirklich zu formatieren, ich habe gedacht, dass es sich mit dem loeschen der zahlreichen Viren und Wuermer getan hat, aber wie ich sehe, ist das System teilweise zerstoert

»»
poste bitte noch mal das log von Combofix, zur ueberpruefung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2007, 11:35
Member

Beiträge: 12
#159 Liebe Sabina,

erstmal erleichert, dass ich nix falsch gemacht habe
aber dann erschrocken, dass ich formatieren soll!

Mit dem Rauf- und Runterfahren könnte ich tatsächlich gut leben, ohne die Daten auf der Platte aber nicht. Hab auch von Formatieren und Insatllieren keinen blassen Schimmer. Wäre es mir dann wenigstens möglich, ein externes Laufwerk besorgen und alle persönlichen Dateien vorrübergehend auszulagern oder wäre dann eine erneute Infektion wahrscheinlich?

Report SDFix -> a-squared
bleibt auch hängen wie Sophos. Die letzte Zeile hiess C:\RECYCLER\S-1-5-18\Dc3\Update.exe


Report combofix
"Hannah" - 07-02-11 10:47:14 Service Pack 2
ComboFix 07-02-11 - Running from: "C:\Programme\Mozilla Firefox"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\DOKUME~1
C:\qoobox\purity\DOKUME~1\Hannah
C:\qoobox\purity\DOKUME~1\Hannah\Eigene Dateien
C:\qoobox\purity\DOKUME~1\Hannah\Eigene Dateien\DOBE~1
C:\qoobox\purity\DOKUME~1\Hannah\Eigene Dateien\from.txt
C:\qoobox\purity\DOKUME~1\Hannah\Eigene Dateien\DOBE~1\?dobe
C:\qoobox\purity\Programme\ECURIT~1
C:\qoobox\purity\Programme\SKS~1


((((((((((((((((((((((((((((((( Files Created from 2007-01-11 to 2007-02-11 ))))))))))))))))))))))))))))))))))


2007-02-11 00:28 <DIR> d-------- C:\avenger
2007-02-09 18:32 <DIR> d-------- C:\SAV32CLI
2007-02-09 14:08 <DIR> d-------- C:\WINDOWS\system32\usmt
2007-02-09 05:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-02-09 03:48 2,031,176 --a------ C:\DOKUME~1\ADMINI~1\Flash_Video_Exporter.exe
2007-02-09 03:47 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-02-09 03:47 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-02-09 03:47 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-02-09 03:47 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-02-09 03:47 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-02-09 03:47 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-02-09 03:47 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-02-09 03:47 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-02-09 03:03 <DIR> d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\Prevx
2007-02-09 03:02 7,680 --a------ C:\WINDOWS\system32\drivers\pxinst.dll
2007-02-09 03:02 7,552 --a------ C:\WINDOWS\system32\drivers\pxcom.sys
2007-02-09 03:02 276,992 --a------ C:\WINDOWS\system32\drivers\pxfsf.sys
2007-02-09 03:02 18,560 --a------ C:\WINDOWS\system32\drivers\pxtdi.sys
2007-02-09 03:02 13,952 --a------ C:\WINDOWS\system32\drivers\pxrd.sys
2007-02-09 03:02 100,864 --a------ C:\WINDOWS\system32\drivers\PxEmu.sys
2007-02-09 03:02 <DIR> d-------- C:\Programme\Prevx1
2007-02-09 03:02 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Prevx
2007-02-09 02:20 <DIR> d-------- C:\SDFix
2007-02-08 23:25 <DIR> d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\Lavasoft
2007-02-08 09:54 <DIR> d-------- C:\DOKUME~1\NETWOR~1\Anwendungsdaten\Symantec
2007-02-08 04:33 <DIR> d-------- C:\Programme\Norton AntiVirus
2007-02-08 04:31 83,664 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2007-02-08 04:31 110,352 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-02-08 04:31 <DIR> d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\Symantec
2007-02-08 04:26 <DIR> d-------- C:\Programme\Symantec
2007-02-08 04:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-02-08 04:26 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Symantec
2007-02-08 00:49 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-02-08 00:49 <DIR> d-------- C:\Programme\Grisoft
2007-02-06 22:36 <DIR> d-------- C:\WINDOWS\ShellNew
2007-02-05 22:29 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2007-02-05 22:29 <DIR> d-------- C:\Programme\Alwil Software
2007-02-05 22:21 <DIR> d-------- C:\Programme\RegCleaner
2007-02-05 21:35 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-02-05 21:35 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-02-05 21:33 <DIR> d-------- C:\Programme\Picasa2
2007-02-05 21:22 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Google Updater
2007-01-20 13:19 <DIR> d-------- C:\Programme\Bridge Builder
2007-01-15 03:41 <DIR> d-------- C:\My Downloads


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-11 10:46 -------- d-------- C:\Programme\mozilla firefox
2007-02-10 16:45 -------- d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\openoffice.org2
2007-02-10 16:15 -------- d-------- C:\Programme\cuecards
2007-02-10 15:48 89 --a------ C:\DOKUME~1\Hannah\Anwendungsdaten\p6demopfad
2007-02-10 15:48 20 --a------ C:\DOKUME~1\Hannah\Anwendungsdaten\anzds
2007-02-10 15:46 -------- d-------- C:\Programme\Gemeinsame Dateien\aol
2007-02-10 15:46 -------- d-------- C:\Programme\aol
2007-02-09 12:57 1625 --a------ C:\DOKUME~1\Hannah\Anwendungsdaten\cleanup!.log
2007-02-09 05:20 -------- d-------- C:\Programme\skype
2007-02-08 04:22 -------- d-------- C:\Programme\lavasoft
2007-02-05 21:23 -------- d-------- C:\Programme\google
2007-02-05 20:31 -------- d-------- C:\Programme\bsw
2007-02-05 19:10 -------- d-------- C:\Programme\trojancheck 6
2007-02-03 05:54 -------- d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\skype
2007-01-27 18:35 -------- d-------- C:\Programme\zylom games
2007-01-27 18:25 -------- d-------- C:\Programme\kazaa lite
2007-01-27 18:23 -------- d-------- C:\Programme\reflexive
2007-01-15 08:12 -------- d-------- C:\Programme\winamp
2007-01-10 04:09 -------- d-------- C:\Programme\opera
2007-01-07 05:08 -------- d-------- C:\Programme\microsoft picture it! photopub
2006-12-31 01:18 -------- d---s---- C:\DOKUME~1\Hannah\Anwendungsdaten\microsoft
2006-12-16 01:41 -------- d-------- C:\Programme\7-zip
2006-12-16 01:31 512000 --------- C:\WINDOWS\system32\pauls schreibtisch-bungen.scr
2006-12-13 02:08 -------- d-------- C:\Programme\zomecad
2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Google Updater.lnk"
"backup"="C:\\WINDOWS\\pss\\Google Updater.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Google\\GOOGLE~2\\GOOGLE~1.EXE -systray -startup"
"item"="Google Updater"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6_erinnerung_18_demo.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\p6_erinnerung_18_demo.lnk"
"backup"="C:\\WINDOWS\\pss\\p6_erinnerung_18_demo.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\phase6\\PHASE6~1\\WinStart\\WINSTA~1.EXE "
"item"="p6_erinnerung_18_demo"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Express Calendar Checker SE.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Photo Express Calendar Checker SE.lnk"
"backup"="C:\\WINDOWS\\pss\\Photo Express Calendar Checker SE.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\ULEADS~1\\ULEADP~1\\CalCheck.exe "
"item"="Photo Express Calendar Checker SE"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PrintScreen starten.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\PrintScreen starten.lnk"
"backup"="C:\\WINDOWS\\pss\\PrintScreen starten.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEINZM~1\\PRINTS~1\\PRINTS~1.EXE "
"item"="PrintScreen starten"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Status Monitor.lnk"
"backup"="C:\\WINDOWS\\pss\\Status Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Brother\\Brmfcmon\\BrMfcWnd.exe Brother DCP-110C /STARTUP"
"item"="Status Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Hannah^Startmenü^Programme^Autostart^Froggy.lnk]
"path"="C:\\Dokumente und Einstellungen\\Hannah\\Startmenü\\Programme\\Autostart\\Froggy.lnk"
"backup"="C:\\WINDOWS\\pss\\Froggy.lnkStartup"
"location"="Startup"
"command"="C:\\Dokumente und Einstellungen\\Hannah\\Lokale Einstellungen\\Temp\\Rar$EX01.034\\Froggy.exe "
"item"="Froggy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="avgas"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ashDisp"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ccApp"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detector]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DevDetect"
"hkey"="HKLM"
"command"="DevDetect.exe -autorun"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GoogleDesktop"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLSoftware"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1160239680\\ee\\AOLSoftware.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WkUFind"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ChkFont"
"hkey"="HKLM"
"command"="C:\\Programme\\Ulead Systems\\Ulead Photo Express 2 SE\\ChkFont.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrevxOne]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PXConsole"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Prevx1\\PXConsole.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="monitor"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ulead Systems\\AutoDetector\\monitor.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AdobeUpdateManager"
"hkey"="HKCU"
"command"="C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\webHancer Agent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="whagent"
"hkey"="HKLM"
"command"="C:\\Programme\\webHancer\\Programs\\whagent.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Hannah.job


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-11 11:19:12
C:\ComboFix2.txt ... 07-02-09 03:28
C:\ComboFix_Protokoll.txt ... 07-02-09 03:31

LG Sharona
Seitenanfang Seitenende
11.02.2007, 12:20
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#160 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\Dokumente und Einstellungen\ADMINISTRATOR\Flash_Video_Exporter.exe

poste den report

----------------------------
1.
Avenger

Zitat

Folders to delete:
C:\RECYCLER\S-1-5-18\Dc3
C:\RECYCLER\S-1-5-18
berichte, ob das avengerscript funktioniert hat

**scanne und poste den scanreport
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2007, 15:49
Member

Beiträge: 12
#161 Liebe Sabina,

Report virustotal
Complete scanning result of "Flash_Video_Exporter.exe", received in VirusTotal at 02.11.2007, 12:31:31 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.36 02.09.2007 no virus found
Authentium 4.93.8 02.09.2007 no virus found
Avast 4.7.936.0 02.11.2007 no virus found
AVG 386 02.10.2007 no virus found
BitDefender 7.2 02.11.2007 no virus found
CAT-QuickHeal 9.00 02.09.2007 no virus found
ClamAV devel-20060426 02.11.2007 no virus found
DrWeb 4.33 02.10.2007 no virus found
eSafe 7.0.14.0 02.09.2007 no virus found
eTrust-Vet 30.4.3384 02.10.2007 no virus found
Ewido 4.0 02.10.2007 no virus found
Fortinet 2.85.0.0 02.11.2007 no virus found
F-Prot 4.2.1.29 02.09.2007 no virus found
F-Secure 6.70.13030.0 02.10.2007 no virus found
Ikarus T3.1.0.31 02.11.2007 no virus found
Kaspersky 4.0.2.24 02.11.2007 no virus found
McAfee 4960 02.09.2007 no virus found
Microsoft 1.2204 02.11.2007 no virus found
NOD32v2 2052 02.11.2007 no virus found
Norman 5.80.02 02.09.2007 no virus found
Panda 9.0.0.4 02.10.2007 no virus found
Prevx1 V2 02.11.2007 no virus found
Sophos 4.13.0 02.08.2007 no virus found
Sunbelt 2.2.907.0 02.09.2007 no virus found
Symantec 10 02.11.2007 no virus found
TheHacker 6.1.6.056 02.11.2007 no virus found
UNA 1.83 02.09.2007 no virus found
VBA32 3.11.2 02.10.2007 no virus found
VirusBuster 4.3.19:9 02.10.2007 no virus found

Aditional Information
File size: 2031176 bytes
MD5: b354961fd6ca2319b58363de57c38641
SHA1: eb52244fc66169521a08d84b343911e1435307fd
packers: PackWord
packers: MS COMPRESS
packers: CAB, MSLZ

Report avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\badgmuoc

*******************

Script file located at: \??\C:\WINDOWS\isoyvaba.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\RECYCLER\S-1-5-18\Dc3 deleted successfully.
Folder C:\RECYCLER\S-1-5-18 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Report Counterspy:

Nach 3 Stunden/130000 Dateien kam plötzlich die Meldung: Counterspy is not aktivated und das Fenster war weiß.

LG Sharona
Seitenanfang Seitenende
11.02.2007, 16:33
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#162 scanne noch mal, aber im abgesicherten modus + poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2007, 20:48
Member

Beiträge: 12
#163 Liebe Sabina,

Report Counterspy Quickscan Normalmodus

Scan History Details
Start Date: 11.02.2007 15:58:44
End Date: 11.02.2007 16:06:23
Total Time: 7 Min 39 Sec
Detected security risks

BearShare P2P Program more information...
Details: BearShare is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InprocServer
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InprocServer
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{905D0DF2-3A0A-4D94-853C-54A12A745905}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{905D0DF2-3A0A-4D94-853C-54A12A745905}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{905D0DF2-3A0A-4D94-853C-54A12A745905}\1.0\0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{905D0DF2-3A0A-4D94-853C-54A12A745905}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{905D0DF2-3A0A-4D94-853C-54A12A745905}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{905D0DF2-3A0A-4D94-853C-54A12A745905}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{905D0DF2-3A0A-4D94-853C-54A12A745905}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{905D0DF2-3A0A-4D94-853C-54A12A745905}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{905D0DF2-3A0A-4D94-853C-54A12A745905}\1.0\HELPDIR


Delfin.Media Viewer Adware (General) more information...
Details: DelFin Media Viewer, also called PromulGate, is an adware-based media player.
Status: Deleted

Files detected
C:\LSWMV.INI
C:\WINDOWS\inf\mvskey.PNF

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\IMON
HKEY_LOCAL_MACHINE\SOFTWARE\IMON
HKEY_LOCAL_MACHINE\SOFTWARE\IMON
HKEY_LOCAL_MACHINE\SOFTWARE\IMON
HKEY_LOCAL_MACHINE\SOFTWARE\IMON
HKEY_LOCAL_MACHINE\SOFTWARE\IMON
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\WEBDP
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\WEBDP
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\WEBDP
HKEY_LOCAL_MACHINE\SOFTWARE\VIDMON
HKEY_LOCAL_MACHINE\SOFTWARE\VIDMON
HKEY_LOCAL_MACHINE\SOFTWARE\VIDMON
HKEY_LOCAL_MACHINE\SOFTWARE\VIDMON
HKEY_USERS\S-1-5-21-1060284298-2147222547-1957994488-1003\SOFTWARE\IMON
HKEY_USERS\S-1-5-21-1060284298-2147222547-1957994488-1003\SOFTWARE\IMON
HKEY_USERS\S-1-5-21-1060284298-2147222547-1957994488-1003\SOFTWARE\IMON
HKEY_USERS\S-1-5-21-1060284298-2147222547-1957994488-1003\SOFTWARE\IMON
HKEY_USERS\S-1-5-21-1060284298-2147222547-1957994488-1003\SOFTWARE\IMON
HKEY_USERS\S-1-5-21-1060284298-2147222547-1957994488-1003\SOFTWARE\IMON
HKEY_USERS\S-1-5-21-1060284298-2147222547-1957994488-1003\SOFTWARE\VIDMON
HKEY_USERS\S-1-5-21-1060284298-2147222547-1957994488-1003\SOFTWARE\VIDMON


Ipwins Adware (General) more information...
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\IPWINS
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\IPWINS
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\IPWINS
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\IPWINS
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\IPWINS
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\IPWINS
HKEY_USERS\S-1-5-21-1060284298-2147222547-1957994488-1003\SOFTWARE\IPWINS
HKEY_USERS\S-1-5-21-1060284298-2147222547-1957994488-1003\SOFTWARE\IPWINS

anschliessend:

Report Counterspy abgesicherter Modus
nach 4-5 Stunden/ 168118 Dateien: keine Rückmeldung
letzte gescannte Datei ist C:\Programme\ PrevX1\log\log.txt


Weiteres:
1. Die Systemwiederherstellung hatte ich vor etwa einer Woche deaktiviert, weil ich das irgendwo gelesen hatte. Hat das einen Einfluss und sollte ich sie wieder aktivieren?

2. Seit dem allerletzten Hochfahren in den Normalmodus sind meine Firefox Lesezeichen und die Chronik verschwunden, was mir im letzten halben Jahr schon mehrmals passiert ist (Manches fand ich später wieder), sehr sehr bedauerlich, obwohl ja nicht lebenswichtig. Hast du dazu evtl. auch einen Rat?

3. Anhang: Das läuft bei mir nach Inaktivierung aller Dateien im Systenstart direkt nach dem Hochfahren, da sind ja auch Norton und ewido dateien dabei, obwohl ich meines wissens alles deaktiviert habe. Stört da evtl. was ?

LG Sharona

Dieser Beitrag wurde am 11.02.2007 um 21:08 Uhr von Sharona editiert.
Seitenanfang Seitenende
11.02.2007, 21:37
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#164 poste das neue log vom HijacktHis
+
dieses log
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2007, 22:02
Member

Beiträge: 12
#165 Report Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 21:41:22, on 11.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Prevx1\PXAgent.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\Hannah\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - http://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141811180455
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 194.97.173.125 194.97.173.124
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe




Report WinPFind
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
Umonitor 09.02.2007 03:06:26 259888 C:\WINDOWS\pxinstall_log.txt

Checking %System% folder...
PEC2 18.08.2001 20:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PTech 14.02.2006 09:20:14 550120 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
PECompact2 03.01.2007 00:19:44 10980776 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 03.01.2007 00:19:44 10980776 C:\WINDOWS\SYSTEM32\MRT.exe
Umonitor 04.08.2004 08:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
aspack 11.05.2006 17:16:14 2734480 C:\WINDOWS\SYSTEM32\SwedenGate_5.scr
winsync 18.08.2001 20:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu
aspack 14.07.2006 13:05:20 H 818176 C:\WINDOWS\SYSTEM32\wodfamoh.dll

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 06:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\HOSTS


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
11.02.2007 20:33:38 S 2048 C:\WINDOWS\bootstat.dat
19.12.2006 20:09:16 S 8847 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB929969.cat
11.02.2007 21:27:16 H 1024 C:\WINDOWS\system32\config\default.LOG
11.02.2007 20:33:44 H 1024 C:\WINDOWS\system32\config\SAM.LOG
11.02.2007 21:35:30 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
11.02.2007 21:57:16 H 1024 C:\WINDOWS\system32\config\software.LOG
11.02.2007 21:35:32 H 1024 C:\WINDOWS\system32\config\system.LOG
08.02.2007 04:05:28 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
09.02.2007 05:18:26 HS 79 C:\WINDOWS\system32\config\systemprofile\Eigene Dateien\desktop.ini
09.02.2007 03:45:00 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\8723587e-de02-49c9-beb2-75a57f46e461
09.02.2007 03:45:00 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
11.02.2007 20:33:42 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 08:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 08:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 08:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 08:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 08:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 08:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
04.05.2005 12:18:46 36864 C:\WINDOWS\SYSTEM32\ImageDrive.cpl
Microsoft Corporation 04.08.2004 08:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 08:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 08:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 08:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 03.06.2005 02:52:54 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 18.08.2001 20:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 08:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 20:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 08:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 08:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 18.08.2001 20:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 04.08.2004 08:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 08:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 26.08.1996 01:12:00 R 341504 C:\WINDOWS\SYSTEM32\QTW32.CPL
Apple Computer, Inc. 30.09.2004 17:03:44 324608 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 04.08.2004 08:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 20:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 08:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 08:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
12.04.2003 16:56:14 182784 C:\WINDOWS\SYSTEM32\XPressUpd.cpl
Microsoft Corporation 18.08.2001 20:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 20:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 20:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 18.08.2001 20:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
13.01.2005 13:21:44 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
08.02.2006 06:45:40 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
13.01.2005 12:56:46 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
11.02.2007 20:33:56 8262 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Svclog.log

Checking files in %USERPROFILE%\Startup folder...
13.01.2005 13:21:44 HS 84 C:\Dokumente und Einstellungen\Hannah\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
17.01.2006 02:17:50 875 C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\AdobeDLM.log
10.02.2007 15:48:58 20 C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\anzds
09.02.2007 12:57:48 1625 C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\CleanUp!.log
13.01.2005 12:56:46 HS 62 C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\desktop.ini
17.01.2006 02:17:50 0 C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\dm.ini
10.02.2007 15:48:52 89 C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\p6demopfad
11.02.2007 12:25:14 1734 C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\wklnhst.dat

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\7-Zip
{23170F69-40C1-278A-1000-000100020000} = C:\Programme\7-Zip\7-zip.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AVG Anti-Spyware
{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu
{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programme\Norton AntiVirus\NavShExt.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu
{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programme\Norton AntiVirus\NavShExt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\7-Zip
{23170F69-40C1-278A-1000-000100020000} = C:\Programme\7-Zip\7-zip.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\AVG Anti-Spyware
{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\Programme\Spybot - Search & Destroy\SDHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{55EA1964-F5E4-4D6A-B9B2-125B37655FCB}
URLDetector Class = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}
CNavExtBho Class = C:\Programme\Norton AntiVirus\NavShExt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4528BBE0-4E08-11D5-AD55-00010333D0AD}
=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar1.dll
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = Norton AntiVirus : C:\Programme\Norton AntiVirus\NavShExt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}
MenuText = :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{4528BBE0-4E08-11D5-AD55-00010333D0AD}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar1.dll
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = Norton AntiVirus : C:\Programme\Norton AntiVirus\NavShExt.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar1.dll
{EF99BD32-C1FB-11D2-892F-0090271D4F88} = :
{00000000-0002-0002-0000-000000000000} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MSConfig C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
ccApp "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandFrom

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandTo

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup C:\WINDOWS\pss\Google Updater.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\Google\GOOGLE~2\GOOGLE~1.EXE -systray -startup
item Google Updater
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup C:\WINDOWS\pss\Google Updater.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\Google\GOOGLE~2\GOOGLE~1.EXE -systray -startup
item Google Updater

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\MICROS~2\Office10\OSA.EXE -b -l
item Microsoft Office
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\MICROS~2\Office10\OSA.EXE -b -l
item Microsoft Office

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6_erinnerung_18_demo.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\p6_erinnerung_18_demo.lnk
backup C:\WINDOWS\pss\p6_erinnerung_18_demo.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\phase6\PHASE6~1\WinStart\WINSTA~1.EXE
item p6_erinnerung_18_demo
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\p6_erinnerung_18_demo.lnk
backup C:\WINDOWS\pss\p6_erinnerung_18_demo.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\phase6\PHASE6~1\WinStart\WINSTA~1.EXE
item p6_erinnerung_18_demo

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Express Calendar Checker SE.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Photo Express Calendar Checker SE.lnk
backup C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\ULEADS~1\ULEADP~1\CalCheck.exe
item Photo Express Calendar Checker SE
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Photo Express Calendar Checker SE.lnk
backup C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\ULEADS~1\ULEADP~1\CalCheck.exe
item Photo Express Calendar Checker SE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PrintScreen starten.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PrintScreen starten.lnk
backup C:\WINDOWS\pss\PrintScreen starten.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\HEINZM~1\PRINTS~1\PRINTS~1.EXE
item PrintScreen starten
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PrintScreen starten.lnk
backup C:\WINDOWS\pss\PrintScreen starten.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\HEINZM~1\PRINTS~1\PRINTS~1.EXE
item PrintScreen starten

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk
backup C:\WINDOWS\pss\Status Monitor.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe Brother DCP-110C /STARTUP
item Status Monitor
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk
backup C:\WINDOWS\pss\Status Monitor.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe Brother DCP-110C /STARTUP
item Status Monitor

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^Hannah^Startmenü^Programme^Autostart^Froggy.lnk
path C:\Dokumente und Einstellungen\Hannah\Startmenü\Programme\Autostart\Froggy.lnk
backup C:\WINDOWS\pss\Froggy.lnkStartup
location Startup
command C:\Dokumente und Einstellungen\Hannah\Lokale Einstellungen\Temp\Rar$EX01.034\Froggy.exe
item Froggy
path C:\Dokumente und Einstellungen\Hannah\Startmenü\Programme\Autostart\Froggy.lnk
backup C:\WINDOWS\pss\Froggy.lnkStartup
location Startup
command C:\Dokumente und Einstellungen\Hannah\Lokale Einstellungen\Temp\Rar$EX01.034\Froggy.exe
item Froggy

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item
hkey HKLM
command
inimapping 0


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\!AVG Anti-Spyware
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item avgas
hkey HKLM
command "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item avgas
hkey HKLM
command "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avast!
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ashDisp
hkey HKLM
command C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ashDisp
hkey HKLM
command C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ccApp
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ccApp
hkey HKLM
command "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ccApp
hkey HKLM
command "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Device Detector
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item DevDetect
hkey HKLM
command DevDetect.exe -autorun
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item DevDetect
hkey HKLM
command DevDetect.exe -autorun
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Desktop Search
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item GoogleDesktop
hkey HKLM
command "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item GoogleDesktop
hkey HKLM
command "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HostManager
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item AOLSoftware
hkey HKLM
command C:\Programme\Gemeinsame Dateien\AOL\1160239680\ee\AOLSoftware.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item AOLSoftware
hkey HKLM
command C:\Programme\Gemeinsame Dateien\AOL\1160239680\ee\AOLSoftware.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Works Update Detection
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item WkUFind
hkey HKLM
command C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item WkUFind
hkey HKLM
command C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PE2CKFNT SE
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ChkFont
hkey HKLM
command C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ChkFont
hkey HKLM
command C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PrevxOne
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item PXConsole
hkey HKLM
command "C:\Programme\Prevx1\PXConsole.exe"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item PXConsole
hkey HKLM
command "C:\Programme\Prevx1\PXConsole.exe"
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item qttask
hkey HKLM
command "C:\Programme\QuickTime\qttask.exe" -atboottime
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item qttask
hkey HKLM
command "C:\Programme\QuickTime\qttask.exe" -atboottime
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SBCSTray
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item SBCSTray
hkey HKLM
command C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item SBCSTray
hkey HKLM
command C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item realsched
hkey HKLM
command "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item realsched
hkey HKLM
command "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ulead AutoDetector v2
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item monitor
hkey HKLM
command C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item monitor
hkey HKLM
command C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\updateMgr
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item AdobeUpdateManager
hkey HKCU
command C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item AdobeUpdateManager
hkey HKCU
command C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\webHancer Agent
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item whagent
hkey HKLM
command C:\Programme\webHancer\Programs\whagent.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item whagent
hkey HKLM
command C:\Programme\webHancer\Programs\whagent.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinampAgent
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item winampa
hkey HKLM
command C:\Programme\Winamp\winampa.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item winampa
hkey HKLM
command C:\Programme\Winamp\winampa.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 2
services 0
startup 1


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\CLSID
{17492023-C23A-453E-A040-C7C580BBF700} 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Associations

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 11.02.2007 21:58:36

LG Sharona
Seitenanfang Seitenende