(Might be at risk) anderer Virus ?

#1 Hallo habe seit gestern einen unangenehmen Virus auf dem Computer...

und zwar auf dem Desktop ist ein blauer screen mit einer Spyware Virus warnung ausserdem versucht der die das Virus einen SpySheriff zu installieren und es kommen popup Fenster mit dem Tiel "Only the Best" ich kann den Desktop nicht ändern und IE-explorer startseite ist about:blank...

Also ich habe diese Thread neu eröffnet da ich schon seit gut 6 std mich durch foren lese um den Virus zu löschen. Da ich die ganzen schritte unzählige male durchgegangen bin virenscan hijack killbox cclean... etc und das ding immernoch bei mir drauf ist... ich weiß auch garnicht was in diesen Programmen aussagekräftig ist o_O ? *Bahnhof*

Naja alle habe ihre Logs gepostet das werde ich einfach auch mal machen vieleicht seht ihr ja was in diesen Zeichenwirrwarr

Ich habe auch schon dieses Panda virusscan durchgeführt und es wurde kein Virus mehr entdeckt diesen registri hab ich auch gemacht aber er ist immernoch da ... ich habe nun auch shcon soviele Hilfsproggy gedownloaded das ich da nicht mehr durchsteige

FindT findet nichts was ich posten kann.....

Bitte von vorne erklären :/


Logfile of HijackThis v1.99.1
Scan saved at 15:22:34, on 18.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\apiol32.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\WINDOWS\apimc32.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\FCAOBAIX\Eigene Dateien\Neuer Ordner\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {F8E930CE-BAB0-9603-5678-E35F00904295} - C:\WINDOWS\system32\apicd.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] e:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [apimc32.exe] C:\WINDOWS\apimc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?993336018607
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\apiol32.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe





"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]
"RemoteControl" = "e:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"RoxioEngineUtility" = ""C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"" ["Roxio"]
"RoxioDragToDisc" = ""C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"" ["Roxio"]
"RoxioAudioCentral" = ""C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"" ["Roxio, Inc."]
"apimc32.exe" = "C:\WINDOWS\apimc32.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{F8E930CE-BAB0-9603-5678-E35F00904295}\(Default) = "Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\apicd.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{5E44E225-A408-11CF-B581-008029601108}" = "Roxio DragToDisc Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\shellex.dll" ["Roxio"]
"{A44D5ACC-3411-40DE-9AD3-214FFB2ED7AC}" = "My Media"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\MediaSX.dll" ["Roxio, Inc."]
"{36A21736-36C2-4C11-8ACB-D4136F2B57BD}" = "AutoCAD Digital Signatures Icon Overlay Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\AcSignIcon.dll" ["Autodesk"]
"{AC1DB655-4F9A-4c39-8AD2-A65324A4C446}" = "Autodesk Drawing Preview"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll" ["Autodesk"]
"{6DEA92E9-8682-4b6a-97DE-354772FE5727}" = "Autodesk DWF Preview"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll" ["Autodesk"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}

HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html"
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper and enables Active Desktop]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Active Desktop Wallpaper|Wallpaper Name:}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

Wallpaper selected via Group Policy.


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "FCAOBAIX" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\FCAOBAIX\Startmenü\Programme\Autostart
"Adobe Gamma" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader Speed Launch" -> shortcut to: "E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"AutoCAD Startup Accelerator" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe" [null data]
"InterVideo WinCinema Manager" -> shortcut to: "E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" ["InterVideo Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

INFECTION WARNING! The running services cannot be counted.
Presence of a spyware service is suspected.
The script has been forced to exit.



----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 38 seconds, including 18 seconds for message boxes)






WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
UPX! 09.12.2003 01:31:00 11254 C:\locate.com

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
UPX! 04.02.2003 08:12:36 135680 C:\WINDOWS\SYSTEM32\3ivx.dll
UPX! 04.02.2003 08:01:10 98816 C:\WINDOWS\SYSTEM32\3ivxDSAudioDecoder.ax
UPX! 04.02.2003 08:12:36 84992 C:\WINDOWS\SYSTEM32\3ivxDSDecoder.ax
UPX! 04.02.2003 08:01:56 92160 C:\WINDOWS\SYSTEM32\3ivxDSMediaSplitter.ax
UPX! 23.12.2002 16:28:16 60416 C:\WINDOWS\SYSTEM32\ac3filter.ax
UPX! 27.02.2003 19:25:26 162816 C:\WINDOWS\SYSTEM32\avisynth.dll
UPX! 18.07.2002 12:58:20 37888 C:\WINDOWS\SYSTEM32\AVIwrap.dll
UPX! 24.05.2000 21:22:24 21504 C:\WINDOWS\SYSTEM32\avi_renderer.ax
UPX! 28.01.1999 14:07:08 30720 C:\WINDOWS\SYSTEM32\avmcdc32.dll
UPX! 23.04.1997 19:06:44 75264 C:\WINDOWS\SYSTEM32\AVMjpg32.dll
UPX! 04.08.2000 16:34:02 64000 C:\WINDOWS\SYSTEM32\claud.ax
UPX! 29.03.2000 17:05:02 31232 C:\WINDOWS\SYSTEM32\CSCCDVC.DLL
UPX! 29.03.2000 17:05:02 31232 C:\WINDOWS\SYSTEM32\CSCdvsd.DLL
UPX! 29.11.1999 17:56:22 37888 C:\WINDOWS\SYSTEM32\CSEDV.DLL
UPX! 02.12.2002 00:29:52 61952 C:\WINDOWS\SYSTEM32\D2VSource.ax
UPX! 27.08.2001 07:04:20 19968 C:\WINDOWS\SYSTEM32\dedynamic.ax
PEC2 18.08.2001 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
UPX! 25.01.2003 12:32:32 522240 C:\WINDOWS\SYSTEM32\divx.dll
UPX! 01.04.2000 04:11:08 184832 C:\WINDOWS\SYSTEM32\DivXa32.acm
UPX! 05.08.2001 23:51:18 17408 C:\WINDOWS\SYSTEM32\DivXAF.ax
UPX! 01.08.2002 11:03:40 121344 C:\WINDOWS\SYSTEM32\DivXc32.dll
UPX! 21.02.2001 15:08:24 122944 C:\WINDOWS\SYSTEM32\divxc32f.dll
UPX! 29.08.2002 03:41:28 81920 C:\WINDOWS\SYSTEM32\DivX_c32.ax
UPX! 07.08.2002 12:06:22 16384 C:\WINDOWS\SYSTEM32\dsrmp4.dll
UPX! 02.09.1998 08:24:28 16896 C:\WINDOWS\SYSTEM32\dump.ax
UPX! 24.11.2001 20:31:48 65536 C:\WINDOWS\SYSTEM32\DVDAudio.ax
UPX! 24.11.2001 20:28:14 86528 C:\WINDOWS\SYSTEM32\DVDVideo.ax
UPX! 11.12.2002 09:19:58 94208 C:\WINDOWS\SYSTEM32\DVobSub.ax
UPX! 03.01.2003 20:03:20 296960 C:\WINDOWS\SYSTEM32\ffdshow.ax
UPX! 08.12.2001 20:20:20 17920 C:\WINDOWS\SYSTEM32\huffyuv.dll
UPX! 08.12.2001 20:20:20 17920 C:\WINDOWS\SYSTEM32\huffyuv_dx_8_1_fix.dll
UPX! 18.08.2001 12:00:00 65024 C:\WINDOWS\SYSTEM32\ir32_32.dll
UPX! 18.08.2001 12:00:00 219648 C:\WINDOWS\SYSTEM32\ir41_32.ax
UPX! 18.08.2001 12:00:00 33280 C:\WINDOWS\SYSTEM32\ir41_qc.dll
UPX! 18.08.2001 12:00:00 41472 C:\WINDOWS\SYSTEM32\ir41_qcx.dll
UPX! 06.11.1997 14:53:30 11264 C:\WINDOWS\SYSTEM32\ir50_lcs.dll
UPX! 07.10.1998 17:46:18 41984 C:\WINDOWS\SYSTEM32\Ir50_qc.dll
UPX! 07.10.1998 17:50:22 40448 C:\WINDOWS\SYSTEM32\Ir50_qcx.dll
UPX! 05.01.1999 18:49:36 64512 C:\WINDOWS\SYSTEM32\Ivfsrc.ax
UPX! 18.08.2001 00:08:38 154624 C:\WINDOWS\SYSTEM32\iviaudio.ax
UPX! 13.06.1997 07:56:08 19968 C:\WINDOWS\SYSTEM32\Iyvu9_32.dll
UPX! 29.08.2002 03:39:20 136704 C:\WINDOWS\SYSTEM32\l3codeca.acm
UPX! 08.06.2000 17:00:00 42496 C:\WINDOWS\SYSTEM32\l3codecx.ax
UPX! 16.04.2002 10:17:00 145920 C:\WINDOWS\SYSTEM32\lameACM.acm
UPX! 30.04.2001 15:57:42 133120 C:\WINDOWS\SYSTEM32\lcodccmp.dll
PTech 12.07.2005 18:04:22 520456 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
UPX! 03.01.2003 20:04:00 132096 C:\WINDOWS\SYSTEM32\libavcodec.dll
UPX! 04.02.2003 08:01:06 31744 C:\WINDOWS\SYSTEM32\libfaad.dll
UPX! 26.02.2003 08:55:14 93433 C:\WINDOWS\SYSTEM32\libjpeg.dll
UPX! 03.01.2003 20:04:00 28672 C:\WINDOWS\SYSTEM32\libmpeg2_ff.dll
UPX! 26.02.2003 21:29:38 54784 C:\WINDOWS\SYSTEM32\libpng13.dll
UPX! 27.12.2001 14:59:52 76800 C:\WINDOWS\SYSTEM32\m3jpeg32.dll
UPX! 14.11.2001 16:17:32 25088 C:\WINDOWS\SYSTEM32\M3JPEGdec.ax
UPX! 14.11.2001 16:18:20 24064 C:\WINDOWS\SYSTEM32\M3JPEGenc.ax
aspack 22.09.2001 08:38:02 100864 C:\WINDOWS\SYSTEM32\mlcom.ax
UPX! 17.09.2001 12:06:54 88576 C:\WINDOWS\SYSTEM32\MMIJG32.dll
UPX! 23.04.2002 22:22:48 22528 C:\WINDOWS\SYSTEM32\MMSwitch.ax
UPX! 17.05.2002 22:18:30 39936 C:\WINDOWS\SYSTEM32\mp4fil32.dll
UPX! 30.06.2000 17:40:32 51200 C:\WINDOWS\SYSTEM32\mpeg2decoder.ax
UPX! 06.12.2002 04:05:42 160768 C:\WINDOWS\SYSTEM32\mpeg2dmx.ax
UPX! 26.06.2000 13:13:44 38400 C:\WINDOWS\SYSTEM32\mpeg2parser.ax
UPX! 20.08.2002 01:41:12 120832 C:\WINDOWS\SYSTEM32\mpg4c32.dll
UPX! 29.08.2002 03:41:28 81920 C:\WINDOWS\SYSTEM32\mpg4ds32.ax
UPX! 07.05.2000 23:08:42 17408 C:\WINDOWS\SYSTEM32\mpgaudio.ax
UPX! 26.01.2003 02:56:24 67584 C:\WINDOWS\SYSTEM32\mpgdec.ax
UPX! 29.08.2002 03:41:28 150528 C:\WINDOWS\SYSTEM32\msadds32.ax
UPX! 10.12.1999 14:00:00 9728 C:\WINDOWS\SYSTEM32\msadp32.acm
UPX! 13.07.2000 21:27:36 17920 C:\WINDOWS\SYSTEM32\multiple_mpeg2_source.ax
aspack 03.08.2004 23:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
UPX! 05.10.2002 01:04:18 21504 C:\WINDOWS\SYSTEM32\ogg.dll
UPX! 06.10.2002 20:42:58 105472 C:\WINDOWS\SYSTEM32\OggDS.dll
UPX! 04.02.2003 08:01:48 86528 C:\WINDOWS\SYSTEM32\OpenQuicktimeLib.dll
UPX! 28.09.1998 06:56:12 7680 C:\WINDOWS\SYSTEM32\Pcdv.acm
UPX! 19.11.1999 15:49:50 72192 C:\WINDOWS\SYSTEM32\pdvcodec.dll
UPX! 04.12.2002 01:34:46 115200 C:\WINDOWS\SYSTEM32\proppage.dll
UPX! 23.06.2001 14:04:50 198656 C:\WINDOWS\SYSTEM32\pvmjpg21.dll
UPX! 07.07.1998 12:37:10 83456 C:\WINDOWS\SYSTEM32\qmpeg.acm
Umonitor 03.08.2004 23:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 08.08.2002 11:35:58 122880 C:\WINDOWS\SYSTEM32\rmp4.dll
UPX! 06.10.2002 20:44:52 115712 C:\WINDOWS\SYSTEM32\SubTitDS.ax
UPX! 03.01.2003 19:32:30 8704 C:\WINDOWS\SYSTEM32\TomsMoComp_ff.dll
UPX! 15.10.2002 23:54:04 73216 C:\WINDOWS\SYSTEM32\unrar.dll
UPX! 18.02.2003 18:55:50 20480 C:\WINDOWS\SYSTEM32\VBLE.dll
UPX! 22.07.2000 16:49:46 180736 C:\WINDOWS\SYSTEM32\vfcodec.dll
UPX! 11.12.2002 09:19:32 147968 C:\WINDOWS\SYSTEM32\vobsub.dll
UPX! 05.10.2002 01:04:26 92672 C:\WINDOWS\SYSTEM32\vorbis.dll
UPX! 05.10.2002 01:04:26 90624 C:\WINDOWS\SYSTEM32\vorbisenc.dll
UPX! 02.09.1998 08:24:30 11776 C:\WINDOWS\SYSTEM32\wavdest.ax
winsync 18.08.2001 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu
UPX! 21.05.2002 13:20:24 34304 C:\WINDOWS\SYSTEM32\xcdsrc.ax
UPX! 19.02.2003 22:43:38 107520 C:\WINDOWS\SYSTEM32\XviD.ax
UPX! 17.02.2003 17:26:16 202240 C:\WINDOWS\SYSTEM32\XviD.dll
UPX! 26.02.2003 21:29:38 23040 C:\WINDOWS\SYSTEM32\zlib.dll

Checking %System%\Drivers folder and sub-folders...
PTech 03.08.2004 21:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
18.09.2005 03:29:20 S 2048 C:\WINDOWS\bootstat.dat
25.07.2005 09:09:00 RHS 227 C:\WINDOWS\assembly\Desktop.ini
18.09.2005 03:29:22 S 64 C:\WINDOWS\CSC\00000001
17.09.2005 20:24:14 S 64 C:\WINDOWS\CSC\00000002
14.09.2005 14:33:34 S 64 C:\WINDOWS\CSC\csc1.tmp
18.09.2005 15:21:52 H 0 C:\WINDOWS\LastGood\INF\enavweb.inf
18.09.2005 15:21:52 H 0 C:\WINDOWS\LastGood\INF\enavweb.PNF
18.09.2005 03:32:18 H 0 C:\WINDOWS\LastGood\INF\oem15.inf
18.09.2005 03:32:18 H 0 C:\WINDOWS\LastGood\INF\oem15.PNF
11.08.2005 20:10:06 HS 6144 C:\WINDOWS\system32\access.ctl
18.09.2005 15:27:12 H 1024 C:\WINDOWS\system32\config\default.LOG
18.09.2005 03:29:26 H 1024 C:\WINDOWS\system32\config\SAM.LOG
18.09.2005 03:40:20 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
18.09.2005 15:27:12 H 1024 C:\WINDOWS\system32\config\software.LOG
18.09.2005 15:25:08 H 1024 C:\WINDOWS\system32\config\system.LOG
18.09.2005 03:29:22 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 03.08.2004 23:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 03.08.2004 23:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 03.08.2004 23:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 03.08.2004 23:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 03.08.2004 23:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 03.08.2004 23:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 03.08.2004 23:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 03.08.2004 23:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 03.08.2004 23:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 03.08.2004 23:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 18.08.2001 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 03.08.2004 23:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 03.08.2004 23:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 03.08.2004 23:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 18.08.2001 13:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 03.08.2004 23:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Autodesk, Inc. 25.02.2004 02:39:34 205944 C:\WINDOWS\SYSTEM32\plotman.cpl
Microsoft Corporation 03.08.2004 23:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Autodesk, Inc. 25.02.2004 02:39:44 205944 C:\WINDOWS\SYSTEM32\styleman.cpl
Microsoft Corporation 03.08.2004 23:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 03.08.2004 23:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 03.08.2004 23:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 18.08.2001 13:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 13:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 18.08.2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
03.07.2005 17:19:44 1593 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
25.07.2005 09:32:32 1961 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoCAD Startup Accelerator.lnk
23.06.2001 23:11:56 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
30.06.2005 06:03:56 809 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
25.06.2001 14:03:18 1714 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
23.06.2001 23:56:26 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
04.09.2005 01:52:46 8 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DragToDiscUserNameG.txt

Checking files in %USERPROFILE%\Startup folder...
23.08.2005 12:55:42 1002 C:\Dokumente und Einstellungen\FCAOBAIX\Startmenü\Programme\Autostart\Adobe Gamma.lnk
23.06.2001 23:11:56 HS 84 C:\Dokumente und Einstellungen\FCAOBAIX\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
03.07.2005 17:18:28 1552 C:\Dokumente und Einstellungen\FCAOBAIX\Anwendungsdaten\AdobeDLM.log
23.06.2001 23:56:26 HS 62 C:\Dokumente und Einstellungen\FCAOBAIX\Anwendungsdaten\desktop.ini
03.07.2005 17:18:28 0 C:\Dokumente und Einstellungen\FCAOBAIX\Anwendungsdaten\dm.ini
17.09.2005 18:00:18 2200989 C:\Dokumente und Einstellungen\FCAOBAIX\Anwendungsdaten\Install.dat

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\IPSContMenu
{EBDF1F20-C829-11D1-8233-0020AF3E97A9} =
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\IPSContMenu
{EBDF1F20-C829-11D1-8233-0020AF3E97A9} =
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\IPSContMenu
{EBDF1F20-C829-11D1-8233-0020AF3E97A9} =
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= E:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F8E930CE-BAB0-9603-5678-E35F00904295}
Class = C:\WINDOWS\system32\apicd.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ATIPTA C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
WinampAgent C:\Programme\Winamp\winampa.exe
AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
NVMixerTray "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
RemoteControl e:\Programme\CyberLink\PowerDVD\PDVDServ.exe
RoxioEngineUtility "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
RoxioDragToDisc "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
RoxioAudioCentral "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
apimc32.exe C:\WINDOWS\apimc32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
MSMSGS "C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
NoChangingWallpaper 0
NoComponents 0
NoAddingComponents 0
NoDeletingComponents 0
NoEditingComponents 0
NoHTMLWallPaper 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoActiveDesktop 0
ClassicShell 0
ForceActiveDesktopOn 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
Wallpaper C:\WINDOWS\desktop.html


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
= Ati2evxx.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.0 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 18.09.2005 15:27:39




so ich hoffe ihr könnt damit was anfangen :*(
__________
Wer Fehler findet darf sie behalten

#2 coaxi

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

11Fßä#·ºÄÖ`I

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {F8E930CE-BAB0-9603-5678-E35F00904295} - C:\WINDOWS\system32\apicd.dll
O4 - HKLM\..\Run: [apimc32.exe] C:\WINDOWS\apimc32.exe
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\apiol32.exe

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\desktop.html
C:\WINDOWS\apiol32.exe
C:\WINDOWS\apimc32.exe

PC neustarten

•AboutBuster
http://virus-protect.org/antispywaretools.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen.(zwei Mal)
-->scanne auch mit Antivirus im abgesicherten Modus (!)
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen (poste mir dann den Scanreport)

poste mir alle 4 Logs (mit pfadangabe)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "11Fßä#·ºÄÖ`I" 18.09.2005 22:30:10

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000\Control]
"ActiveService"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000\Control]
"ActiveService"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Enum]
__________
Wer Fehler findet darf sie behalten

#4 AboutBuster 5.0 reference file 28
Scan started on [18.09.2005] at [22:47:08]
------------------------------------------------
Removed Stream! C:\WINDOWS\msdfmap.ini:etkdbk
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 22:47:30
__________
Wer Fehler findet darf sie behalten

#5

Zitat

Sabina postete
scan mit Antivirus im abges.Modus + Scanbericht posten

poste mir alle 4 Logs (mit pfadangabe)
http://virus-protect.org/datfindbat.html

wenn alles abgearbeitet ist: (am Ende der Reinigung)

*reg-Datei

http://virus-protect.org/reg/fixmeq.reg

dann erscheint eine fixmeq.reg auf dem Desktop

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixmeq.reg" auf dem Desktop doppelklicken und mit "ja" bestätigen, damit die reg*-Datei der Registry beigefügt wird und sofort den PC neustarten.

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

Onlinescan Panda (wenn der Antivirus "meckert"--> nicht beachten -->scanbericht posten
http://virus-protect.org/virusprotect/onlinescan.html

dann poste das neue Log vom HijackThis

__________
MfG Sabina

rund um die PC-Sicherheit

#6 20 Tage ? meine die damit ich soll das 20 Tage laufen lassen und dann schreib ich das wieder hier rein ?







Erstellungsdatum der Reportdatei: Sonntag, 18. September 2005 22:59

AntiVir®/XP (2000 + NT) PersonalEdition Classic
Build 1064 vom 13.09.2005
Hauptptogramm 6.32.00.06 vom 07.09.2005
VDF-Datei 6.32.0.14 (0) vom 16.09.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 219943 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149991-WURGE-0001

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

Email ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 2)
Benutzername: FCAOBAIX
Computername: COAX
Prozessor: Pentium
Arbeitsspeicher: 523760 KB frei

Versionsinformationen:
AVWIN.DLL : 6.32.00.04 528424 13.09.2005 11:19:12
AVEWIN32.DLL : 6.32.0.3 823808 17.09.2005 18:11:00
AVGNT.EXE : 6.32.00.00 168039 13.09.2005 11:19:12
AVGUARD.EXE : 6.32.00.06 207912 13.09.2005 11:19:12
GUARDMSG.DLL : 6.31.00.01 98344 07.06.2005 10:34:24
AVGCMSG.DLL : 6.32.00.00 258165 13.09.2005 11:19:12
AVGNTDW.SYS : 6.31.00.01 32896 07.06.2005 10:34:22
AVPACK32.DLL : 6.31.01.07 327720 13.09.2005 11:19:12
AVGETVER.DLL : 6.30.00.00 24576 07.06.2005 10:34:22
AVSHLEXT.DLL : 6.30.00.01 40960 07.06.2005 10:34:24
AVSched32.EXE : 6.32.00.00 110632 13.09.2005 11:19:12
AVSched32.DLL : 6.30.00.00 122880 07.06.2005 10:34:24
AVREG.DLL : 6.31.00.05 41000 13.09.2005 11:19:12
AVRep.DLL : 6.32.00.11 1351720 17.09.2005 18:11:10
INETUPD.EXE : 6.32.00.05 254011 13.09.2005 11:19:12
INETUPD.DLL : 6.32.00.05 159744 13.09.2005 11:19:12
CTL3D32.DLL : 2.31.000 27136 18.08.2001 13:00:00
MFC42.DLL : 6.02.4131.0 1028096 03.08.2004 23:57:24
MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : 7.0.2600.2180 343040 03.08.2004 23:57:30
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[ ] Reparieren mit Rückfrage
[X] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[ ] Akustische Warnung

Reaktion bei defekten Dateien:
[ ] Löschen mit Rückfrage
[X] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\FCAOBAIX\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[ ] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
C: Festplatte
D: Festplatte
E: Festplatte
F: CDRom
G: CDRom

Start des Suchlaufs: Sonntag, 18. September 2005 22:59

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Bootsektor von Laufwerk C: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: Sonntag, 18. September 2005 23:17
Benötigte Zeit: 18:27 min


3034 Verzeichnisse wurden durchsucht
45283 Dateien wurden geprüft
6 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\DOKUME~1\FCAOBAIX\LOKALE~1\Temp

18.09.2005 22:39 2.550 3.tmp
18.09.2005 22:37 127 kb.log
18.09.2005 22:36 16.384 ~DF50FB.tmp
18.09.2005 22:35 2.550 2.tmp
4 Datei(en) 21.611 Bytes
0 Verzeichnis(se), 2.871.595.008 Bytes frei





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\WINDOWS

18.09.2005 22:58 0 0.log
18.09.2005 22:58 181.918 ntbtlog.txt
18.09.2005 22:58 2.048 bootstat.dat
18.09.2005 22:57 301.041 WindowsUpdate.log
18.09.2005 22:57 11.174 SchedLgU.Txt
18.09.2005 22:35 0 Sti_Trace.log
18.09.2005 15:49 1.405 msdfmap.ini
18.09.2005 14:53 748 win.ini
17.09.2005 21:15 256 system.ini
17.09.2005 17:41 192 winamp.ini
16.09.2005 12:26 197.756 ljuhc.txt
15.09.2005 12:06 0 netqz32.exe
14.09.2005 14:35 578 M3JPEG.INI
14.09.2005 14:35 141 AVMASTER.INI
13.09.2005 11:29 16.730 Feder.bmp
07.09.2005 00:08 146 CleaningLab.INI
07.09.2005 00:08 1.272 Blaue Spitzen 16.bmp
02.09.2005 04:31 197.756 yfxev.dat
01.09.2005 22:03 86 NeroDigital.ini
01.09.2005 22:03 707 _default.pif
30.08.2005 17:28 65.978 Seifenblase.bmp
30.08.2005 17:28 93.696 Blue Girl.scr
30.08.2005 16:38 17.062 Kaffeetasse.bmp
30.08.2005 16:17 1.208 mgxoschk.ini
29.08.2005 17:41 35.353 addxd32.exe
28.08.2005 19:26 246 musicmaker.INI
27.08.2005 12:20 33.057 DIIUnin.dat
27.08.2005 12:08 2.829 DIIUnin.pif
27.08.2005 12:08 102.400 DIIUnin.exe
24.08.2005 00:02 3.567 ougnu.txt
23.08.2005 17:50 0 technomaker.INI
18.08.2005 19:25 360 BeatBox.INI
11.08.2005 20:09 316.640 WMSysPr9.prx
21.07.2005 22:58 67 A1 DVD Ripper.INI
19.07.2005 13:48 9.216 Hooksdll.dll
19.07.2005 13:47 3.397.601 Screen99.exe
19.07.2005 13:47 349.168 Screen99.scr
19.07.2005 13:47 29.696 mickey32.dll
19.07.2005 13:47 260 System.ini.backup
11.07.2005 15:22 0 muma2003.INI
09.07.2005 23:10 0 iPlayer.INI
01.07.2005 00:35 213.054 GSetup.exe
27.06.2005 16:47 133 MusicEditor.INI
03.08.2004 23:58 288.768 winhlp32.exe
03.08.2004 23:58 32.866 slrundll.exe
03.08.2004 23:58 153.600 regedit.exe
03.08.2004 23:58 70.144 notepad.exe
03.08.2004 23:57 10.752 hh.exe
03.08.2004 23:57 1.035.264 explorer.exe
03.08.2004 23:57 50.688 twain_32.dll
17.07.2004 10:40 19.528 002346_.tmp
18.02.2004 23:00 25.214 xmd.ico
12.12.2003 14:16 72.633 UNNeroVision.cfg
11.12.2003 17:26 47.398 UNNMP.cfg
11.12.2003 12:34 1.318.912 UNNeroVision.exe
11.12.2003 12:34 1.318.912 UNNMP.exe
18.08.2001 13:00 34.818 wmprfDEU.prx
18.08.2001 13:00 9.522 Zapotek.bmp
18.08.2001 13:00 48.680 winnt.bmp
18.08.2001 13:00 48.680 winnt256.bmp
18.08.2001 13:00 13.898 SET7.tmp
18.08.2001 13:00 65.832 Santa Fe-Stuck.bmp
18.08.2001 13:00 94.800 twain.dll
18.08.2001 13:00 26.582 Granit.bmp
18.08.2001 13:00 49.680 twunk_16.exe
18.08.2001 13:00 25.600 twunk_32.exe
18.08.2001 13:00 82.944 clock.avi
18.08.2001 13:00 26.680 F„cher.bmp
18.08.2001 13:00 15.872 TASKMAN.EXE
18.08.2001 13:00 65.954 Pr„riewind.bmp
18.08.2001 13:00 2 desktop.ini
18.08.2001 13:00 257.568 winhelp.exe
18.08.2001 13:00 1.085.913 SET3.tmp
18.08.2001 13:00 18.944 vmmreg32.dll
18.08.2001 13:00 17.336 Angler.bmp
18.08.2001 13:00 17.362 Rhododendron.bmp
18.08.2001 13:00 80 explorer.scf
25.06.2001 14:04 400 ODBC.INI
23.06.2001 23:32 3.587 Ascd_tmp.ini
23.06.2001 23:17 8.192 REGLOCS.OLD
23.06.2001 23:11 0 control.ini
23.06.2001 23:11 299.552 WMSysPrx.prx
23.06.2001 23:11 4.161 ODBCINST.INI
23.06.2001 23:09 749 WindowsShell.Manifest
23.06.2001 23:06 37 vbaddin.ini
23.06.2001 23:06 36 vb.ini
17.12.1999 10:13 86.016 unvise32.exe
17.11.1998 13:44 328.704 IsUn0407.exe
29.10.1998 16:45 306.688 IsUninst.exe
89 Datei(en) 13.075.093 Bytes
0 Verzeichnis(se), 2.871.578.624 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\

18.09.2005 23:40 0 sys.txt
18.09.2005 23:40 4.645 system.txt
18.09.2005 23:38 425 systemtemp.txt
18.09.2005 23:38 106.158 system32.txt
18.09.2005 22:58 805.306.368 pagefile.sys
18.09.2005 15:26 190 file.txt
17.09.2005 21:15 211 boot.ini
17.09.2005 18:19 774.321 reclock_log.txt
17.09.2005 17:59 28.160 winstall.exe
27.07.2005 22:37 2.626 runthis.bat
09.12.2003 01:31 11.254 locate.com
18.08.2001 13:00 4.952 bootfont.bin
24.06.2001 00:59 211 BOOT.BKK
24.06.2001 00:49 47.564 NTDETECT.COM
24.06.2001 00:49 251.184 ntldr
23.06.2001 23:11 0 IO.SYS
23.06.2001 23:11 0 MSDOS.SYS
23.06.2001 23:11 0 AUTOEXEC.BAT
23.06.2001 23:11 0 CONFIG.SYS
19 Datei(en) 806.538.269 Bytes
0 Verzeichnis(se), 2.871.574.528 Bytes frei
__________
Wer Fehler findet darf sie behalten

#7 die C:\Windows\System32 fehlt (ist gleich das erste log)

das kannst du schon mal loeschen, aber ich brauche auch die Dateien von System32

C:\Windows\netqz32.exe
C:\Windows\yfxev.dat
C:\Windows\ljuhc.txt

------------------------------------------------------------------------------------------------
einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\winstall.exe

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten
__________
MfG Sabina

rund um die PC-Sicherheit

#8 soviel Editiert... ^^
Ich habe gerade in meinem Post gelesen das SpySheriff da aufgelistet ist.. als ich den Virus mir eingefangen habe wollte SpySheriff das ich eine Lincence Ordere damit das Programm vollfunktionsfähig ist ^^. ich habe mich aber gewundert das sich so ein Programm einfach so installiert... ich habe den Download immer wieder abgebrochen weil ich vermutete das es ein Dialer oder Spy etc ist. Was ist denn da`s für ein Programm ?


Also ich bin gerade bei der Arbeit aber es scheint mir ja so als hätte ich ein paar mehr Viren auf meinem Computer oder ?
Ich habe auch noch ein Problem das ich mit meinem Computer nicht wirklich z.B. Counterstrike Source spielen kann

MB: Asus A7N8XE-Deluxe
Speicher: Infinion 526Mb
CPU: AMD 2700
Graka: Radeon 9800pro von Saphire 256bit 128MB Speicher

er startet mit 70fps und sinkt dann bis 30fps und das ist nicht mehr wirklich Spielbar... der aufbau meiner Programme ist auch sehr langsam wenn ich aus einem Programm raus gehe oder wie Photoshop Cs2 lade kommt es mir vor als hätte ich nur 500Mhz.
Ich habe schon mal in mein Bios geschaut und da kann das MB mein Cpu nicht richtig erkennen also habe ich den Cpu auf 2200 Mhz getaktet, doch das problem ist weiter hin da.
Hast du davon auch Ahnung ? : wäre ja Klasse

Ist der PayPal links zum Donaten ?



Datei: winstall.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Fakealert gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Fakealert gefunden
F-Prot Antivirus unknown virus gefunden (mögliche Variante)
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Clicker.Win32.Spywad.h gefunden
NOD32 a variant of Win32/Adware.SpySheriff application gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 MalwareScope.Trojan-Spy.Banker.9 gefunden

Incident Status Location

Adware:adware/spysheriff No disinfected C:\winstall.exe
Adware:adware/cws.homesearchasisstantNo disinfected Windows Registry
Virus:Trj/Downloader.CZR Disinfected Persnliche Ordner\Gelschte Objekte\God Bless the USA!\Pictures.zip[pics.scr]
Virus:W32/Bagle.DV.worm Disinfected Persnliche Ordner\Gelschte Objekte\The_reporting_of_taxes.zip[Taxes.exe]
Virus:Bck/Dumador.CV Disinfected Persnliche Ordner\Gelschte Objekte\Windows XP Professional + Office XP Professional. For FREE! LIMITED\vecqevf.exe
Virus:Trj/Downloader.EDN Disinfected Persnliche Ordner\Posteingang\Rechnung Online Monat August 2005 68734497\rechnung.pdf.exe
Virus:W32/Bagle.EL.worm Disinfected Persnliche Ordner\Posteingang\price.zip[1.cpl]
Adware:Adware/Popuper No disinfected C:\Program Files\SpySheriff\heur000.dll
Adware:Adware/SpySheriff No disinfected C:\Program Files\SpySheriff\heur001.dll
Adware:Adware/SpySheriff No disinfected C:\Program Files\SpySheriff\heur002.dll
Adware:Adware/SpywareNo No disinfected C:\Program Files\SpySheriff\IESecurity.dll
Adware:Adware/SpywareNo No disinfected C:\Program Files\SpySheriff\ProcMon.dll
Adware:Adware/SpySheriff No disinfected C:\Program Files\SpySheriff\Uninstall.exe
Adware:Adware/Startpage.VQ No disinfected C:\Programme\AVPersonal\INFECTED\WKGQA.DLL.VIR

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\WINDOWS\system32

18.09.2005 23:44 0 asfiles.txt
18.09.2005 23:44 2.550 Uninstall.ico
18.09.2005 23:44 1.406 Help.ico
18.09.2005 23:44 1.718 Open.ico
18.09.2005 23:44 1.406 AddQuit.ico
18.09.2005 23:44 5.350 IE.ico
18.09.2005 23:44 9.470 Desktop.ico
18.09.2005 23:44 1.718 Quick.ico
18.09.2005 22:39 0 hdprd.txt
18.09.2005 13:43 13.581 tijca.dat
18.09.2005 03:32 2.206 wpa.dbl
17.09.2005 17:59 84.545 apicd.dll
17.09.2005 10:04 13.581 ccjbc.txt
12.09.2005 21:17 43.520 CmdLineExt03.dll
12.09.2005 14:46 11.801 addbw32.exe
31.08.2005 10:18 0 eknuw.dat
27.08.2005 12:18 21.840 SIntfNT.dll
27.08.2005 12:18 17.212 SIntf32.dll
27.08.2005 12:18 12.067 SIntf16.dll
25.08.2005 17:42 248.696 FNTCACHE.DAT
11.08.2005 20:10 3.126 tempimg.tmp
11.08.2005 20:10 6.144 access.ctl
29.07.2005 21:07 73.728 asuninst.exe
25.07.2005 09:10 380.350 perfh009.dat
25.07.2005 09:10 52.764 perfc009.dat
25.07.2005 09:10 391.000 perfh007.dat
25.07.2005 09:10 63.580 perfc007.dat
25.07.2005 09:10 786.220 PerfStringBackup.INI
24.07.2005 11:25 1.532 ROXECDC6Inst.log
12.07.2005 18:04 23.304 GWFSPidGen.dll
12.07.2005 18:04 520.456 LegitCheckControl.dll
01.07.2005 00:35 130 Log.inf
01.07.2005 00:35 65.536 DvdKeyAuth.dll
01.07.2005 00:33 53.248 GEARSEC.EXE
01.07.2005 00:33 78.896 GEARASPI.DLL
26.05.2005 03:19 173.536 wuweb.dll
26.05.2005 03:16 18.200 wups2.dll
26.05.2005 03:16 41.240 wups.dll
26.05.2005 03:16 1.343.768 wuaueng.dll
26.05.2005 03:16 198.424 iuengine.dll
26.05.2005 03:16 75.544 cdm.dll
26.05.2005 03:16 124.696 wuauclt.exe
26.05.2005 03:16 194.840 wuaueng1.dll
26.05.2005 03:16 174.872 wuauclt1.exe
26.05.2005 03:16 466.200 wuapi.dll
26.05.2005 03:16 174.872 wuaucpl.cpl
26.05.2005 03:16 128.280 wucltui.dll
13.05.2005 05:54 299.008 atiiiexx.dll
13.05.2005 05:23 229.376 ATIDEMGR.dll
13.05.2005 04:39 6.680.576 atioglx1.dll
13.05.2005 03:31 4.816.896 atioglxx.dll
13.05.2005 03:15 228.864 ati2dvag.dll
13.05.2005 03:10 94.208 atipdlxx.dll
13.05.2005 03:10 73.728 Oemdspif.dll
13.05.2005 03:10 25.088 Ati2mdxx.exe
13.05.2005 03:10 39.936 ati2edxx.dll
13.05.2005 03:10 46.080 ati2evxx.dll
13.05.2005 03:09 368.640 ati2evxx.exe
13.05.2005 03:08 53.248 ATIDDC.DLL
13.05.2005 03:01 2.347.520 ati3duag.dll
13.05.2005 02:55 613.440 ativvaxx.dll
13.05.2005 02:44 139.264 atikvmag.dll
13.05.2005 02:43 17.408 atitvo32.dll
13.05.2005 02:38 208.896 ati2cqag.dll
12.05.2005 21:05 516.096 ati2sgag.exe
04.05.2005 14:45 15.360 msisip.dll
04.05.2005 14:45 78.848 msiexec.exe
04.05.2005 14:45 271.360 msihnd.dll
04.05.2005 14:45 884.736 msimsg.dll
04.05.2005 14:45 2.890.240 msi.dll
03.05.2005 21:18 93.878 atiicdxx.dat
03.05.2005 15:44 221.184 mgxoschk.dll
09.04.2005 22:17 401.408 DLLAV32.dll
09.04.2005 22:17 155.648 DLLDEV32.dll
09.04.2005 22:17 143.360 DLLDRV32.dll
22.03.2005 12:23 5.195 atifglpf.xml
14.03.2005 20:30 61.440 pxhpinst.exe
11.03.2005 23:28 339.968 pxwave.dll
11.03.2005 23:28 339.968 px.dll
11.03.2005 23:28 28.672 vxblock.dll
11.03.2005 23:28 172.032 pxmas.dll
11.03.2005 23:28 405.504 pxdrv.dll
25.02.2005 04:34 15.584 spmsg.dll
25.02.2005 04:34 22.752 spupdsvc.exe
10.02.2005 19:00 36.864 DLLPNT32.dll
10.02.2005 19:00 49.152 DLLIO32.dll
10.02.2005 19:00 188.416 DLLRES32.dll
10.02.2005 19:00 32.768 STRING32.dll
20.12.2004 11:08 155.648 xvidvfw.dll
20.12.2004 11:03 679.936 xvidcore.dll
11.08.2004 00:45 331.776 wpdmtpdr.dll
11.08.2004 00:45 66.560 wpdmtpus.dll
11.08.2004 00:45 327.680 wpdsp.dll
11.08.2004 00:45 114.176 wpdmtp.dll
11.08.2004 00:45 10.752 wpdtrace.dll
11.08.2004 00:45 38.912 wpd_ci.dll
11.08.2004 00:45 61.952 wpdconns.dll
11.08.2004 00:45 531.192 wmspdmod.dll
11.08.2004 00:45 936.960 wmspdmoe.dll
11.08.2004 00:45 1.181.944 wmvadvd.dll
11.08.2004 00:45 1.509.376 WMVADVE.DLL
11.08.2004 00:45 2.362.104 wmvcore.dll
11.08.2004 00:45 871.160 wmvdmod.dll
11.08.2004 00:45 999.424 wmvdmoe2.dll
11.08.2004 00:45 311.296 MSWMDM.dll
11.08.2004 00:45 20.480 wmpcore.dll
11.08.2004 00:45 47.104 uwdf.exe
11.08.2004 00:45 169.472 MsPMSP.dll
11.08.2004 00:45 480.768 Audiodev.dll
11.08.2004 00:45 20.480 wmpcd.dll
11.08.2004 00:45 221.184 qasf.dll
11.08.2004 00:45 15.872 wdfapi.dll
11.08.2004 00:45 135.168 wmpasf.dll
11.08.2004 00:45 20.480 wmp.ocx
__________
Wer Fehler findet darf sie behalten

#9 deinstalliere
SpySheriff
Xupiter.Orbitexplorer

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Program Files\SpySheriff\heur000.dll
C:\Program Files\SpySheriff\heur001.dll
C:\Program Files\SpySheriff\heur002.dll
C:\Program Files\SpySheriff\IESecurity.dll
C:\Program Files\SpySheriff\ProcMon.dll
C:\Program Files\SpySheriff\Uninstall.exe
C:\Windows\netqz32.exe
C:\WINDOWS\addxd32.exe
C:\WINDOWS\system32\netxf.exe
C:\Windows\mickey32.dll
C:\WINDOWS\system32\bobsaver.exe
C:\WINDOWS\system32\bobsaver.scr
C:\Windows\yfxev.dat
C:\Windows\ljuhc.txt
C:\WINDOWS\system32\hdprd.txt
C:\WINDOWS\system32\tijca.dat
C:\WINDOWS\system32\apicd.dll
C:\WINDOWS\system32\ccjbc.txt
C:\WINDOWS\system32\addbw32.exe
C:\WINDOWS\system32\eknuw.dat
C:\winstall.exe

PC neustarten

noch mal die Killbox:
DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Program Files\SpySheriff

PC neustarten

Zitat

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken und mit "ja" bestätigen, damit die reg*-Datei der Registry beigefügt wird und sofort den PC neustarten.





REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-

Zitat

*reg-Datei

http://virus-protect.org/reg/fixmeq.reg

dann erscheint eine fixmeq.reg auf dem Desktop

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixmeq.reg" auf dem Desktop doppelklicken und mit "ja" bestätigen, damit die reg*-Datei der Registry beigefügt wird und sofort den PC neustarten.

Ad-aware SE Personal
http://virus-protect.org/antispywaretools.html
Laden-->Konfigurieren
http://virus-protect.org/adaware.html
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

Lade :smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
- Oeffne smitRem folder, Doppelklick: RunThis.bat
- warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
- suche smitfiles.txt und poste die Textdatei in den Thread

dann scanne mit kaspersky und berichte
http://virus-protect.org/onlinescan.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#10 also ad-aware hat 35 sachen gefunden.... naja das Programm hat rumgemeckert das ich nichts angeklickt habe zum entfernen ?!?! Ich dachte mir das du den Result sehen möchtest aber irgendiwe finde ich den nicht soll ich auch nun neustarten nochmal scannen da wird er wieder das gleiche finden und diesen Log poste ich dann und dann nehme ich das entfernungs tool ?!?!?

*Bahnhof*

kann ad-aware das nicht schon löschen ?








die 2 Log :


Ad-Aware SE Build 1.06r1
Logfile Created on:Montag, 19. September 2005 15:17:21
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R66 14.09.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Claria(TAC index:7):3 total references
CoolWebSearch(TAC index:10):26 total references
MRU List(TAC index:0):20 total references
SearchClick(TAC index:10):1 total references
SpywareNo(TAC index:7):6 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Definition File:
=========================
Definitions File Loaded:
Reference Number : SE1R66 14.09.2005
Internal build : 77
File location : C:\Programme\Lavasoft\Ad-Aware SE Personal\defs.ref
File size : 522778 Bytes
Total size : 1570907 Bytes
Signature data size : 1537712 Bytes
Reference data size : 32683 Bytes
Signatures total : 43686
CSI Fingerprints total : 1045
CSI data size : 37239 Bytes
Target categories : 15
Target families : 746


Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Intel Pentium III
Memory available:53 %
Total physical memory:523760 kb
Available physical memory:274528 kb
Total page file size:1280116 kb
Available on page file:1066392 kb
Total virtual memory:2097024 kb
Available virtual memory:2047136 kb
OS:Microsoft Windows XP Professional Service Pack 2 (Build 2600)

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Obtain command line of scanned processes
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Write-protect system files after repair (Hosts file, etc.)
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


19.09.2005 15:17:21 - Scan started. (Custom mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
ModuleName : \SystemRoot\System32\smss.exe
Command Line : n/a
ProcessID : 796
ThreadCreationTime : 19.09.2005 14:15:25
BasePriority : Normal


#:2 [csrss.exe]
ModuleName : \??\C:\WINDOWS\system32\csrss.exe
Command Line : C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestTh
ProcessID : 872
ThreadCreationTime : 19.09.2005 14:15:27
BasePriority : Normal


#:3 [winlogon.exe]
ModuleName : \??\C:\WINDOWS\system32\winlogon.exe
Command Line : winlogon.exe
ProcessID : 896
ThreadCreationTime : 19.09.2005 14:15:29
BasePriority : High


#:4 [services.exe]
ModuleName : C:\WINDOWS\system32\services.exe
Command Line : C:\WINDOWS\system32\services.exe
ProcessID : 940
ThreadCreationTime : 19.09.2005 14:15:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
ModuleName : C:\WINDOWS\system32\lsass.exe
Command Line : C:\WINDOWS\system32\lsass.exe
ProcessID : 952
ThreadCreationTime : 19.09.2005 14:15:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [ati2evxx.exe]
ModuleName : C:\WINDOWS\system32\Ati2evxx.exe
Command Line : C:\WINDOWS\system32\Ati2evxx.exe
ProcessID : 1104
ThreadCreationTime : 19.09.2005 14:15:29
BasePriority : Normal
FileVersion : 6.14.10.4116
ProductVersion : 6.14.10.4116
ProductName : ATI External Event Utility for WindowsNT and Windows9X
CompanyName : ATI Technologies Inc.
FileDescription : ATI External Event Utility EXE Module
InternalName : ATI2EVXX.EXE
LegalCopyright : Copyright © 1999-2004 ATI Technologies Inc.
OriginalFilename : ATI2EVXX.EXE

#:7 [svchost.exe]
ModuleName : C:\WINDOWS\system32\svchost.exe
Command Line : C:\WINDOWS\system32\svchost -k DcomLaunch
ProcessID : 1116
ThreadCreationTime : 19.09.2005 14:15:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
ModuleName : C:\WINDOWS\system32\svchost.exe
Command Line : C:\WINDOWS\system32\svchost -k rpcss
ProcessID : 1200
ThreadCreationTime : 19.09.2005 14:15:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
ModuleName : C:\WINDOWS\System32\svchost.exe
Command Line : C:\WINDOWS\System32\svchost.exe -k netsvcs
ProcessID : 1344
ThreadCreationTime : 19.09.2005 14:15:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
ModuleName : C:\WINDOWS\System32\svchost.exe
Command Line : C:\WINDOWS\System32\svchost.exe -k NetworkService
ProcessID : 1388
ThreadCreationTime : 19.09.2005 14:15:30
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [svchost.exe]
ModuleName : C:\WINDOWS\System32\svchost.exe
Command Line : C:\WINDOWS\System32\svchost.exe -k LocalService
ProcessID : 1628
ThreadCreationTime : 19.09.2005 14:15:30
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:12 [spoolsv.exe]
ModuleName : C:\WINDOWS\system32\spoolsv.exe
Command Line : C:\WINDOWS\system32\spoolsv.exe
ProcessID : 1800
ThreadCreationTime : 19.09.2005 14:15:30
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:13 [netxf.exe]
ModuleName : C:\WINDOWS\system32\netxf.exe
Command Line : "C:\WINDOWS\system32\netxf.exe" /s
ProcessID : 1896
ThreadCreationTime : 19.09.2005 14:15:30
BasePriority : Normal


#:14 [avguard.exe]
ModuleName : C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
Command Line : "C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"
ProcessID : 1924
ThreadCreationTime : 19.09.2005 14:15:30
BasePriority : Normal


#:15 [avwupsrv.exe]
ModuleName : C:\Programme\AVPersonal\AVWUPSRV.EXE
Command Line : "C:\Programme\AVPersonal\AVWUPSRV.EXE"
ProcessID : 1948
ThreadCreationTime : 19.09.2005 14:15:30
BasePriority : Normal


#:16 [gearsec.exe]
ModuleName : C:\WINDOWS\SYSTEM32\GEARSEC.EXE
Command Line : SYSTEM32\GEARSEC.EXE
ProcessID : 1988
ThreadCreationTime : 19.09.2005 14:15:31
BasePriority : Normal
FileVersion : 1, 0, 0, 6
ProductVersion : 1, 0, 0, 6
ProductName : gearsec
CompanyName : GEAR Software
FileDescription : gearsec
InternalName : gearsec
LegalCopyright : Copyright © 2001-2003 GEAR Software
OriginalFilename : gearsec.exe

#:17 [mdm.exe]
ModuleName : C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
Command Line : "C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"
ProcessID : 2012
ThreadCreationTime : 19.09.2005 14:15:31
BasePriority : Normal
FileVersion : 7.00.9064.9150
ProductVersion : 7.00.9064.9150
ProductName : Microsoft Development Environment
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1997-2000
OriginalFilename : mdm.exe

#:18 [ati2evxx.exe]
ModuleName : C:\WINDOWS\system32\Ati2evxx.exe
Command Line : Ati2evxx.exe -Client
ProcessID : 524
ThreadCreationTime : 19.09.2005 14:15:34
BasePriority : Normal
FileVersion : 6.14.10.4116
ProductVersion : 6.14.10.4116
ProductName : ATI External Event Utility for WindowsNT and Windows9X
CompanyName : ATI Technologies Inc.
FileDescription : ATI External Event Utility EXE Module
InternalName : ATI2EVXX.EXE
LegalCopyright : Copyright © 1999-2004 ATI Technologies Inc.
OriginalFilename : ATI2EVXX.EXE

#:19 [explorer.exe]
ModuleName : C:\WINDOWS\Explorer.EXE
Command Line : C:\WINDOWS\Explorer.EXE
ProcessID : 612
ThreadCreationTime : 19.09.2005 14:15:35
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:20 [wdfmgr.exe]
ModuleName : C:\WINDOWS\system32\wdfmgr.exe
Command Line : C:\WINDOWS\system32\wdfmgr.exe
ProcessID : 676
ThreadCreationTime : 19.09.2005 14:15:35
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:21 [atiptaxx.exe]
ModuleName : C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
Command Line : "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
ProcessID : 1144
ThreadCreationTime : 19.09.2005 14:15:38
BasePriority : Normal
FileVersion : 6.14.10.5155
ProductVersion : 6.14.10.5155
ProductName : ATI Desktop Component
CompanyName : ATI Technologies, Inc.
FileDescription : ATI Desktop Control Panel
InternalName : Atiptaxx.exe
LegalCopyright : Copyright (C) 1998-2005 ATI Technologies Inc.
OriginalFilename : Atiptaxx.exe

#:22 [winampa.exe]
ModuleName : C:\Programme\Winamp\winampa.exe
Command Line : "C:\Programme\Winamp\winampa.exe"
ProcessID : 1152
ThreadCreationTime : 19.09.2005 14:15:38
BasePriority : Normal


#:23 [avgnt.exe]
ModuleName : C:\Programme\AVPersonal\AVGNT.EXE
Command Line : "C:\Programme\AVPersonal\AVGNT.EXE" /min
ProcessID : 1184
ThreadCreationTime : 19.09.2005 14:15:38
BasePriority : Normal


#:24 [nvmixertray.exe]
ModuleName : C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
Command Line : "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
ProcessID : 1248
ThreadCreationTime : 19.09.2005 14:15:38
BasePriority : Normal


#:25 [pdvdserv.exe]
ModuleName : E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
Command Line : "E:\Programme\CyberLink\PowerDVD\PDVDServ.exe"
ProcessID : 1264
ThreadCreationTime : 19.09.2005 14:15:38
BasePriority : Normal
FileVersion : 5.00.0000
ProductVersion : 5.00.0000
ProductName : PowerDVD
CompanyName : Cyberlink Corp.
FileDescription : PowerDVD RC Service
InternalName : PowerDVD RC Service
LegalCopyright : Copyright (c) CyberLink Corp. 1997-2002
OriginalFilename : PDVDSERV.EXE

#:26 [drgtodsc.exe]
ModuleName : C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
Command Line : "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
ProcessID : 1300
ThreadCreationTime : 19.09.2005 14:15:38
BasePriority : Normal
FileVersion : 6.0.0.209
ProductVersion : 6.0.0.209
ProductName : Drag-to-Disc
CompanyName : Roxio
FileDescription : Drag To Disc Application
InternalName : D2D
LegalCopyright : Copyright (c) 1999-2003 Roxio, Inc.
LegalTrademarks : Copyright (c) 1999-2003 Roxio, Inc.
OriginalFilename : BurnCtrl.EXE

#:27 [rxmon.exe]
ModuleName : C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
Command Line : "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
ProcessID : 1504
ThreadCreationTime : 19.09.2005 14:15:38
BasePriority : Normal


#:28 [wmiprvse.exe]
ModuleName : C:\WINDOWS\System32\wbem\wmiprvse.exe
Command Line : C:\WINDOWS\System32\wbem\wmiprvse.exe -Embedding
ProcessID : 1536
ThreadCreationTime : 19.09.2005 14:15:38
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : WMI
InternalName : Wmiprvse.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : Wmiprvse.exe

#:29 [addxd32.exe]
ModuleName : C:\WINDOWS\addxd32.exe
Command Line : "C:\WINDOWS\addxd32.exe"
ProcessID : 1544
ThreadCreationTime : 19.09.2005 14:15:38
BasePriority : Normal


SearchClick Object Recognized!
Type : Process
Data : addxd32.exe
TAC Rating : 10
Category : Malware
Comment : (CSI MATCH)
Object : C:\WINDOWS\


Warning! SearchClick Object found in memory(C:\WINDOWS\addxd32.exe)

"C:\WINDOWS\addxd32.exe"Process terminated successfully
"C:\WINDOWS\addxd32.exe"Process terminated successfully

#:30 [alg.exe]
ModuleName : C:\WINDOWS\System32\alg.exe
Command Line : C:\WINDOWS\System32\alg.exe
ProcessID : 1644
ThreadCreationTime : 19.09.2005 14:15:39
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:31 [ctfmon.exe]
ModuleName : C:\WINDOWS\system32\ctfmon.exe
Command Line : "C:\WINDOWS\system32\ctfmon.exe"
ProcessID : 1688
ThreadCreationTime : 19.09.2005 14:15:39
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:32 [msmsgs.exe]
ModuleName : C:\Programme\Messenger\msmsgs.exe
Command Line : "C:\Programme\Messenger\msmsgs.exe" /background
ProcessID : 1716
ThreadCreationTime : 19.09.2005 14:15:39
BasePriority : Normal
FileVersion : 4.7.3000
ProductVersion : Version 4.7.3000
ProductName : Messenger
CompanyName : Microsoft Corporation
FileDescription : Windows Messenger
InternalName : msmsgs
LegalCopyright : Copyright (c) Microsoft Corporation 2004
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
OriginalFilename : msmsgs.exe

#:33 [wscntfy.exe]
ModuleName : C:\WINDOWS\system32\wscntfy.exe
Command Line : C:\WINDOWS\system32\wscntfy.exe
ProcessID : 1752
ThreadCreationTime : 19.09.2005 14:15:41
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows Security Center Notification App
InternalName : wscntfy.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : wscntfy.exe

#:34 [playlist.exe]
ModuleName : C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
Command Line : "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe" -Embedding
ProcessID : 180
ThreadCreationTime : 19.09.2005 14:15:41
BasePriority : Normal


#:35 [reader_sl.exe]
ModuleName : E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Command Line : "E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe"
ProcessID : 220
ThreadCreationTime : 19.09.2005 14:15:42
BasePriority : Normal
FileVersion : 7.0.0.0
ProductVersion : 7.0.0.0
ProductName : Adobe Acrobat
CompanyName : Adobe Systems Incorporated
FileDescription : Adobe Acrobat SpeedLauncher
LegalCopyright : Copyright Adobe Systems Incorporated 2004
OriginalFilename : AcroSpeedLaunch.exe

#:36 [wincinemamgr.exe]
ModuleName : E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
Command Line : "E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe"
ProcessID : 336
ThreadCreationTime : 19.09.2005 14:15:43
BasePriority : Normal
FileVersion : 2.0.5
ProductVersion : 2, 0, 5, 0
ProductName : WinCinema Manager for InterVideo WinCinema products
CompanyName : InterVideo Inc.
FileDescription : WinCinema Manager
InternalName : WinCinema Manager
LegalCopyright : Copyright 1999-2003 InterVideo, Inc. All rights reserved.
OriginalFilename : WinCinemaMgr.EXE

#:37 [ad-aware.exe]
ModuleName : C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
Command Line : "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe"
ProcessID : 2344
ThreadCreationTime : 19.09.2005 14:16:01
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

#:38 [wuauclt.exe]
ModuleName : C:\WINDOWS\system32\wuauclt.exe
Command Line : "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[540]SUSDS9543e19518cfa14b89007f4006b0a72a
ProcessID : 2396
ThreadCreationTime : 19.09.2005 14:16:21
BasePriority : Normal
FileVersion : 5.8.0.2469 built by: lab01_n(wmbla)
ProductVersion : 5.8.0.2469
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Automatische Updates
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 1


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Claria Object Recognized!
Type : Regkey
Data :
TAC Rating : 7
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}

Claria Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
Value : GEF

Claria Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
Value : GMG

CoolWebSearch Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{676575dd-4d46-911d-8037-9b10d6ee8bb5}

SpywareNo Object Recognized!
Type : Regkey
Data :
TAC Rating : 7
Category : Misc
Comment :
Rootkey : HKEY_USERS
Object : S-1-5-21-682003330-1500820517-725345543-1003\software\spysheriff

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 5
Objects found so far: 6


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 6

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\FCAOBAIX\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-19\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-20\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\office\10.0\common\general
Description : list of recently used symbols in microsoft office


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Description : list of recent files opened using wordpad


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\windows media\wmsdk\general
Description : windows media sdk



Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26



Deep scanning and examining files (C
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26


Deep scanning and examining files (D
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26


Deep scanning and examining files (E
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for E:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26


Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\urlsearchhooks

CoolWebSearch Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\hsa

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\hsa
Value : UninstallString

CoolWebSearch Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\se

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\se
Value : UninstallString

CoolWebSearch Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\sw

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\sw
Value : UninstallString

CoolWebSearch Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : system\currentcontrolset\services\ 11fßä#·ºÄÖ`i

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : system\currentcontrolset\services\ 11fßä#·ºÄÖ`i
Value : Start

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : system\currentcontrolset\services\ 11fßä#·ºÄÖ`i
Value : ErrorControl

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : system\currentcontrolset\services\ 11fßä#·ºÄÖ`i
Value : ImagePath

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : system\currentcontrolset\services\ 11fßä#·ºÄÖ`i
Value : DisplayName

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : system\currentcontrolset\services\ 11fßä#·ºÄÖ`i
Value : ObjectName

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : system\currentcontrolset\services\ 11fßä#·ºÄÖ`i
Value : FailureActions

CoolWebSearch Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\downloadmanager

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\main
Value : Search Bar

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\search
Value : SearchAssistant

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\main
Value : Search Page

CoolWebSearch Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft
Value : set

CoolWebSearch Object Recognized!
Type : RegData
Data : no
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\main
Value : Use Search Asst
Data : no

CoolWebSearch Object Recognized!
Type : RegData
Data : about:blank
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\main
Value : Start Page
Data : about:blank

CoolWebSearch Object Recognized!
Type : RegData
Data : no
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Use Search Asst
Data : no

CoolWebSearch Object Recognized!
Type : RegData
Data : about:blank
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Start Page
Data : about:blank

CoolWebSearch Object Recognized!
Type : File
Data : 2.tmp
TAC Rating : 10
Category : Malware
Comment :
Object : C:\DOKUME~1\FCAOBAIX\LOKALE~1\Temp\



CoolWebSearch Object Recognized!
Type : File
Data : wbemess.log
TAC Rating : 10
Category : Malware
Comment :
Object : C:\WINDOWS\system32\wbem\logs\



SpywareNo Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Misc
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\desktop\general
Value : WallpaperLocalFileTime

SpywareNo Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Misc
Comment :
Rootkey : HKEY_CURRENT_USER
Object : control panel\desktop
Value : WallpaperStyle

SpywareNo Object Recognized!
Type : RegValue
Data :
TAC Rating : 7
Category : Misc
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\desktop\general
Value : WallpaperFileTime

SpywareNo Object Recognized!
Type : RegData
Data : 0
TAC Rating : 7
Category : Misc
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\policies\explorer
Value : ClassicShell
Data : 0

SpywareNo Object Recognized!
Type : File
Data : Install.dat
TAC Rating : 7
Category : Misc
Comment :
Object : C:\Dokumente und Einstellungen\FCAOBAIX\Anwendungsdaten\



Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 30
Objects found so far: 56

15:29:53 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:12:32.688
Objects scanned:163125
Objects identified:36
Objects ignored:0
New critical objects:36








smitRem log file
version 2.4

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN!
__________
Wer Fehler findet darf sie behalten

#11 AdAware:
Am Ende des Scans gehe auf "Scanprotokoll" und klicke mit der rechten Maustaste darauf. Dann kannst Du es mit "Speichern" als Text-Datei speichern oder per "In die Zwischenablage kopieren" dann gleich hierhin übertragen.

Du solltest alles, was AdAware findet, beheben lassen. MRU-Listen müssen nicht unbedingt gelöscht werden, da sie nur die Funktion "zuletzt verwendete Dateien" (und vergleichbares) haben. Ich hab sie beispielsweise auf "Ignorieren" gesetzt

Edit: Wie ich sehe, hast Du es schon herausgefunden
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#12 du solltest immer schreiben, was du schon erledigt hast, ansonsten drehen wir uns im Kreis und natuerlich poste ich dir die Antivirentools, damit sie die Malware loeschen....
Also noch mal mit AdAware scannen und alles loeschen lassen.

•KillBox
•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Windows\netqz32.exe
C:\WINDOWS\addxd32.exe
C:\WINDOWS\system32\netxf.exe
C:\Dokumente und Einstellungen\FCAOBAIX\Anwendungsdaten\Install.dat

PC neustarten

Zitat

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken und mit "ja" bestätigen, damit die reg*-Datei der Registry beigefügt wird und sofort den PC neustarten.





REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-

Zitat

*reg-Datei

http://virus-protect.org/reg/fixmeq.reg

dann erscheint eine fixmeq.reg auf dem Desktop

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixmeq.reg" auf dem Desktop doppelklicken und mit "ja" bestätigen, damit die reg*-Datei der Registry beigefügt wird und sofort den PC neustarten.

dann scanne mit kaspersky und berichte
http://virus-protect.org/onlinescan.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#13 -------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, September 19, 2005 16:31:43
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 19/09/2005
Kaspersky Anti-Virus database records: 140956
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\

Scan Statistics:
Total number of scanned objects: 40710
Number of viruses found: 3
Number of infected objects: 20
Number of suspicious objects: 14
Duration of the scan process: 2281 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gelöschte Objekte/31 May 2005 09:50 from Charter One Bank:Verify Your Data With Ch.rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gelöschte Objekte/29 Jun 2005 19:06 from SOUTHTRUST:IMPORTANT NOTIFICATION FROM SO.rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gelöschte Objekte/06 Aug 2005 14:26 from VOLKSBANKEN RAIFFEISENBANKEN AGie wicht.rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gelöschte Objekte/13 Aug 2005 00:08 from eBay Inc:Official Information To eBay Inc.rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gelöschte Objekte/16 Aug 2005 11:58 from DEUTSCHE BANKEUTSCHE BANK ONLINE-BANKIN.rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gelöschte Objekte/21 Aug 2005 23:08 from eBay:Customer Service: Your eBay Account.rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/26 Jul 2005 03:43 from CITIBANK DEUTSCHLANDie Information f|r .rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/27 Jul 2005 13:08 from eBay:Attention To AII eBay CIients.rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/07 Aug 2005 13:55 from eBay:IMPORTANT BANKING MAIL [Sun, 07 Aug .rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/05 Sep 2005 03:43 from Deutsche Postbankie wichtige Informatio.rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/05 Sep 2005 07:10 from eBay Inc:Bank Mail From eBay [Mon, 05 Sep.rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/16 Sep 2005 15:17 from eBay Inc:Customer notice: instructions fo.rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/16 Sep 2005 15:18 from eBay Inc:Customer notice: instructions fo.rtf Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\FCAOBAIX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\WINDOWS\CleaningLab.INI:buxrws:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\d3tq32.exe Infected: Trojan-Downloader.Win32.Agent.bq
C:\WINDOWS\Feder.bmp:qyeark:$DATA Infected: Trojan-Downloader.Win32.Agent.bq
C:\WINDOWS\mgxoschk.ini:okicfi:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\msdfmap.ini:etkdb:$DATA Infected: Trojan-Downloader.Win32.Agent.bq
C:\WINDOWS\NeroDigital.ini:lqryks:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\netbs32.exe Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\ntbtlog.txt:spgtm:$DATA Infected: Trojan-Downloader.Win32.Agent.bq
C:\WINDOWS\ntsz.exe Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\ntxi.exe Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\Seifenblase.bmp:vgaym:$DATA Infected: Trojan-Downloader.Win32.Agent.bq
C:\WINDOWS\system32\apiko.exe Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\system32\atlqz32.exe Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\system32\crli.exe Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\system32\msph32.exe Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\system32\netxf.exe Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\_default.pif:eknuwo:$DATA Infected: Trojan-Downloader.Win32.Agent.bq
C:\WINDOWS\_default.pif:jjanmh:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\_default.pif:tijcab:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\_default.pif:ukdgju:$DATA Infected: Trojan-Downloader.Win32.Agent.bq

Scan process completed.


das scannen dauert imemr so lange also ich werde nun die killbox mal wieder löschen und dann die registri´s machen und dann warte ich auf neue commands
__________
Wer Fehler findet darf sie behalten

#14 loesche mit der Killbox:

C:\WINDOWS\d3tq32.exe
C:\WINDOWS\netbs32.exe
C:\WINDOWS\ntbtlog.txt
C:\WINDOWS\ntsz.exe
C:\WINDOWS\ntxi.exe
C:\WINDOWS\system32\apiko.exe
C:\WINDOWS\system32\atlqz32.exe
C:\WINDOWS\system32\crli.exe
C:\WINDOWS\system32\msph32.exe
C:\WINDOWS\system32\netxf.exe
C:\Windows\netqz32.exe
C:\WINDOWS\addxd32.exe
C:\WINDOWS\system32\netxf.exe
C:\Dokumente und Einstellungen\FCAOBAIX\Anwendungsdaten\Install.dat

neustarten

•AboutBuster-->noch einmal.....
Programm (im abgesicherten Modus) ausführen -->poste den scanreport

dann fuehre die 2 reg-Dateien aus

dann scanne noch einmal mit AdAware (am besten im abgesicherten Modus) und loesche alles.

dann poste mir noch einmal die 4 Logs von der datfindbat.
__________
MfG Sabina

rund um die PC-Sicherheit

#15 AboutBuster 5.0 reference file 28
Scan started on [19.09.2005] at [16:49:19]
------------------------------------------------
Removed Stream! C:\WINDOWS\_default.pif:ngpcbh
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 16:49:41




ok ich werde die 2 reg dateien jetzt in angriff nehmen und dann nochmal adware und löschealles dann schreib ich die log´s


Also gefunden hat er nichts und wenn ich IE-Explorer öffnen kommt eine Virus warnung

C:\WINDOWS\SYSTEM32\LWLDE.DLL

Ist das Trojanische Pferd TR/StartPa.DU.DLL.1



Die Log von Ad. AdAware hat nichts gefunden zum löschen

Ad-Aware SE Build 1.06r1
Logfile Created on:Montag, 19. September 2005 16:56:41
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R66 14.09.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):10 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Definition File:
=========================
Definitions File Loaded:
Reference Number : SE1R66 14.09.2005
Internal build : 77
File location : C:\Programme\Lavasoft\Ad-Aware SE Personal\defs.ref
File size : 522778 Bytes
Total size : 1570907 Bytes
Signature data size : 1537712 Bytes
Reference data size : 32683 Bytes
Signatures total : 43686
CSI Fingerprints total : 1045
CSI data size : 37239 Bytes
Target categories : 15
Target families : 746


Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Intel Pentium III
Memory available:77 %
Total physical memory:523760 kb
Available physical memory:398892 kb
Total page file size:1280116 kb
Available on page file:1216044 kb
Total virtual memory:2097024 kb
Available virtual memory:2048512 kb
OS:Microsoft Windows XP Professional Service Pack 2 (Build 2600)

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Obtain command line of scanned processes
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Write-protect system files after repair (Hosts file, etc.)
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


19.09.2005 16:56:41 - Scan started. (Custom mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
ModuleName : \SystemRoot\System32\smss.exe
Command Line : n/a
ProcessID : 180
ThreadCreationTime : 19.09.2005 15:55:43
BasePriority : Normal


#:2 [csrss.exe]
ModuleName : \??\C:\WINDOWS\system32\csrss.exe
Command Line : C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestTh
ProcessID : 228
ThreadCreationTime : 19.09.2005 15:55:46
BasePriority : Normal


#:3 [winlogon.exe]
ModuleName : \??\C:\WINDOWS\system32\winlogon.exe
Command Line : winlogon.exe
ProcessID : 252
ThreadCreationTime : 19.09.2005 15:55:48
BasePriority : High


#:4 [services.exe]
ModuleName : C:\WINDOWS\system32\services.exe
Command Line : C:\WINDOWS\system32\services.exe
ProcessID : 296
ThreadCreationTime : 19.09.2005 15:55:51
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
ModuleName : C:\WINDOWS\system32\lsass.exe
Command Line : C:\WINDOWS\system32\lsass.exe
ProcessID : 308
ThreadCreationTime : 19.09.2005 15:55:51
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
ModuleName : C:\WINDOWS\system32\svchost.exe
Command Line : C:\WINDOWS\system32\svchost -k DcomLaunch
ProcessID : 460
ThreadCreationTime : 19.09.2005 15:55:55
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
ModuleName : C:\WINDOWS\system32\svchost.exe
Command Line : C:\WINDOWS\system32\svchost -k rpcss
ProcessID : 504
ThreadCreationTime : 19.09.2005 15:55:56
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
ModuleName : C:\WINDOWS\system32\svchost.exe
Command Line : C:\WINDOWS\system32\svchost.exe -k netsvcs
ProcessID : 544
ThreadCreationTime : 19.09.2005 15:55:56
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [explorer.exe]
ModuleName : C:\WINDOWS\Explorer.EXE
Command Line : C:\WINDOWS\Explorer.EXE
ProcessID : 776
ThreadCreationTime : 19.09.2005 15:55:59
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:10 [ad-aware.exe]
ModuleName : C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
Command Line : "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe"
ProcessID : 876
ThreadCreationTime : 19.09.2005 15:56:32
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\FCAOBAIX\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened



Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 10



Deep scanning and examining files (C
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 10


Deep scanning and examining files (D
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 10


Deep scanning and examining files (E
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for E:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 10


Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 10

17:07:42 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:11:01.281
Objects scanned:154009
Objects identified:0
Objects ignored:0
New critical objects:0


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\WINDOWS

19.09.2005 17:09 0 0.log
19.09.2005 17:09 336.487 WindowsUpdate.log
19.09.2005 17:09 2.048 bootstat.dat
19.09.2005 16:55 274.026 ntbtlog.txt
19.09.2005 16:54 13.660 SchedLgU.Txt
19.09.2005 15:42 3.709 setupapi.log
19.09.2005 15:35 180 setupact.log
19.09.2005 15:33 0 setuperr.log
18.09.2005 22:35 0 Sti_Trace.log
18.09.2005 15:49 1.405 msdfmap.ini
18.09.2005 14:53 748 win.ini
17.09.2005 21:15 256 system.ini
17.09.2005 17:41 192 winamp.ini
14.09.2005 15:47 11.801 apiug.exe
14.09.2005 14:35 578 M3JPEG.INI
14.09.2005 14:35 141 AVMASTER.INI
13.09.2005 11:29 16.730 Feder.bmp
10.09.2005 01:56 84.545 crsd.dll
08.09.2005 22:36 11.801 atlck.exe
08.09.2005 11:03 1.208 mgxoschk.ini
08.09.2005 05:50 11.801 d3as.exe
07.09.2005 00:08 146 CleaningLab.INI
07.09.2005 00:08 1.272 Blaue Spitzen 16.bmp
07.09.2005 00:02 0 lfazz.dll
01.09.2005 02:18 35.353 ntnk.exe
31.08.2005 10:45 86 NeroDigital.ini
31.08.2005 10:45 0 muma2003.INI
28.08.2005 19:26 246 musicmaker.INI
28.08.2005 12:23 93.696 Blue Girl.scr
27.08.2005 12:20 33.057 DIIUnin.dat
27.08.2005 12:08 2.829 DIIUnin.pif
27.08.2005 12:08 102.400 DIIUnin.exe
24.08.2005 09:15 707 _default.pif
24.08.2005 07:53 11.801 crjf32.exe
24.08.2005 04:26 197.756 bklag.dat
24.08.2005 03:14 3.567 ukdgj.txt
24.08.2005 01:30 65.978 Seifenblase.bmp
24.08.2005 01:30 32 pavsig.txt
24.08.2005 00:02 3.567 ougnu.txt
23.08.2005 17:50 0 technomaker.INI
22.08.2005 23:23 400 ODBC.INI
22.08.2005 23:23 133 MusicEditor.INI
22.08.2005 21:08 17.062 Kaffeetasse.bmp
18.08.2005 19:25 360 BeatBox.INI
11.08.2005 20:09 316.640 WMSysPr9.prx
21.07.2005 22:58 67 A1 DVD Ripper.INI
19.07.2005 13:48 9.216 Hooksdll.dll
19.07.2005 13:47 3.397.601 Screen99.exe
19.07.2005 13:47 349.168 Screen99.scr
19.07.2005 13:47 260 System.ini.backup
09.07.2005 23:10 0 iPlayer.INI
01.07.2005 00:35 213.054 GSetup.exe
03.08.2004 23:58 288.768 winhlp32.exe
03.08.2004 23:58 32.866 slrundll.exe
03.08.2004 23:58 153.600 regedit.exe
03.08.2004 23:58 70.144 notepad.exe
03.08.2004 23:57 10.752 hh.exe
03.08.2004 23:57 1.035.264 explorer.exe
03.08.2004 23:57 50.688 twain_32.dll
17.07.2004 10:40 19.528 002346_.tmp
18.02.2004 23:00 25.214 xmd.ico
12.12.2003 14:16 72.633 UNNeroVision.cfg
11.12.2003 17:26 47.398 UNNMP.cfg
11.12.2003 12:34 1.318.912 UNNMP.exe
11.12.2003 12:34 1.318.912 UNNeroVision.exe
18.08.2001 13:00 17.362 Rhododendron.bmp
18.08.2001 13:00 34.818 wmprfDEU.prx
18.08.2001 13:00 65.832 Santa Fe-Stuck.bmp
18.08.2001 13:00 15.872 TASKMAN.EXE
18.08.2001 13:00 26.582 Granit.bmp
18.08.2001 13:00 94.800 twain.dll
18.08.2001 13:00 26.680 F„cher.bmp
18.08.2001 13:00 49.680 twunk_16.exe
18.08.2001 13:00 25.600 twunk_32.exe
18.08.2001 13:00 48.680 winnt256.bmp
18.08.2001 13:00 82.944 clock.avi
18.08.2001 13:00 1.085.913 SET3.tmp
18.08.2001 13:00 65.954 Pr„riewind.bmp
18.08.2001 13:00 13.898 SET7.tmp
18.08.2001 13:00 48.680 winnt.bmp
18.08.2001 13:00 2 desktop.ini
18.08.2001 13:00 257.568 winhelp.exe
18.08.2001 13:00 18.944 vmmreg32.dll
18.08.2001 13:00 17.336 Angler.bmp
18.08.2001 13:00 9.522 Zapotek.bmp
18.08.2001 13:00 80 explorer.scf
23.06.2001 23:32 3.587 Ascd_tmp.ini
23.06.2001 23:17 8.192 REGLOCS.OLD
23.06.2001 23:11 0 control.ini
23.06.2001 23:11 299.552 WMSysPrx.prx
23.06.2001 23:11 4.161 ODBCINST.INI
23.06.2001 23:09 749 WindowsShell.Manifest
23.06.2001 23:06 36 vb.ini
23.06.2001 23:06 37 vbaddin.ini
17.12.1999 10:13 86.016 unvise32.exe
17.11.1998 13:44 328.704 IsUn0407.exe
29.10.1998 16:45 306.688 IsUninst.exe
97 Datei(en) 13.116.918 Bytes
0 Verzeichnis(se), 2.859.294.720 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\DOKUME~1\FCAOBAIX\LOKALE~1\Temp

19.09.2005 16:43 1.036 kb.log
19.09.2005 16:41 16.384 ~DFE934.tmp
19.09.2005 16:33 9.553 temp.frA77A
19.09.2005 16:21 16.384 ~DFD57.tmp
19.09.2005 15:51 2.550 17C.tmp
5 Datei(en) 45.907 Bytes
0 Verzeichnis(se), 2.859.302.912 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\

19.09.2005 17:21 0 sys.txt
19.09.2005 17:21 5.022 system.txt
19.09.2005 17:21 481 systemtemp.txt
19.09.2005 17:21 106.207 system32.txt
19.09.2005 17:16 795.484 reclock_log.txt
19.09.2005 17:09 805.306.368 pagefile.sys
19.09.2005 15:33 675 smitfiles.txt
18.09.2005 15:26 190 file.txt
17.09.2005 21:15 211 boot.ini
27.07.2005 22:37 2.626 runthis.bat
09.12.2003 01:31 11.254 locate.com
18.08.2001 13:00 4.952 bootfont.bin
24.06.2001 00:59 211 BOOT.BKK
24.06.2001 00:49 47.564 NTDETECT.COM
24.06.2001 00:49 251.184 ntldr
23.06.2001 23:11 0 IO.SYS
23.06.2001 23:11 0 MSDOS.SYS
23.06.2001 23:11 0 AUTOEXEC.BAT
23.06.2001 23:11 0 CONFIG.SYS
19 Datei(en) 806.532.429 Bytes
0 Verzeichnis(se), 2.859.302.912 Bytes frei
__________
Wer Fehler findet darf sie behalten