Datei verhindert desktop background

Thema ist geschlossen!
Thema ist geschlossen!
#0
05.10.2005, 23:41
Member

Beiträge: 14
#1 sorry ich weiß das es 1000 änliche themen gab aber gerade weil es so viele sind, habe ich keine lust mir jedes durch zu lesen ;-)

also habe einen weißen desktop background und bekomme ihn nicht mehr weg, hab schon einige programme, wie hijack usw. ausprobiert, aber es findet sich nichts....

das komische ist ich kann nur noch über die systemsteuerung auf die desktop einstellungen zugreifen, rechtsklick, eigenschaften direkt auf dem desktop geht nicht mehr! wenn ich das mache finde ich eine html datei (file protocol) mit der url: file://C:\WINDOWS\desktop.html.

wie kann ich diese merkwürdige datei löschen und wieder einen normalen hintergrund herstellen?
wer kann mir helfen?
Seitenanfang Seitenende
06.10.2005, 00:14
Member
Avatar Gool

Beiträge: 4730
#2 Dann poste uns doch mal ein HijackThis-Log ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
06.10.2005, 00:20
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#3 @XmortuusX
Schau hier mal nach so sollte es aussehen
Wenn bei in den weissen Feld "security"steht entferne es
http://img233.imageshack.us/my.php?image=beeldscherm3kk.png

2.
Geh in die Registry Start>Ausfuehren>tippe da Regedit
HKEY_Local_Machine\Software\Microsoft\Internet Explorer\Main\ und lösche an der rechte Seite "Display Inline Image"
Oder suche nach Display Inline Image

Und poste doch ein Hijack This log kostet ja nichts ;)
__________
MfG Argus
Seitenanfang Seitenende
06.10.2005, 15:04
Member

Themenstarter

Beiträge: 14
#4 Display Inline Image gibts bei mir in der registry nicht...

Logfile of HijackThis v1.99.0
Scan saved at 15:03:15, on 07.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Monster\Eigene Dateien\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {75D0A9E3-9322-B1D8-8BCA-C720F04D703F} - (no file)
O2 - BHO: (no name) - {C9C9CAD6-0265-CF53-C2FA-24C50798590F} - C:\WINDOWS\System32\kzskhisk.dll (file missing)
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
Seitenanfang Seitenende
07.10.2005, 01:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 XmortuusX

poste bitte das Log
http://virus-protect.org/silentrunner.html

poste bitte die 4 Logs (mit pfadangabe)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2005, 16:40
Member

Themenstarter

Beiträge: 14
#6 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{C9C9CAD6-0265-CF53-C2FA-24C50798590F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\kzskhisk.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dBShell.dll" [empty string]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dMCShell.dll" [empty string]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csjwz.exe" [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
INFECTION WARNING! explorer.exe\Debugger = "C:\WINDOWS\System32\grpmnt32.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Security"
"Source" = "C:\WINDOWS\desktop.html"
"SubscribedURL" = "C:\WINDOWS\desktop.html"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]


muss ich die einträge löschen?
"Source" = "C:\WINDOWS\desktop.html"
"SubscribedURL" = "C:\WINDOWS\desktop.html"
Dieser Beitrag wurde am 09.10.2005 um 16:48 Uhr von XmortuusX editiert.
Seitenanfang Seitenende
09.10.2005, 18:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 XmortuusX

ich sage dir, was du machen musst, wenn ich die 4 logs von datfindbat gesehen habe
Ich verstehe das nicht, ich bitte dich um zwei Dinge und du postest nur eins.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2005, 19:29
Member

Themenstarter

Beiträge: 14
#8 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7440-A0AC

Verzeichnis von C:\WINDOWS\system32

10.10.2005 16:20 2.184 wpa.dbl
09.10.2005 11:15 18.868 grpmnt32.exe
26.09.2005 01:10 7.823 ztoolbar.xml

26.09.2005 01:07 85.000 zolker011.dll
19.09.2005 07:00 119.856 sirenacm.dll
15.09.2005 11:40 192.184 FNTCACHE.DAT
12.09.2005 22:33 3.741 jupdate-1.5.0_04-b05.log
28.07.2005 21:11 1.806 TRJ_NTAUTO.TMP
06.07.2005 13:18 4.212 zllictbl.dat
06.07.2005 11:40 643.446 loadctr32.exe
05.07.2005 09:40 99.678 wp.bmp

03.06.2005 03:52 127.078 javaws.exe
Dieser Beitrag wurde am 09.10.2005 um 20:03 Uhr von XmortuusX editiert.
Seitenanfang Seitenende
09.10.2005, 22:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 ich hatte auf meiner seite geschrieben: 20 Tage vom Datum her reichen....
poste also noch bitte die anderen drei logs.
http://virus-protect.org/datfindbat.html
+

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

FindT
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip
in C:\ entpacken -- öffne "FindT" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread

Winpfind
http://virus-protect.org/winpfind.html
l
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2005, 23:05
Member

Themenstarter

Beiträge: 14
#10 10.10.2005 23:01 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}20760.html
10.10.2005 22:51 16.384 ~DF56BF.tmp
10.10.2005 22:51 512 ~DF4959.tmp
10.10.2005 22:51 16.384 ~DF494E.tmp
10.10.2005 21:54 7.896 java_install_reg.log
07.10.2005 16:47 186 kb.log
07.10.2005 14:54 16.384 ~DF7900.tmp
07.10.2005 14:54 16.384 ~DF73E9.tmp
06.10.2005 23:21 16.384 ~DF2602.tmp
06.10.2005 23:21 16.384 ~DF1C8C.tmp
06.10.2005 12:27 5 Twain001.Mtx
06.10.2005 12:11 16.384 ~DF7162.tmp
06.10.2005 12:11 16.384 ~DF6C43.tmp
26.09.2005 01:40 251 pi.sys
26.09.2005 01:09 5.045 jusched.log
25.09.2005 22:16 902 TWAIN.LOG
25.09.2005 22:16 156 Twunk001.MTX
25.09.2005 17:14 16.384 ~DFF5D4.tmp
25.09.2005 17:14 16.384 ~DFF0CA.tmp
23.09.2005 16:33 33.248 GRD$LOGFILE.LOG
21.09.2005 13:50 10.538 control.xml
21.09.2005 11:42 16.384 ~DF5B87.tmp
21.09.2005 11:42 16.384 ~DF5649.tmp
21.09.2005 11:14 45.096 _VWUPSRV.EXE
20.09.2005 14:08 16.384 ~DF3634.tmp
20.09.2005 14:08 16.384 ~DF30E3.tmp

10.10.2005 20:01 841 win.ini
10.10.2005 16:20 0 0.log
10.10.2005 16:20 159 wiadebug.log
10.10.2005 16:20 50 wiaservc.log
10.10.2005 16:20 2.048 bootstat.dat
26.09.2005 01:40 435 system.ini
26.09.2005 01:07 2 flag.bla
14.09.2005 19:24 116 NeroDigital.ini
12.09.2005 22:28 4.236 mozver.dat
11.09.2005 22:42 370.918 setupapi.log
01.08.2005 11:04 99.970 UninstallFirefox.exe
28.07.2005 21:49 59.392 streamhlp.dll
19.07.2005 17:49 197 wmsetup.log
06.07.2005 13:47 24.292 Windows Update.log
06.07.2005 13:44 10 tlist.log
06.07.2005 13:44 4.180 tlist.dat
06.07.2005 11:43 4.334 rdt.ini
15.06.2005 02:22 427.520 WRServices.dll
07.06.2005 15:46 4.780 CDPlayer.ini
11.03.2005 00:37 180.436 setupact.log
08.03.2005 23:29 1.803 ulead32.ini
03.03.2005 11:32 87 dswplug.ini
23.02.2005 15:34 76.060 DirectX.log
10.02.2005 20:41 0 nsreg.dat
10.02.2005 13:01 48 sb_affiliate.ini
15.12.2004 00:29 316.640 WMSysPr9.prx
24.11.2004 14:51 635 Rtcw.INI

10.10.2005 23:07 0 sys.txt
10.10.2005 23:06 4.823 system.txt
10.10.2005 23:05 52.254 systemtemp.txt
10.10.2005 23:04 94.202 system32.txt
10.10.2005 16:20 267.943.936 hiberfil.sys
10.10.2005 16:20 402.653.184 pagefile.sys
26.09.2005 01:40 194 boot.ini
17.11.2004 14:17 0 MSDOS.SYS
17.11.2004 14:17 0 IO.SYS
17.11.2004 14:17 0 AUTOEXEC.BAT
17.11.2004 14:17 0 CONFIG.SYS
21.01.2003 03:33 4.450.304 GP4.exe
18.08.2001 14:00 4.952 bootfont.bin
18.08.2001 14:00 45.124 NTDETECT.COM
18.08.2001 14:00 224.032 ntldr

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

10/10/05 23:20:03 [Info]: BlackLight Engine 1.0.23 initialized
10/10/05 23:20:03 [Info]: OS: 5.1 build 2600 ()
10/10/05 23:20:03 [Note]: 4019 4
10/10/05 23:20:03 [Note]: 4005 0
10/10/05 23:20:09 [Note]: 4006 0
10/10/05 23:20:09 [Note]: 4011 1356
10/10/05 23:20:10 [Note]: FSRAW library version 1.7.1011
10/10/05 23:21:00 [Note]: 4007 0
Dieser Beitrag wurde am 09.10.2005 um 23:20 Uhr von XmortuusX editiert.
Seitenanfang Seitenende
09.10.2005, 23:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 XmortuusX

die pfadangaben oberhalb der Dateien von datfindbat waeren eine hilfe...regidiere das bitte
+
FindT
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip
in C:\ entpacken -- öffne "FindT" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread

Winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2005, 10:22
Member

Themenstarter

Beiträge: 14
#12 Items found in C:\WINDOWS\hosts


Checking %System% folder...
UPX! 09.07.2005 11:03:06 433152 C:\WINDOWS\SYSTEM32\aswBoot.exe
PEC2 18.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
Umonitor 18.08.2001 14:00:00 659456 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 18.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
13.10.2005 10:11:52 S 2048 C:\WINDOWS\bootstat.dat
13.10.2005 10:12:26 H 1024 C:\WINDOWS\system32\config\default.LOG
13.10.2005 10:11:54 H 1024 C:\WINDOWS\system32\config\SAM.LOG
13.10.2005 10:12:26 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
13.10.2005 10:18:08 H 1024 C:\WINDOWS\system32\config\software.LOG
13.10.2005 10:12:32 H 1024 C:\WINDOWS\system32\config\system.LOG
11.10.2005 00:08:06 H 1024 C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
12.10.2005 22:00:32 HS 77312 C:\WINDOWS\Web\Wallpaper\Thumbs.db

Checking for CPL files...
Microsoft Corporation 18.08.2001 14:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 18.08.2001 14:00:00 563712 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 18.08.2001 14:00:00 133120 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 18.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 18.08.2001 14:00:00 295936 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 18.08.2001 14:00:00 123392 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 29.08.2002 04:41:00 208896 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 03.06.2005 03:52:54 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 18.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 18.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 18.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 30.09.2004 18:03:44 324608 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 18.08.2001 14:00:00 275456 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 18.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 18.08.2001 14:00:00 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 18.08.2001 14:00:00 563712 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 18.08.2001 14:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 18.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 18.08.2001 14:00:00 295936 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 18.08.2001 14:00:00 123392 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 29.08.2002 04:41:00 208896 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 18.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 18.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 18.08.2001 14:00:00 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 18.08.2001 14:00:00 275456 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 18.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
17.11.2004 14:17:36 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
17.11.2004 13:56:54 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
17.11.2004 14:17:36 HS 84 C:\Dokumente und Einstellungen\Monster\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
11.09.2005 12:45:06 871 C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\AdobeDLM.log
17.11.2004 13:56:54 HS 62 C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\desktop.ini
11.09.2005 12:45:06 0 C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\dm.ini
10.02.2005 13:32:58 39832 C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\GDIPFONTCACHEV1.DAT
06.07.2005 11:21:58 917721 C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\Install.dat
23.12.2004 04:43:14 4713 C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\wo.tmp

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{B3C58619-EF0E-4349-B071-ED0446C13C06} =
{035EBA72-A127-4D11-A836-089F8BC86BBD} =
{14C9F80E-2FF7-4A5D-915D-D481380800C6} =
{E6ADC34F-FAE0-44A3-AAC9-31D07C999E6B} =
{EF50B242-E535-4FB1-9FC9-88ED9BA7A923} =
{61CC5296-905F-483F-905F-0F3655CEADB9} =
{705C0A4B-5A9E-4217-9274-F48F56C97A8A} =
{00990658-DC03-44F2-8678-E9521D81224A} =
{16D02576-8F26-46D2-9A13-889DA97C40D5} =
{8B770368-F8BE-418E-9964-73CB6F6D90D1} =
{4879A773-1585-4D10-97F1-E94E905CE741} =
{81E3C16C-6B3B-44A4-87A8-C1CF64EA0CAD} =
{519465E0-4C4F-4A66-A32E-2C048462D969} =

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} =
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\TextPad
{2F25CF20-C569-11D1-B94C-00608CB45480} = C:\Programme\TextPad 4\System\shellext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Trojan Remover
{52B87208-9CCF-42C9-B88E-069281105805} = C:\PROGRA~1\TROJAN~1\Trshlex.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} =
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Trojan Remover
{52B87208-9CCF-42C9-B88E-069281105805} = C:\PROGRA~1\TROJAN~1\Trshlex.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
=

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
=
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75D0A9E3-9322-B1D8-8BCA-C720F04D703F}
=
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C9C9CAD6-0265-CF53-C2FA-24C50798590F}
=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = :
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandFrom

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandTo

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services
MsUpdate5 2


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE
item Adobe Reader - Schnellstart

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Games Acceleration
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item svshost
hkey HKLM
command svshost.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item svshost
hkey HKLM
command svshost.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\intel32.exe
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item intel32
hkey HKLM
command C:\WINDOWS\System32\intel32.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item intel32
hkey HKLM
command C:\WINDOWS\System32\intel32.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Internet Connection Wizard
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item stisvsq
hkey HKLM
command stisvsq.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item stisvsq
hkey HKLM
command stisvsq.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Internet Mail and News
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item msqdevl
hkey HKLM
command msqdevl.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item msqdevl
hkey HKLM
command msqdevl.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iTunesHelper
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item iTunesHelper
hkey HKLM
command C:\Programme\iTunes\iTunesHelper.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item iTunesHelper
hkey HKLM
command C:\Programme\iTunes\iTunesHelper.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Internet Acceleration Utility
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item iau
hkey HKLM
command iau.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item iau
hkey HKLM
command iau.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Management Console
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item lssas
hkey HKLM
command lssas.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item lssas
hkey HKLM
command lssas.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Multimedia extensions
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item mservice
hkey HKLM
command mservice.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item mservice
hkey HKLM
command mservice.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item NeroCheck
hkey HKLM
command C:\WINDOWS\system32\NeroCheck.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item NeroCheck
hkey HKLM
command C:\WINDOWS\system32\NeroCheck.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item qttask
hkey HKLM
command "C:\Programme\QuickTime\qttask.exe" -atboottime
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item qttask
hkey HKLM
command "C:\Programme\QuickTime\qttask.exe" -atboottime
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sp
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item se
hkey HKLM
command rundll32 C:\DOKUME~1\Monster\LOKALE~1\Temp\se.dll,DllInstall
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item se
hkey HKLM
command rundll32 C:\DOKUME~1\Monster\LOKALE~1\Temp\se.dll,DllInstall
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item jusched
hkey HKLM
command C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item jusched
hkey HKLM
command C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item realsched
hkey HKLM
command "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item realsched
hkey HKLM
command "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vriucbec
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item vriucbec
hkey HKLM
command C:\WINDOWS\System32\vriucbec.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item vriucbec
hkey HKLM
command C:\WINDOWS\System32\vriucbec.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\yaemu.exe
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item yaemu
hkey HKLM
command C:\WINDOWS\System32\yaemu.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item yaemu
hkey HKLM
command C:\WINDOWS\System32\yaemu.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 2
startup 2


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
NoChangingWallpaper 0
NoComponents 0
NoAddingComponents 0
NoDeletingComponents 0
NoEditingComponents 0
NoHTMLWallPaper 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System = csjwz.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Debugger = C:\WINDOWS\System32\grpmnt32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs

hier einmal das...
das FindT funktioniert nicht.
Seitenanfang Seitenende
13.10.2005, 12:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 XmortuusX

Gehe in die Registry
Start-->Ausfuehren--> regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services
MsUpdate5 2

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\

loeschen:
"FriendlyName" = "Security"
"Source" = "C:\WINDOWS\desktop.html"
"SubscribedURL" = "C:\WINDOWS\desktop.html"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Games Acceleration<--loeschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vriucbec

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\yaemu.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Multimedia extensions

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Internet Acceleration Utility

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Management Console

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Internet Mail and News

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\intel32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Internet Connection Wizard

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Games Acceleration

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Internet Acceleration Utility
iau.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Internet Connection Wizard
stisvsq.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Games Acceleration
svshost.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Internet Mail and News
msqdevl.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Management Console
lssas.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Multimedia extensions
mservice.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Internet Acceleration Utility
iau.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Internet Connection Wizard
stisvsq.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Games Acceleration
svshost.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Internet Mail and News
msqdevl.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Management Console
lssas.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Multimedia extensions
mservice.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
System = csjwz.exe

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]
[-HKEY_CURRENT_USER\Software\WareOut]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar]
[-HKEY_CURRENT_USER\Software\SearchToolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hclean32.exe"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
"Flags"=dword:00000008
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\000]
"runonce1"="\"C:\\HJT\\hijackthis.exe\""
Hijacker about:blank - se.dll\sp.html --> scannen
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

KILLBOX
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
...

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\msiau.dll
C:\WINDOWS\smssa.dll
C:\WINDOWS\msras.exe
C:\WINDOWS\csrss.dll
C:\WINDOWS\taskmgr.dll
C:\WINDOWS\uvchost.dll
C:\WINDOWS\ras.dll
C:\WINDOWS\winlogon.dll
C:\WINDOWS\stisvsq.exe
C:\WINDOWS\svshost.exe
C:\WINDOWS\msqdevl.exe
C:\WINDOWS\mservice.exe
C:\WINDOWS\lssas.exe
C:\WINDOWS\iau.exe

C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\wo.tmp
C:\WINDOWS\system32\grpmnt32.exe
C:\WINDOWS\system32\ztoolbar.xml
C:\WINDOWS\system32\zolker011.dll
C:\WINDOWS\system32\loadctr32.exe
C:\wp.bmp
C:\WINDOWS\system32\wp.bmp
C:\WINDOWS\System32\yaemu.exe
C:\WINDOWS\System32\vriucbec.exe
C:\WINDOWS\System32\csjwz.exe
C:\WINDOWS\System32\intel32.exe
C:\WINDOWS\flag.bla
C:\WINDOWS\tlist.log
C:\WINDOWS\tlist.dat
C:\WINDOWS\rdt.ini
C:\WINDOWS\desktop.html

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen
----------------------------------------------------------------------

CCleaner--> loesche alle *temp-Datein--> dabei wird auch geloescht: pi.sys
(ich konnte es nicht fuer die Killbox machen, weil du die pfade nicht mit abkopiert hast...)
http://virus-protect.org/temp.html

smitRem TOOL (Entfernungstool)

http://noahdfear.geekstogo.com/

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

l2mfix. (fuehre die 2 Scans nach Anweisung durch und kopiere den zweiten scan hier in den Thread)
http://virus-protect.org/l2mfix.html

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

Onlinescan Kaspersky (kopiere hier den Scanreport)
http://virus-protect.org/onlinescan.html

---------------------------------------------------------------------
http://virus-protect.org/artikel/spyware/liewar.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.10.2005, 12:30
Member

Themenstarter

Beiträge: 14
#14 @ Sabina... danke, ich denke mal es hätte bestimmt alles geholfen was du gepostet hast, aber irgendwas muss flasch gewesen sein.
hab alles abgearbeitet, doch als ich den letzten pfad in die killbox kopiert habe und neu gebootet habe, war nur noch ein schwarzer bildschirm zu sehen, keine taskleiste kein nichts, nur der mauszeiger! hab es mehrmals probiert doch es war nichts mehr zu machen... habe dann schnell nochmal knoppix gebootet, meine daten gesichert und dann format: C ..... :-(
naja aber jetzt ist wenigstens wieder alles weg.
trotzdem danke für deine hilfe!
Seitenanfang Seitenende
16.10.2005, 13:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 es war eine schwere Verseuchung, ich denke mal, die C:\WINDOWS\winlogon.dll haette nicht geloescht, sondern durch eine saubere ersetzt werden muessen.
Ich habe wahrscheinlich einen Fehler gemacht...sorry.

wenn du das hier mal geoeffnet haettest tlist.dat und mit dem Editor betrachtet, waerst du vor Schreck vom Stuhl gefallen

Nun hast du formatiert, was wahrscheinlich auch das vernuenftigste ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: