Datei verhindert desktop backgroundThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
05.10.2005, 23:41
Member
Beiträge: 14 |
||
|
||
06.10.2005, 00:14
Member
Beiträge: 4730 |
#2
Dann poste uns doch mal ein HijackThis-Log
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
06.10.2005, 00:20
Ehrenmitglied
Beiträge: 6028 |
#3
@XmortuusX
Schau hier mal nach so sollte es aussehen Wenn bei in den weissen Feld "security"steht entferne es http://img233.imageshack.us/my.php?image=beeldscherm3kk.png 2. Geh in die Registry Start>Ausfuehren>tippe da Regedit HKEY_Local_Machine\Software\Microsoft\Internet Explorer\Main\ und lösche an der rechte Seite "Display Inline Image" Oder suche nach Display Inline Image Und poste doch ein Hijack This log kostet ja nichts __________ MfG Argus |
|
|
||
06.10.2005, 15:04
Member
Themenstarter Beiträge: 14 |
#4
Display Inline Image gibts bei mir in der registry nicht...
Logfile of HijackThis v1.99.0 Scan saved at 15:03:15, on 07.10.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Monster\Eigene Dateien\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {75D0A9E3-9322-B1D8-8BCA-C720F04D703F} - (no file) O2 - BHO: (no name) - {C9C9CAD6-0265-CF53-C2FA-24C50798590F} - C:\WINDOWS\System32\kzskhisk.dll (file missing) O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe |
|
|
||
07.10.2005, 01:29
Ehrenmitglied
Beiträge: 29434 |
#5
XmortuusX
poste bitte das Log http://virus-protect.org/silentrunner.html poste bitte die 4 Logs (mit pfadangabe) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2005, 16:40
Member
Themenstarter Beiträge: 14 |
#6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {C9C9CAD6-0265-CF53-C2FA-24C50798590F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\kzskhisk.dll" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dBShell.dll" [empty string] "{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dMCShell.dll" [empty string] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."] "{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csjwz.exe" [file not found] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ INFECTION WARNING! explorer.exe\Debugger = "C:\WINDOWS\System32\grpmnt32.exe" [null data] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "FriendlyName" = "Security" "Source" = "C:\WINDOWS\desktop.html" "SubscribedURL" = "C:\WINDOWS\desktop.html" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"] muss ich die einträge löschen? "Source" = "C:\WINDOWS\desktop.html" "SubscribedURL" = "C:\WINDOWS\desktop.html" Dieser Beitrag wurde am 09.10.2005 um 16:48 Uhr von XmortuusX editiert.
|
|
|
||
09.10.2005, 18:23
Ehrenmitglied
Beiträge: 29434 |
#7
XmortuusX
ich sage dir, was du machen musst, wenn ich die 4 logs von datfindbat gesehen habe Ich verstehe das nicht, ich bitte dich um zwei Dinge und du postest nur eins..... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2005, 19:29
Member
Themenstarter Beiträge: 14 |
#8
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7440-A0AC Verzeichnis von C:\WINDOWS\system32 10.10.2005 16:20 2.184 wpa.dbl 09.10.2005 11:15 18.868 grpmnt32.exe 26.09.2005 01:10 7.823 ztoolbar.xml 26.09.2005 01:07 85.000 zolker011.dll 19.09.2005 07:00 119.856 sirenacm.dll 15.09.2005 11:40 192.184 FNTCACHE.DAT 12.09.2005 22:33 3.741 jupdate-1.5.0_04-b05.log 28.07.2005 21:11 1.806 TRJ_NTAUTO.TMP 06.07.2005 13:18 4.212 zllictbl.dat 06.07.2005 11:40 643.446 loadctr32.exe 05.07.2005 09:40 99.678 wp.bmp 03.06.2005 03:52 127.078 javaws.exe Dieser Beitrag wurde am 09.10.2005 um 20:03 Uhr von XmortuusX editiert.
|
|
|
||
09.10.2005, 22:03
Ehrenmitglied
Beiträge: 29434 |
#9
ich hatte auf meiner seite geschrieben: 20 Tage vom Datum her reichen....
poste also noch bitte die anderen drei logs. http://virus-protect.org/datfindbat.html + Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread FindT http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip in C:\ entpacken -- öffne "FindT" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread Winpfind http://virus-protect.org/winpfind.html l __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2005, 23:05
Member
Themenstarter Beiträge: 14 |
#10
10.10.2005 23:01 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}20760.html
10.10.2005 22:51 16.384 ~DF56BF.tmp 10.10.2005 22:51 512 ~DF4959.tmp 10.10.2005 22:51 16.384 ~DF494E.tmp 10.10.2005 21:54 7.896 java_install_reg.log 07.10.2005 16:47 186 kb.log 07.10.2005 14:54 16.384 ~DF7900.tmp 07.10.2005 14:54 16.384 ~DF73E9.tmp 06.10.2005 23:21 16.384 ~DF2602.tmp 06.10.2005 23:21 16.384 ~DF1C8C.tmp 06.10.2005 12:27 5 Twain001.Mtx 06.10.2005 12:11 16.384 ~DF7162.tmp 06.10.2005 12:11 16.384 ~DF6C43.tmp 26.09.2005 01:40 251 pi.sys 26.09.2005 01:09 5.045 jusched.log 25.09.2005 22:16 902 TWAIN.LOG 25.09.2005 22:16 156 Twunk001.MTX 25.09.2005 17:14 16.384 ~DFF5D4.tmp 25.09.2005 17:14 16.384 ~DFF0CA.tmp 23.09.2005 16:33 33.248 GRD$LOGFILE.LOG 21.09.2005 13:50 10.538 control.xml 21.09.2005 11:42 16.384 ~DF5B87.tmp 21.09.2005 11:42 16.384 ~DF5649.tmp 21.09.2005 11:14 45.096 _VWUPSRV.EXE 20.09.2005 14:08 16.384 ~DF3634.tmp 20.09.2005 14:08 16.384 ~DF30E3.tmp 10.10.2005 20:01 841 win.ini 10.10.2005 16:20 0 0.log 10.10.2005 16:20 159 wiadebug.log 10.10.2005 16:20 50 wiaservc.log 10.10.2005 16:20 2.048 bootstat.dat 26.09.2005 01:40 435 system.ini 26.09.2005 01:07 2 flag.bla 14.09.2005 19:24 116 NeroDigital.ini 12.09.2005 22:28 4.236 mozver.dat 11.09.2005 22:42 370.918 setupapi.log 01.08.2005 11:04 99.970 UninstallFirefox.exe 28.07.2005 21:49 59.392 streamhlp.dll 19.07.2005 17:49 197 wmsetup.log 06.07.2005 13:47 24.292 Windows Update.log 06.07.2005 13:44 10 tlist.log 06.07.2005 13:44 4.180 tlist.dat 06.07.2005 11:43 4.334 rdt.ini 15.06.2005 02:22 427.520 WRServices.dll 07.06.2005 15:46 4.780 CDPlayer.ini 11.03.2005 00:37 180.436 setupact.log 08.03.2005 23:29 1.803 ulead32.ini 03.03.2005 11:32 87 dswplug.ini 23.02.2005 15:34 76.060 DirectX.log 10.02.2005 20:41 0 nsreg.dat 10.02.2005 13:01 48 sb_affiliate.ini 15.12.2004 00:29 316.640 WMSysPr9.prx 24.11.2004 14:51 635 Rtcw.INI 10.10.2005 23:07 0 sys.txt 10.10.2005 23:06 4.823 system.txt 10.10.2005 23:05 52.254 systemtemp.txt 10.10.2005 23:04 94.202 system32.txt 10.10.2005 16:20 267.943.936 hiberfil.sys 10.10.2005 16:20 402.653.184 pagefile.sys 26.09.2005 01:40 194 boot.ini 17.11.2004 14:17 0 MSDOS.SYS 17.11.2004 14:17 0 IO.SYS 17.11.2004 14:17 0 AUTOEXEC.BAT 17.11.2004 14:17 0 CONFIG.SYS 21.01.2003 03:33 4.450.304 GP4.exe 18.08.2001 14:00 4.952 bootfont.bin 18.08.2001 14:00 45.124 NTDETECT.COM 18.08.2001 14:00 224.032 ntldr PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. 10/10/05 23:20:03 [Info]: BlackLight Engine 1.0.23 initialized 10/10/05 23:20:03 [Info]: OS: 5.1 build 2600 () 10/10/05 23:20:03 [Note]: 4019 4 10/10/05 23:20:03 [Note]: 4005 0 10/10/05 23:20:09 [Note]: 4006 0 10/10/05 23:20:09 [Note]: 4011 1356 10/10/05 23:20:10 [Note]: FSRAW library version 1.7.1011 10/10/05 23:21:00 [Note]: 4007 0 Dieser Beitrag wurde am 09.10.2005 um 23:20 Uhr von XmortuusX editiert.
|
|
|
||
09.10.2005, 23:35
Ehrenmitglied
Beiträge: 29434 |
#11
XmortuusX
die pfadangaben oberhalb der Dateien von datfindbat waeren eine hilfe...regidiere das bitte + FindT http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip in C:\ entpacken -- öffne "FindT" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread Winpfind http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.10.2005, 10:22
Member
Themenstarter Beiträge: 14 |
#12
Items found in C:\WINDOWS\hosts
Checking %System% folder... UPX! 09.07.2005 11:03:06 433152 C:\WINDOWS\SYSTEM32\aswBoot.exe PEC2 18.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc Umonitor 18.08.2001 14:00:00 659456 C:\WINDOWS\SYSTEM32\rasdlg.dll winsync 18.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu Checking %System%\Drivers folder and sub-folders... Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 13.10.2005 10:11:52 S 2048 C:\WINDOWS\bootstat.dat 13.10.2005 10:12:26 H 1024 C:\WINDOWS\system32\config\default.LOG 13.10.2005 10:11:54 H 1024 C:\WINDOWS\system32\config\SAM.LOG 13.10.2005 10:12:26 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG 13.10.2005 10:18:08 H 1024 C:\WINDOWS\system32\config\software.LOG 13.10.2005 10:12:32 H 1024 C:\WINDOWS\system32\config\system.LOG 11.10.2005 00:08:06 H 1024 C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG 12.10.2005 22:00:32 HS 77312 C:\WINDOWS\Web\Wallpaper\Thumbs.db Checking for CPL files... Microsoft Corporation 18.08.2001 14:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl Microsoft Corporation 18.08.2001 14:00:00 563712 C:\WINDOWS\SYSTEM32\appwiz.cpl Microsoft Corporation 18.08.2001 14:00:00 133120 C:\WINDOWS\SYSTEM32\desk.cpl Microsoft Corporation 18.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl Microsoft Corporation 18.08.2001 14:00:00 295936 C:\WINDOWS\SYSTEM32\inetcpl.cpl Microsoft Corporation 18.08.2001 14:00:00 123392 C:\WINDOWS\SYSTEM32\intl.cpl Microsoft Corporation 29.08.2002 04:41:00 208896 C:\WINDOWS\SYSTEM32\joy.cpl Sun Microsystems, Inc. 03.06.2005 03:52:54 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl Microsoft Corporation 18.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl Microsoft Corporation 18.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl Microsoft Corporation 18.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl Microsoft Corporation 18.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl Apple Computer, Inc. 30.09.2004 18:03:44 324608 C:\WINDOWS\SYSTEM32\QuickTime.cpl Microsoft Corporation 18.08.2001 14:00:00 275456 C:\WINDOWS\SYSTEM32\sysdm.cpl Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl Microsoft Corporation 18.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl Microsoft Corporation 18.08.2001 14:00:00 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl Microsoft Corporation 18.08.2001 14:00:00 563712 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl Microsoft Corporation 18.08.2001 14:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl Microsoft Corporation 18.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl Microsoft Corporation 18.08.2001 14:00:00 295936 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl Microsoft Corporation 18.08.2001 14:00:00 123392 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl Microsoft Corporation 29.08.2002 04:41:00 208896 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl Microsoft Corporation 18.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl Microsoft Corporation 18.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl Microsoft Corporation 18.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl Microsoft Corporation 18.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl Microsoft Corporation 18.08.2001 14:00:00 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl Microsoft Corporation 18.08.2001 14:00:00 275456 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl Microsoft Corporation 18.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 17.11.2004 14:17:36 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini Checking files in %ALLUSERSPROFILE%\Application Data folder... 17.11.2004 13:56:54 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini Checking files in %USERPROFILE%\Startup folder... 17.11.2004 14:17:36 HS 84 C:\Dokumente und Einstellungen\Monster\Startmenü\Programme\Autostart\desktop.ini Checking files in %USERPROFILE%\Application Data folder... 11.09.2005 12:45:06 871 C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\AdobeDLM.log 17.11.2004 13:56:54 HS 62 C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\desktop.ini 11.09.2005 12:45:06 0 C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\dm.ini 10.02.2005 13:32:58 39832 C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\GDIPFONTCACHEV1.DAT 06.07.2005 11:21:58 917721 C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\Install.dat 23.12.2004 04:43:14 4713 C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\wo.tmp »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] {B3C58619-EF0E-4349-B071-ED0446C13C06} = {035EBA72-A127-4D11-A836-089F8BC86BBD} = {14C9F80E-2FF7-4A5D-915D-D481380800C6} = {E6ADC34F-FAE0-44A3-AAC9-31D07C999E6B} = {EF50B242-E535-4FB1-9FC9-88ED9BA7A923} = {61CC5296-905F-483F-905F-0F3655CEADB9} = {705C0A4B-5A9E-4217-9274-F48F56C97A8A} = {00990658-DC03-44F2-8678-E9521D81224A} = {16D02576-8F26-46D2-9A13-889DA97C40D5} = {8B770368-F8BE-418E-9964-73CB6F6D90D1} = {4879A773-1585-4D10-97F1-E94E905CE741} = {81E3C16C-6B3B-44A4-87A8-C1CF64EA0CAD} = {519465E0-4C4F-4A66-A32E-2C048462D969} = [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win {a7cda720-84ee-11d0-b5c0-00001b3ca278} = HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu {73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\TextPad {2F25CF20-C569-11D1-B94C-00608CB45480} = C:\Programme\TextPad 4\System\shellext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Trojan Remover {52B87208-9CCF-42C9-B88E-069281105805} = C:\PROGRA~1\TROJAN~1\Trshlex.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Start Menu Pin = %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win {a7cda720-84ee-11d0-b5c0-00001b3ca278} = HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Trojan Remover {52B87208-9CCF-42C9-B88E-069281105805} = C:\PROGRA~1\TROJAN~1\Trshlex.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu {73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627} = [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75D0A9E3-9322-B1D8-8BCA-C720F04D703F} = HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C9C9CAD6-0265-CF53-C2FA-24C50798590F} = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9} ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E} History Band = %SystemRoot%\System32\shdocvw.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {2318C2B1-4965-11D4-9B18-009027A5CD4F} = : {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ICQ Lite C:\Programme\ICQLite\ICQLite.exe -minimize [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] ICQ Lite C:\Programme\ICQLite\ICQLite.exe -trayboot [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandFrom HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandTo HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services MsUpdate5 2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup location Common Startup command C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE item Adobe Reader - Schnellstart HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Games Acceleration key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item svshost hkey HKLM command svshost.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item svshost hkey HKLM command svshost.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\intel32.exe key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item intel32 hkey HKLM command C:\WINDOWS\System32\intel32.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item intel32 hkey HKLM command C:\WINDOWS\System32\intel32.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Internet Connection Wizard key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item stisvsq hkey HKLM command stisvsq.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item stisvsq hkey HKLM command stisvsq.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Internet Mail and News key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item msqdevl hkey HKLM command msqdevl.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item msqdevl hkey HKLM command msqdevl.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iTunesHelper key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item iTunesHelper hkey HKLM command C:\Programme\iTunes\iTunesHelper.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item iTunesHelper hkey HKLM command C:\Programme\iTunes\iTunesHelper.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Internet Acceleration Utility key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item iau hkey HKLM command iau.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item iau hkey HKLM command iau.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Management Console key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item lssas hkey HKLM command lssas.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item lssas hkey HKLM command lssas.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Multimedia extensions key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item mservice hkey HKLM command mservice.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item mservice hkey HKLM command mservice.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item NeroCheck hkey HKLM command C:\WINDOWS\system32\NeroCheck.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item NeroCheck hkey HKLM command C:\WINDOWS\system32\NeroCheck.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item qttask hkey HKLM command "C:\Programme\QuickTime\qttask.exe" -atboottime inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item qttask hkey HKLM command "C:\Programme\QuickTime\qttask.exe" -atboottime inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sp key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item se hkey HKLM command rundll32 C:\DOKUME~1\Monster\LOKALE~1\Temp\se.dll,DllInstall inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item se hkey HKLM command rundll32 C:\DOKUME~1\Monster\LOKALE~1\Temp\se.dll,DllInstall inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item jusched hkey HKLM command C:\Programme\Java\jre1.5.0_04\bin\jusched.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item jusched hkey HKLM command C:\Programme\Java\jre1.5.0_04\bin\jusched.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item realsched hkey HKLM command "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item realsched hkey HKLM command "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vriucbec key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item vriucbec hkey HKLM command C:\WINDOWS\System32\vriucbec.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item vriucbec hkey HKLM command C:\WINDOWS\System32\vriucbec.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\yaemu.exe key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item yaemu hkey HKLM command C:\WINDOWS\System32\yaemu.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item yaemu hkey HKLM command C:\WINDOWS\System32\yaemu.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state system.ini 0 win.ini 0 bootini 0 services 2 startup 2 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 undockwithoutlogon 1 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop NoChangingWallpaper 0 NoComponents 0 NoAddingComponents 0 NoDeletingComponents 0 NoEditingComponents 0 NoHTMLWallPaper 0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, Shell = Explorer.exe System = csjwz.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon = wlnotify.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe Debugger = C:\WINDOWS\System32\grpmnt32.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs hier einmal das... das FindT funktioniert nicht. |
|
|
||
13.10.2005, 12:51
Ehrenmitglied
Beiträge: 29434 |
#13
XmortuusX
Gehe in die Registry Start-->Ausfuehren--> regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services MsUpdate5 2 HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ loeschen: "FriendlyName" = "Security" "Source" = "C:\WINDOWS\desktop.html" "SubscribedURL" = "C:\WINDOWS\desktop.html" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Games Acceleration<--loeschen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vriucbec HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\yaemu.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Multimedia extensions HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Internet Acceleration Utility HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Management Console HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Internet Mail and News HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\intel32.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Internet Connection Wizard HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Games Acceleration HKLM\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Internet Acceleration Utility iau.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run Internet Connection Wizard stisvsq.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run Games Acceleration svshost.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run Internet Mail and News msqdevl.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Management Console lssas.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run Multimedia extensions mservice.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Internet Acceleration Utility iau.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Internet Connection Wizard stisvsq.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Games Acceleration svshost.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Internet Mail and News msqdevl.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Management Console lssas.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Multimedia extensions mservice.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] System = csjwz.exe Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4Hijacker about:blank - se.dll\sp.html --> scannen http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html KILLBOX http://www.bleepingcomputer.com/files/killbox.php Anleitung: (bebildert) http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\msiau.dll C:\WINDOWS\smssa.dll C:\WINDOWS\msras.exe C:\WINDOWS\csrss.dll C:\WINDOWS\taskmgr.dll C:\WINDOWS\uvchost.dll C:\WINDOWS\ras.dll C:\WINDOWS\winlogon.dll C:\WINDOWS\stisvsq.exe C:\WINDOWS\svshost.exe C:\WINDOWS\msqdevl.exe C:\WINDOWS\mservice.exe C:\WINDOWS\lssas.exe C:\WINDOWS\iau.exe C:\Dokumente und Einstellungen\Monster\Anwendungsdaten\wo.tmp C:\WINDOWS\system32\grpmnt32.exe C:\WINDOWS\system32\ztoolbar.xml C:\WINDOWS\system32\zolker011.dll C:\WINDOWS\system32\loadctr32.exe C:\wp.bmp C:\WINDOWS\system32\wp.bmp C:\WINDOWS\System32\yaemu.exe C:\WINDOWS\System32\vriucbec.exe C:\WINDOWS\System32\csjwz.exe C:\WINDOWS\System32\intel32.exe C:\WINDOWS\flag.bla C:\WINDOWS\tlist.log C:\WINDOWS\tlist.dat C:\WINDOWS\rdt.ini C:\WINDOWS\desktop.html Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen ---------------------------------------------------------------------- CCleaner--> loesche alle *temp-Datein--> dabei wird auch geloescht: pi.sys (ich konnte es nicht fuer die Killbox machen, weil du die pfade nicht mit abkopiert hast...) http://virus-protect.org/temp.html smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread l2mfix. (fuehre die 2 Scans nach Anweisung durch und kopiere den zweiten scan hier in den Thread) http://virus-protect.org/l2mfix.html scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Onlinescan Kaspersky (kopiere hier den Scanreport) http://virus-protect.org/onlinescan.html --------------------------------------------------------------------- http://virus-protect.org/artikel/spyware/liewar.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.10.2005, 12:30
Member
Themenstarter Beiträge: 14 |
#14
@ Sabina... danke, ich denke mal es hätte bestimmt alles geholfen was du gepostet hast, aber irgendwas muss flasch gewesen sein.
hab alles abgearbeitet, doch als ich den letzten pfad in die killbox kopiert habe und neu gebootet habe, war nur noch ein schwarzer bildschirm zu sehen, keine taskleiste kein nichts, nur der mauszeiger! hab es mehrmals probiert doch es war nichts mehr zu machen... habe dann schnell nochmal knoppix gebootet, meine daten gesichert und dann format: C ..... :-( naja aber jetzt ist wenigstens wieder alles weg. trotzdem danke für deine hilfe! |
|
|
||
16.10.2005, 13:11
Ehrenmitglied
Beiträge: 29434 |
#15
es war eine schwere Verseuchung, ich denke mal, die C:\WINDOWS\winlogon.dll haette nicht geloescht, sondern durch eine saubere ersetzt werden muessen.
Ich habe wahrscheinlich einen Fehler gemacht...sorry. wenn du das hier mal geoeffnet haettest tlist.dat und mit dem Editor betrachtet, waerst du vor Schreck vom Stuhl gefallen Nun hast du formatiert, was wahrscheinlich auch das vernuenftigste __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
also habe einen weißen desktop background und bekomme ihn nicht mehr weg, hab schon einige programme, wie hijack usw. ausprobiert, aber es findet sich nichts....
das komische ist ich kann nur noch über die systemsteuerung auf die desktop einstellungen zugreifen, rechtsklick, eigenschaften direkt auf dem desktop geht nicht mehr! wenn ich das mache finde ich eine html datei (file protocol) mit der url: file://C:\WINDOWS\desktop.html.
wie kann ich diese merkwürdige datei löschen und wieder einen normalen hintergrund herstellen?
wer kann mir helfen?