Command & andere Spyware

#1 hallo, hab mir irgendwo auf seiten spyware und trojaner eingefangen. nach dem scannen mit spy-bot, spydocter, ad aware, usw..trotz allem funktioniert das system noch nicht richtig. in der software hat sich auch ein programm unter dem namen command installiert, für welches ich,falls ich es löschen möchte, ein programm runterladen muss..sieht für mich verdächtig aus.
ich poster mal mein hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:37:28, on 17.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Kuwe\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122371399983
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\S3V3ZQAA\command.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


vielleicht könnt ihr mir ja helfen..thx im Voraus

#2 Hallo@Kuwe

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen O23 Einträgen!
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\S3V3ZQAA\command.exe (file missing)

PC neustarten

Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Doppelklick:regsrch.vbs
reinkopieren:

cmdService

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren
warnmeldung:bösartiges skript entdeckt

----------------------------------------
kopiere die 4 logs ab (mit Pfadangabe oberhalb...3 Monate reichen)
http://virus-protect.org/datfindbat.html

scanne mit Kaspersky und poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hi sabina

hoffe du kannst helfen? habe alles wie beschrieben gemacht..

hier die logs


Verzeichnis von C:\WINDOWS\system32

05.11.2005 10:25 235.255 sgncui.dll
05.11.2005 10:25 236.037 r28s0cl7efq.dll
05.11.2005 10:21 234.998 djskperf.dll
05.11.2005 10:21 235.255 jtn2075oe.dll
04.11.2005 09:49 2.550 Uninstall.ico
04.11.2005 09:49 1.406 Help.ico
04.11.2005 09:49 1.718 Open.ico
04.11.2005 09:49 5.350 IE.ico
04.11.2005 09:49 9.470 Desktop.ico
04.11.2005 09:49 1.718 Quick.ico
04.11.2005 08:55 234.272 j6p0lg7m16.dll
04.11.2005 08:06 419.826 perfh009.dat
04.11.2005 08:06 438.114 perfh007.dat
04.11.2005 08:06 64.130 perfc009.dat
04.11.2005 08:06 77.258 perfc007.dat
04.11.2005 08:06 1.011.284 PerfStringBackup.INI
04.11.2005 08:05 13.646 wpa.dbl
28.10.2005 12:28 687.592 atmtd.dll
28.10.2005 12:28 687.592 atmtd.dll._
12.10.2005 14:34 246.312 FNTCACHE.DAT
05.10.2005 03:09 2.301.792 MRT.exe
04.10.2005 16:26 3.013.120 mshtml.dll
28.09.2005 09:08 16.832 amcompat.tlb
28.09.2005 09:08 23.392 nscompat.tlb
23.09.2005 04:06 8.491.520 shell32.dll
20.09.2005 08:15 34.308 BASSMOD.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.055.744 danim.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
19.08.2005 07:08 20 sysfsaver.dat
19.08.2005 01:24 269 spupdwxp.log
18.08.2005 12:20 13.646 wpa.bak
18.08.2005 11:55 0 h323log.txt
18.08.2005 11:21 25.065 wmpscheme.xml
18.08.2005 11:19 261 $winnt$.inf
18.08.2005 11:17 2.951 CONFIG.NT
18.08.2005 11:17 488 logonui.exe.manifest
18.08.2005 11:17 488 WindowsLogon.manifest
18.08.2005 11:17 749 sapi.cpl.manifest
18.08.2005 11:17 749 cdplayer.exe.manifest
18.08.2005 11:17 749 nwc.cpl.manifest
18.08.2005 11:17 749 ncpa.cpl.manifest
18.08.2005 11:17 749 wuaucpl.cpl.manifest
18.08.2005 11:15 21.740 emptyregdb.dat
11.08.2005 16:11 65.024 nwwks.dll
05.08.2005 20:05 516.096 ati2sgag.exe
04.08.2005 07:07 307.200 atiiiexx.dll
04.08.2005 06:27 249.856 ATIDEMGR.dll
04.08.2005 05:46 6.684.672 atioglx1.dll
04.08.2005 04:28 5.005.312 atioglxx.dll
04.08.2005 04:10 205.312 ati2dvag.dll
04.08.2005 04:04 106.496 atipdlxx.dll
04.08.2005 04:04 73.728 Oemdspif.dll
04.08.2005 04:04 25.088 Ati2mdxx.exe
04.08.2005 04:04 39.936 ati2edxx.dll
04.08.2005 04:04 46.080 ati2evxx.dll
04.08.2005 04:02 380.928 ati2evxx.exe
04.08.2005 04:02 53.248 ATIDDC.DLL
04.08.2005 03:54 2.365.472 ati3duag.dll
04.08.2005 03:47 639.872 ativvaxx.dll
04.08.2005 03:34 147.456 atikvmag.dll
04.08.2005 03:08 17.408 atitvo32.dll
04.08.2005 03:02 212.992 ati2cqag.dll

Verzeichnis von C:\DOKUME~1\BRO~1\LOKALE~1\Temp

05.11.2005 10:57 1.072 auto02.rgn
05.11.2005 10:52 1.948 sOutTmp105234.tmp
05.11.2005 10:26 16.384 ~DFD591.tmp
05.11.2005 10:18 4.976 dating04.rgn
05.11.2005 10:08 16.384 ~DFCC15.tmp
05.11.2005 10:04 576 travel01.rgn
05.11.2005 09:54 6.816 newsanytimeregion.rgn
05.11.2005 09:53 16.384 ~DF553B.tmp
05.11.2005 09:08 5.088 dating01.rgn
05.11.2005 07:28 1.600 cellphones02.rgn
04.11.2005 16:38 3.216 auto04.rgn
04.11.2005 16:28 2.352 diet01.rgn
04.11.2005 16:20 16.384 ~DF8AC5.tmp
04.11.2005 13:05 40.960 rtdrvmon.exe
04.11.2005 10:44 2.928 mower.rgn
04.11.2005 10:34 2.464 homes03.rgn
04.11.2005 09:31 16.384 ~DF794F.tmp
04.11.2005 09:17 1.584 news02.rgn
04.11.2005 09:06 1.456 homes04.rgn
04.11.2005 08:07 16.384 ~DFBA76.tmp
31.10.2005 17:11 1.245.184 ~WRF0001.tmp
29.10.2005 16:43 46.080 ~e5d141.tmp
24.10.2005 06:58 16.384 ~DFCA6A.tmp


05.11.2005 10:25 0 0.log
05.11.2005 10:25 1.118.196 WindowsUpdate.log
05.11.2005 10:25 159 wiadebug.log
05.11.2005 10:25 50 wiaservc.log
05.11.2005 10:25 2.048 bootstat.dat
05.11.2005 10:23 121.944 ntbtlog.txt
05.11.2005 10:19 8.664 SchedLgU.Txt
05.11.2005 10:16 912.967 setupapi.log
04.11.2005 09:52 642 win.ini
02.11.2005 12:34 298 lexstat.ini
28.10.2005 13:06 3.297 tm.ini
28.10.2005 12:28 38 drsmartload.dat
28.10.2005 10:15 35 tdf.dii
27.10.2005 05:04 7.893 wmsetup.log
21.10.2005 02:01 69.535 ntdtcsetup.log
21.10.2005 02:01 383.865 iis6.log
21.10.2005 02:01 117.376 comsetup.log
21.10.2005 02:01 135.728 tsoc.log
21.10.2005 02:01 16.011 ocmsn.log
21.10.2005 02:01 15.271 tabletoc.log
21.10.2005 02:01 1.393 imsins.log
21.10.2005 02:01 25.931 KB901017.log
21.10.2005 02:01 14.364 msgsocm.log
21.10.2005 02:01 19.460 medctroc.Log
21.10.2005 02:01 156.156 ocgen.log
21.10.2005 02:01 48.582 netfxocm.log
21.10.2005 02:01 269.057 FaxSetup.log
21.10.2005 02:01 99.786 msmqinst.log
21.10.2005 02:01 28.175 KB902400.log
21.10.2005 02:01 18.715 updspapi.log
21.10.2005 02:01 17.368 KB896688.log
21.10.2005 02:00 14.507 KB899589.log
21.10.2005 02:00 14.760 KB905414.log
21.10.2005 02:00 14.458 KB900725.log
21.10.2005 02:00 12.166 KB904706.log
21.10.2005 02:00 11.937 KB905749.log
28.09.2005 09:09 236 wmsetup10.log
28.09.2005 09:08 316.640 WMSysPr9.prx
25.08.2005 17:48 1.454 COM+.log
23.08.2005 10:18 7.680 Thumbs.db
20.08.2005 02:00 4.614 KB885884.log
19.08.2005 12:22 318.723 setupact.log
19.08.2005 07:49 400 ODBC.INI
19.08.2005 06:17 667 nsw.log
19.08.2005 06:06 23.563 KB899587.log
19.08.2005 06:06 22.686 KB896422.log
19.08.2005 06:06 22.293 KB885835.log
19.08.2005 06:06 21.432 KB885836.log
19.08.2005 06:06 22.116 KB885250.log
19.08.2005 06:06 22.699 KB899591.log
19.08.2005 06:06 22.812 KB893756.log
19.08.2005 06:05 20.475 KB896423.log
19.08.2005 06:05 20.482 KB873339.log
19.08.2005 06:05 22.891 KB896727.log
19.08.2005 06:05 17.458 KB888113.log
19.08.2005 06:05 17.867 KB887742.log
19.08.2005 06:05 17.403 KB887472.log
19.08.2005 06:05 18.474 KB896358.log
19.08.2005 06:05 17.440 KB891781.log
19.08.2005 06:05 2.066 vminst.log
19.08.2005 06:05 18.421 KB890046.log
19.08.2005 06:05 17.813 KB893066.log
19.08.2005 06:04 17.433 KB873333.log
19.08.2005 06:04 17.598 KB901214.log
19.08.2005 06:04 16.935 KB888302.log
19.08.2005 06:04 12.320 KB886185.log
19.08.2005 06:04 17.797 KB899588.log
19.08.2005 06:04 16.919 KB893086.log
19.08.2005 06:04 16.075 KB896428.log
19.08.2005 06:04 16.691 KB894391.log
19.08.2005 06:04 16.545 KB890859.log
19.08.2005 02:00 7.029 KB893803v2.log
19.08.2005 02:00 8.650 KB898461.log
19.08.2005 01:25 28.950 spupdsvc.log
19.08.2005 01:25 603 DtcInstall.log
18.08.2005 14:43 440.060 svcpack.log
18.08.2005 14:09 200 cmsetacl.log
18.08.2005 14:09 2.390 sessmgr.setup.log
18.08.2005 12:22 92 CMISETUP.INI
18.08.2005 12:22 26 CMCDPLAY.INI
18.08.2005 12:21 21.840 Windows Update.log
18.08.2005 12:20 3.058 Ascd_tmp.ini
18.08.2005 12:10 2.694 regopt.log
18.08.2005 12:10 231 system.ini
18.08.2005 11:53 0 Sti_Trace.log
18.08.2005 11:17 299.552 WMSysPrx.prx
18.08.2005 11:17 4.161 ODBCINST.INI
18.08.2005 11:17 749 WindowsShell.Manifest
18.08.2005 10:59 0 control.ini
18.08.2005 10:56 37 vbaddin.ini
18.08.2005 10:56 36 vb.ini
27.05.2005 00:22 10.752 hh.exe
04.03.2005 14:10 106.496 bdoscandel.exe
01.03.2005 15:30 453 bdoscandellang.ini
03.08.2004 23:58 288.768 winhlp32.exe
03.08.2004 23:58 32.866 slrundll.exe
03.08.2004 23:58 153.600 regedit.exe
03.08.2004 23:58 70.144 notepad.exe
03.08.2004 23:57 1.035.264 explorer.exe
03.08.2004 23:57 50.688 twain_32.dll
05.08.2003 13:23 266.240 CMIUninstall.exe
18.06.2003 15:48 306.688 IsUninst.exe
28.02.2003 17:26 46.352 setdebug.exe
28.02.2003 15:35 6.550 jautoexp.dat
18.10.2002 14:56 28.672 CMIRmDriver.dll
29.08.2002 13:00 65.978 Seifenblase.bmp
29.08.2002 13:00 94.800 twain.dll
29.08.2002 13:00 65.954 Pr„riewind.bmp
29.08.2002 13:00 49.680 twunk_16.exe
29.08.2002 13:00 25.600 twunk_32.exe
29.08.2002 13:00 65.832 Santa Fe-Stuck.bmp
29.08.2002 13:00 80 explorer.scf
29.08.2002 13:00 82.944 clock.avi
29.08.2002 13:00 16.730 Feder.bmp
29.08.2002 13:00 1.405 msdfmap.ini
29.08.2002 13:00 26.680 F„cher.bmp
29.08.2002 13:00 18.944 vmmreg32.dll
29.08.2002 13:00 1.272 Blaue Spitzen 16.bmp
29.08.2002 13:00 26.582 Granit.bmp
29.08.2002 13:00 9.522 Zapotek.bmp
29.08.2002 13:00 15.872 TASKMAN.EXE
29.08.2002 13:00 17.362 Rhododendron.bmp
29.08.2002 13:00 17.062 Kaffeetasse.bmp
29.08.2002 13:00 257.568 winhelp.exe
29.08.2002 13:00 2 desktop.ini
29.08.2002 13:00 48.680 winnt.bmp
29.08.2002 13:00 48.680 winnt256.bmp
29.08.2002 13:00 34.818 wmprfDEU.prx
29.08.2002 13:00 17.336 Angler.bmp
29.08.2002 13:00 707 _default.pif


Verzeichnis von C:\

05.11.2005 11:03 0 sys.txt
05.11.2005 11:02 6.900 system.txt
05.11.2005 11:02 1.390 systemtemp.txt
05.11.2005 10:54 98.139 system32.txt
05.11.2005 10:25 1.073.270.784 hiberfil.sys
05.11.2005 10:25 805.306.368 pagefile.sys
14.09.2005 06:16 8.290.304 offroad.fla
18.08.2005 14:09 211 boot.ini
18.08.2005 14:05 47.564 NTDETECT.COM
18.08.2005 14:05 251.184 ntldr
18.08.2005 10:59 0 IO.SYS
18.08.2005 10:59 0 CONFIG.SYS
18.08.2005 10:59 0 AUTOEXEC.BAT
18.08.2005 10:59 0 MSDOS.SYS
29.08.2002 13:00 4.952 bootfont.bin


danke schon mal

#4 @mininini
Poste auch ein log von Hijack This
Direkt download http://216.180.233.162/~merijn/files/HijackThis.exe
__________
MfG Argus

#5 hi arnold

Logfile of HijackThis v1.99.1
Scan saved at 12:47:04, on 05.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chris-thomsen.de/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QvxybwAA\command.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

ich glaube aber das ich dank

http://www.trojaner-board.de/showpost.php?p=172669&postcount=2

das prob gelöst habe...hoffe ich

vielen dank für weitere anregungen

#6 mininini

gehe in die Registry

Start-->Ausfuehren--> regedit

bearbeiten--> suchen--> drsmartload

HKCU\Software\Microsoft\drsmartload <--loeschen

KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\sgncui.dll
C:\WINDOWS\system32\r28s0cl7efq.dll
C:\WINDOWS\system32\djskperf.dll
C:\WINDOWS\system32\jtn2075oe.dll
C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\Open.ico
C:\WINDOWS\system32\IE.ico
C:\WINDOWS\system32\Desktop.ico
C:\WINDOWS\system32\Quick.ico
C:\WINDOWS\system32\j6p0lg7m16.dll
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\drsmartload.dat

PC neustarten

wende die dll und exe -Optionen an und poste hier die scanreporte
http://virus-protect.org/artikel/tools/dll.html

fuehre nur Option 1 aus und poste diesen Report
http://virus-protect.org/l2mfix.html

Zitat

Troj/Drsmartl-A will typically be installed with the filename drsmartload.exe. A file named drsmartload.dat is created in the Windows folder and the following registry entry is created:
HKCU\Software\Microsoft\drsmartload
Troj/Drsmartl-A typically installs advertising software.

__________
MfG Sabina

rund um die PC-Sicherheit

#7 hi sabina

alles ausgeführt her das ergebniss

* DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

1.268 items found: 1.268 files, 0 directories.
Total of file sizes: 273.138.482 bytes 260,48 M

Administrator Account = True

--------------------End log---------------------


* DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

341 items found: 341 files, 0 directories.
Total of file sizes: 33.282.162 bytes 31,74 M

Administrator Account = True

--------------------End log---------------------


L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{5F992131-E846-261C-041E-FAB3895544A2}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften f�r Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite f�r Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung f�r Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen f�r Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen f�r die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung f�r Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen� f�r die Verschl�sselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung f�r HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen f�r Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverkn�pfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen�"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausf�hren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begr�áungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abz�gen �ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverkn�pfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"="TuneUp Shredder Shell Context Menu Extension"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"="Adobe.Acrobat.ContextMenu"
"{D6D108D3-BA66-401E-83D9-6509964235CA}"=""
"{1DE4DA92-18DC-417D-A3E3-03A7B3E5681B}"=""
"{7C9D5882-CB4A-4090-96C8-430BFE8B795B}"="Webroot Spy Sweeper Context Menu Integration"

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{1DE4DA92-18DC-417D-A3E3-03A7B3E5681B}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1DE4DA92-18DC-417D-A3E3-03A7B3E5681B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1DE4DA92-18DC-417D-A3E3-03A7B3E5681B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1DE4DA92-18DC-417D-A3E3-03A7B3E5681B}\InprocServer32]
@="C:\\WINDOWS\\system32\\djskperf.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
bassmod.dll Tue 20 Sep 2005 8:15:04 A.... 34.308 33,50 K
browseui.dll Sat 3 Sep 2005 0:53:20 A.... 1.019.904 996,00 K
cdfview.dll Sat 3 Sep 2005 0:53:20 A.... 152.064 148,50 K
cdosys.dll Sat 10 Sep 2005 2:54:28 A.... 2.067.968 1,97 M
danim.dll Sat 3 Sep 2005 0:53:20 A.... 1.055.744 1,00 M
dxtrans.dll Sat 3 Sep 2005 0:53:22 A.... 205.312 200,50 K
extmgr.dll Sat 3 Sep 2005 0:53:22 ..... 55.808 54,50 K
iepeers.dll Sat 3 Sep 2005 0:53:22 A.... 251.392 245,50 K
inseng.dll Sat 3 Sep 2005 0:53:22 A.... 96.768 94,50 K
islzma.dll Fri 21 Oct 2005 15:50:14 A.... 102.912 100,50 K
linkinfo.dll Thu 1 Sep 2005 2:44:42 A.... 19.968 19,50 K
mshtml.dll Tue 4 Oct 2005 16:26:02 A.... 3.013.120 2,87 M
mshtmled.dll Sat 3 Sep 2005 0:53:22 A.... 448.512 438,00 K
msrating.dll Sat 3 Sep 2005 0:53:22 A.... 146.432 143,00 K
mstime.dll Sat 3 Sep 2005 0:53:22 A.... 530.432 518,00 K
netman.dll Mon 22 Aug 2005 19:31:48 A.... 197.632 193,00 K
nwwks.dll Thu 11 Aug 2005 16:11:34 A.... 65.024 63,50 K
pngfilt.dll Sat 3 Sep 2005 0:53:22 A.... 39.424 38,50 K
quartz.dll Tue 30 Aug 2005 4:55:36 A.... 1.292.800 1,23 M
shdocvw.dll Sat 3 Sep 2005 0:53:22 A.... 1.484.288 1,41 M
shell32.dll Fri 23 Sep 2005 4:06:22 A.... 8.491.520 8,10 M
shlwapi.dll Sat 3 Sep 2005 0:53:22 A.... 474.112 463,00 K
umpnpmgr.dll Tue 23 Aug 2005 4:39:58 A.... 124.416 121,50 K
urlmon.dll Sat 3 Sep 2005 0:53:22 A.... 605.696 591,50 K
wininet.dll Sat 3 Sep 2005 0:53:22 A.... 664.064 648,50 K
winsrv.dll Thu 1 Sep 2005 2:44:44 A.... 292.352 285,50 K
wrlogo~1.dll Mon 24 Oct 2005 12:19:50 A.... 492.544 481,00 K
wrlzma.dll Mon 24 Oct 2005 12:19:46 A.... 17.920 17,50 K

28 items found: 28 files, 0 directories.
Total of file sizes: 23.442.436 bytes 22,36 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F096-306C

Verzeichnis von C:\WINDOWS\System32

04.11.2005 10:38 <DIR> dllcache
18.08.2005 11:24 <DIR> Microsoft
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 72.011.685.888 Bytes frei

#8 # Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --- [Enter].

# Drücken Sie eine beliebige Taste, um einen Systemneustart einzuleiten.

# Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.

# L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen.

wenn kein Log erscheinen sollte: doppelclick -> second.bat

Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V) oder wieder mit der rechten Maustaste.

------------

danach poste auch noch mal das 1.Log von datfindbat (nur die System32)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 vielen dank schon mal für die wahnsinnsbemühungen:-)

L2Mfix 1.04a

Running From:
C:\DOKUME~1\BRO~1\Desktop\l2mfix


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER



Setting registry permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Denying C(CI) access for predefined group "Administrators"
- adding new ACCESS DENY entry


Registry Permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(CI) DENY --C------- VORDEFINIERT\Administratoren
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER



Setting up for Reboot


Starting Reboot!

Setting Directory
C:\Dokumente und Einstellungen\B�ro\Desktop\l2mfix
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\B�ro\Desktop\l2mfix

killing explorer and rundll32.exe

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1876 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 268 'rundll32.exe'

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!

Zipping up files for submission:
adding: clear.reg (164 bytes security) (deflated 37%)
adding: echo.reg (164 bytes security) (deflated 10%)
adding: direct.txt (164 bytes security) (stored 0%)
adding: lo2.txt (164 bytes security) (deflated 72%)
adding: readme.txt (164 bytes security) (deflated 52%)
adding: report.txt (164 bytes security) (deflated 60%)
adding: test.txt (164 bytes security) (stored 0%)
adding: test2.txt (164 bytes security) (deflated 18%)
adding: test3.txt (164 bytes security) (deflated 18%)
adding: test5.txt (164 bytes security) (deflated 18%)
adding: backregs/1DE4DA92-18DC-417D-A3E3-03A7B3E5681B.reg (164 bytes security) (deflated 70%)
adding: backregs/notibac.reg (164 bytes security) (deflated 87%)
adding: backregs/shell.reg (164 bytes security) (deflated 73%)

Restoring Registry Permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Revoking access for predefined group "Administrators"
Inherited ACE can not be revoked here!
Inherited ACE can not be revoked here!


Registry permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


Restoring Sedebugprivilege:

Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332

Restoring Windows Update Certificates.:


The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000


The following are the files found:
****************************************************************************

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{D6D108D3-BA66-401E-83D9-6509964235CA}"=-
"{1DE4DA92-18DC-417D-A3E3-03A7B3E5681B}"=-
[-HKEY_CLASSES_ROOT\CLSID\{D6D108D3-BA66-401E-83D9-6509964235CA}]
[-HKEY_CLASSES_ROOT\CLSID\{1DE4DA92-18DC-417D-A3E3-03A7B3E5681B}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************
****************************************************************************


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F096-306C

Verzeichnis von C:\WINDOWS\system32

04.11.2005 08:06 419.826 perfh009.dat
04.11.2005 08:06 64.130 perfc009.dat
04.11.2005 08:06 438.114 perfh007.dat
04.11.2005 08:06 77.258 perfc007.dat
04.11.2005 08:06 1.011.284 PerfStringBackup.INI
04.11.2005 08:05 13.646 wpa.dbl
24.10.2005 12:19 492.544 WRLogonNtf.dll
24.10.2005 12:19 8.192 ssiefr.EXE
24.10.2005 12:19 17.920 wrlzma.dll
21.10.2005 15:50 102.912 islzma.dll
12.10.2005 14:34 246.312 FNTCACHE.DAT
05.10.2005 03:09 2.301.792 MRT.exe
04.10.2005 16:26 3.013.120 mshtml.dll
28.09.2005 09:08 16.832 amcompat.tlb
28.09.2005 09:08 23.392 nscompat.tlb
23.09.2005 04:06 8.491.520 shell32.dll
20.09.2005 08:15 34.308 BASSMOD.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
19.08.2005 07:08 20 sysfsaver.dat
19.08.2005 01:24 269 spupdwxp.log
18.08.2005 12:20 13.646 wpa.bak
18.08.2005 11:55 0 h323log.txt
18.08.2005 11:21 25.065 wmpscheme.xml
18.08.2005 11:19 261 $winnt$.inf
18.08.2005 11:17 2.951 CONFIG.NT
18.08.2005 11:17 488 logonui.exe.manifest
18.08.2005 11:17 488 WindowsLogon.manifest
18.08.2005 11:17 749 sapi.cpl.manifest
18.08.2005 11:17 749 nwc.cpl.manifest
18.08.2005 11:17 749 cdplayer.exe.manifest
18.08.2005 11:17 749 wuaucpl.cpl.manifest
18.08.2005 11:17 749 ncpa.cpl.manifest
18.08.2005 11:15 21.740 emptyregdb.dat
11.08.2005 16:11 65.024 nwwks.dll
05.08.2005 20:05 516.096 ati2sgag.exe
04.08.2005 07:07 307.200 atiiiexx.dll
04.08.2005 06:27 249.856 ATIDEMGR.dll
04.08.2005 05:46 6.684.672 atioglx1.dll
04.08.2005 04:28 5.005.312 atioglxx.dll
04.08.2005 04:10 205.312 ati2dvag.dll
04.08.2005 04:04 106.496 atipdlxx.dll
04.08.2005 04:04 73.728 Oemdspif.dll
04.08.2005 04:04 25.088 Ati2mdxx.exe
04.08.2005 04:04 39.936 ati2edxx.dll
04.08.2005 04:04 46.080 ati2evxx.dll
04.08.2005 04:02 380.928 ati2evxx.exe
04.08.2005 04:02 53.248 ATIDDC.DLL
04.08.2005 03:54 2.365.472 ati3duag.dll
04.08.2005 03:47 639.872 ativvaxx.dll
04.08.2005 03:34 147.456 atikvmag.dll
04.08.2005 03:08 17.408 atitvo32.dll
04.08.2005 03:02 212.992 ati2cqag.dll

#10 nun poste noch mal das log 1 (option 1, L2MFIX)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hier ist es

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften f�r Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite f�r Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung f�r Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen f�r Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen f�r die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung f�r Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen� f�r die Verschl�sselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung f�r HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen f�r Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverkn�pfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen�"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausf�hren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begr�áungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abz�gen �ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverkn�pfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"="TuneUp Shredder Shell Context Menu Extension"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"="Adobe.Acrobat.ContextMenu"
"{7C9D5882-CB4A-4090-96C8-430BFE8B795B}"="Webroot Spy Sweeper Context Menu Integration"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
bassmod.dll Tue 20 Sep 2005 8:15:04 A.... 34.308 33,50 K
browseui.dll Sat 3 Sep 2005 0:53:20 A.... 1.019.904 996,00 K
cdfview.dll Sat 3 Sep 2005 0:53:20 A.... 152.064 148,50 K
cdosys.dll Sat 10 Sep 2005 2:54:28 A.... 2.067.968 1,97 M
danim.dll Sat 3 Sep 2005 0:53:20 A.... 1.055.744 1,00 M
dxtrans.dll Sat 3 Sep 2005 0:53:22 A.... 205.312 200,50 K
extmgr.dll Sat 3 Sep 2005 0:53:22 ..... 55.808 54,50 K
iepeers.dll Sat 3 Sep 2005 0:53:22 A.... 251.392 245,50 K
inseng.dll Sat 3 Sep 2005 0:53:22 A.... 96.768 94,50 K
islzma.dll Fri 21 Oct 2005 15:50:14 A.... 102.912 100,50 K
linkinfo.dll Thu 1 Sep 2005 2:44:42 A.... 19.968 19,50 K
mshtml.dll Tue 4 Oct 2005 16:26:02 A.... 3.013.120 2,87 M
mshtmled.dll Sat 3 Sep 2005 0:53:22 A.... 448.512 438,00 K
msrating.dll Sat 3 Sep 2005 0:53:22 A.... 146.432 143,00 K
mstime.dll Sat 3 Sep 2005 0:53:22 A.... 530.432 518,00 K
netman.dll Mon 22 Aug 2005 19:31:48 A.... 197.632 193,00 K
nwwks.dll Thu 11 Aug 2005 16:11:34 A.... 65.024 63,50 K
pngfilt.dll Sat 3 Sep 2005 0:53:22 A.... 39.424 38,50 K
quartz.dll Tue 30 Aug 2005 4:55:36 A.... 1.292.800 1,23 M
shdocvw.dll Sat 3 Sep 2005 0:53:22 A.... 1.484.288 1,41 M
shell32.dll Fri 23 Sep 2005 4:06:22 A.... 8.491.520 8,10 M
shlwapi.dll Sat 3 Sep 2005 0:53:22 A.... 474.112 463,00 K
umpnpmgr.dll Tue 23 Aug 2005 4:39:58 A.... 124.416 121,50 K
urlmon.dll Sat 3 Sep 2005 0:53:22 A.... 605.696 591,50 K
wininet.dll Sat 3 Sep 2005 0:53:22 A.... 664.064 648,50 K
winsrv.dll Thu 1 Sep 2005 2:44:44 A.... 292.352 285,50 K
wrlogo~1.dll Mon 24 Oct 2005 12:19:50 A.... 492.544 481,00 K
wrlzma.dll Mon 24 Oct 2005 12:19:46 A.... 17.920 17,50 K

28 items found: 28 files, 0 directories.
Total of file sizes: 23.442.436 bytes 22,36 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F096-306C

Verzeichnis von C:\WINDOWS\System32

04.11.2005 10:38 <DIR> dllcache
18.08.2005 11:24 <DIR> Microsoft
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 71.999.717.376 Bytes frei

#12 Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SYSTEM32\islzma.dll
Fri 21 Oct 2005 15:50:14 A.... 102.912 100,50 K

C:\WINDOWS\SYSTEM32\wrlogo~1.dll
Mon 24 Oct 2005 12:19:50 A.... 492.544 481,00 K

C:\WINDOWS\SYSTEM32\wrlzma.dll
Mon 24 Oct 2005 12:19:46 A.... 17.920 17,50 K

----------------------------

dann scanne mit ewido und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Antivirus Version Update Result
AntiVir 6.32.0.6 11.05.2005 no virus found
Avast 4.6.695.0 11.04.2005 no virus found
AVG 718 11.03.2005 no virus found
Avira 6.32.0.6 11.05.2005 no virus found
BitDefender 7.2 11.06.2005 no virus found
CAT-QuickHeal 8.00 11.05.2005 no virus found
ClamAV devel-20050917 11.06.2005 no virus found
DrWeb 4.33 11.05.2005 no virus found
eTrust-Iris 7.1.194.0 11.04.2005 no virus found
eTrust-Vet 11.9.1.0 11.04.2005 no virus found
Fortinet 2.48.0.0 11.06.2005 no virus found
F-Prot 3.16c 11.05.2005 no virus found
Ikarus 0.2.59.0 11.04.2005 no virus found
Kaspersky 4.0.2.24 11.06.2005 no virus found
McAfee 4621 11.05.2005 no virus found
NOD32v2 1.1277 11.05.2005 no virus found
Norman 5.70.10 11.04.2005 no virus found
Panda 8.02.00 11.05.2005 no virus found
Sophos 3.99.0 11.06.2005 no virus found
Symantec 8.0 11.05.2005 no virus found
TheHacker 5.9.1.029 11.05.2005 no virus found
VBA32 3.10.4 11.05.2005 no virus found



VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.>

Antivirus Version Update Result
AntiVir 6.32.0.6 11.05.2005 no virus found
Avast 4.6.695.0 11.04.2005 no virus found
AVG 718 11.03.2005 no virus found
Avira 6.32.0.6 11.05.2005 no virus found
BitDefender 7.2 11.06.2005 no virus found
CAT-QuickHeal 8.00 11.05.2005 no virus found
ClamAV devel-20050917 11.06.2005 no virus found
DrWeb 4.33 11.05.2005 no virus found
eTrust-Iris 7.1.194.0 11.04.2005 no virus found
eTrust-Vet 11.9.1.0 11.04.2005 no virus found
Fortinet 2.48.0.0 11.06.2005 no virus found
F-Prot 3.16c 11.05.2005 no virus found
Ikarus 0.2.59.0 11.04.2005 no virus found
Kaspersky 4.0.2.24 11.06.2005 no virus found
McAfee 4621 11.05.2005 no virus found
NOD32v2 1.1277 11.05.2005 no virus found
Norman 5.70.10 11.04.2005 no virus found
Panda 8.02.00 11.05.2005 no virus found
Sophos 3.99.0 11.06.2005 no virus found
Symantec 8.0 11.05.2005 no virus found
TheHacker 5.9.1.029 11.05.2005 no virus found
VBA32 3.10.4 11.05.2005 no virus found



VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware

Antivirus Version Update Result
AntiVir 6.32.0.6 11.05.2005 no virus found
Avast 4.6.695.0 11.04.2005 no virus found
AVG 718 11.03.2005 no virus found
Avira 6.32.0.6 11.05.2005 no virus found
BitDefender 7.2 11.06.2005 no virus found
CAT-QuickHeal 8.00 11.05.2005 no virus found
ClamAV devel-20050917 11.06.2005 no virus found
DrWeb 4.33 11.05.2005 no virus found
eTrust-Iris 7.1.194.0 11.04.2005 no virus found
eTrust-Vet 11.9.1.0 11.04.2005 no virus found
Fortinet 2.48.0.0 11.06.2005 no virus found
F-Prot 3.16c 11.05.2005 no virus found
Ikarus 0.2.59.0 11.04.2005 no virus found
Kaspersky 4.0.2.24 11.06.2005 no virus found
McAfee 4621 11.05.2005 no virus found
NOD32v2 1.1277 11.05.2005 no virus found
Norman 5.70.10 11.04.2005 no virus found
Panda 8.02.00 11.05.2005 no virus found
Sophos 3.99.0 11.06.2005 no virus found
Symantec 8.0 11.05.2005 no virus found
TheHacker 5.9.1.029 11.05.2005 no virus found
VBA32 3.10.4 11.05.2005 no virus found



VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 15:15:28, 06.11.2005
+ Report-Checksumme: ACBC1E5A

+ Scanergebnis:

C:\Dokumente und Einstellungen\Büro\Cookies\büro@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Büro\Cookies\büro@as-eu.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Büro\Cookies\büro@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Büro\Cookies\büro@axa.addcontrol[2].txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Büro\Cookies\büro@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Büro\Cookies\büro@ilead.itrack[2].txt -> Spyware.Cookie.Itrack : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Büro\Cookies\büro@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Büro\Cookies\büro@php.sales.tfag[2].txt -> Spyware.Cookie.Tfag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Büro\Cookies\büro@statcounter[1].txt -> Spyware.Cookie.Statcounter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Büro\Cookies\büro@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup
C:\Programme\Password-Finder\PWFinder.dll -> TrojanSpy.Qeds.a : Gesäubert mit Backup


::Report Ende

#14 mininini

scanne mit Kaspersky und poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 -------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, November 07, 2005 06:29:15
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 6/11/2005
Kaspersky Anti-Virus database records: 148882
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 249409
Number of viruses found: 8
Number of infected objects: 78
Number of suspicious objects: 10
Duration of the scan process: 6200 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From leowinkelbauer@hotmail.com][Date Sat, 5 Nov 2005 17:58:49 +0100]/file.zip/document.txt .exe Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From leowinkelbauer@hotmail.com][Date Sat, 5 Nov 2005 17:58:49 +0100]/file.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From info@plastico-bohner.de][Date Sun, 6 Nov 2005 09:24:58 +0100]/UNNAMED/posting.txt.pif Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From info@plastico-bohner.de][Date Sun, 6 Nov 2005 09:24:58 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From jmcolomer@grumbe.com][Date Sun, 6 Nov 2005 11:55:04 +0100]/text01.zip/data.rtf .scr Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From jmcolomer@grumbe.com][Date Sun, 6 Nov 2005 11:55:04 +0100]/text01.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From ps-stadt-request@lists.sol.at][Date Sun, 6 Nov 2005 12:08:34 +0100]/UNNAMED/UNNAMED/html Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From ps-stadt-request@lists.sol.at][Date Sun, 6 Nov 2005 12:08:34 +0100]/UNNAMED/UNNAMED Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From ps-stadt-request@lists.sol.at][Date Sun, 6 Nov 2005 12:08:34 +0100]/UNNAMED/message.scr Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From ps-stadt-request@lists.sol.at][Date Sun, 6 Nov 2005 12:08:34 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From hanus@szabo.at][Date Fri, 4 Nov 2005 17:09:10 +0100]/UNNAMED/attach2.zip/attach2.txt.com Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From hanus@szabo.at][Date Fri, 4 Nov 2005 17:09:10 +0100]/UNNAMED/attach2.zip Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From hanus@szabo.at][Date Fri, 4 Nov 2005 17:09:10 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From 3f5-q@8sa7j8.h4][Date Fri, 4 Nov 2005 10:42:39 +0100]/UNNAMED/file.pif Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From 3f5-q@8sa7j8.h4][Date Fri, 4 Nov 2005 10:42:39 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From /8.7@2][Date Fri, 4 Nov 2005 10:53:26 +0100]/UNNAMED/UNNAMED/html Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From /8.7@2][Date Fri, 4 Nov 2005 10:53:26 +0100]/UNNAMED/UNNAMED Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From /8.7@2][Date Fri, 4 Nov 2005 10:53:26 +0100]/UNNAMED/message.scr Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From /8.7@2][Date Fri, 4 Nov 2005 10:53:26 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From rakow@min.ml.lsa-net.de][Date Fri, 4 Nov 2005 08:43:32 +0100]/UNNAMED/document.zip/your_details.doc .exe Infected: Email-Worm.Win32.NetSky.x
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From rakow@min.ml.lsa-net.de][Date Fri, 4 Nov 2005 08:43:32 +0100]/UNNAMED/document.zip Infected: Email-Worm.Win32.NetSky.x
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From rakow@min.ml.lsa-net.de][Date Fri, 4 Nov 2005 08:43:32 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.x
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From info@ladylotus.com][Date Fri, 4 Nov 2005 08:56:14 +0100]/UNNAMED/talk_music.zip/talk_music.rtf.exe Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From info@ladylotus.com][Date Fri, 4 Nov 2005 08:56:14 +0100]/UNNAMED/talk_music.zip Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From info@ladylotus.com][Date Fri, 4 Nov 2005 08:56:14 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From me@immobilien.net][Date Fri, 4 Nov 2005 12:10:22 +0100]/UNNAMED/topseller.zip/topseller.pif Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From me@immobilien.net][Date Fri, 4 Nov 2005 12:10:22 +0100]/UNNAMED/topseller.zip Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From me@immobilien.net][Date Fri, 4 Nov 2005 12:10:22 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From mail@meindl-dachziegel.de][Date Fri, 4 Nov 2005 13:04:52 +0100]/UNNAMED/UNNAMED/html Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From mail@meindl-dachziegel.de][Date Fri, 4 Nov 2005 13:04:52 +0100]/UNNAMED/UNNAMED Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From mail@meindl-dachziegel.de][Date Fri, 4 Nov 2005 13:04:52 +0100]/UNNAMED/message.scr Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From mail@meindl-dachziegel.de][Date Fri, 4 Nov 2005 13:04:52 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From elsner-spedition@t-online.de][Date Fri, 4 Nov 2005 13:04:53 +0100]/UNNAMED/details.zip/details.txt .pif Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From elsner-spedition@t-online.de][Date Fri, 4 Nov 2005 13:04:53 +0100]/UNNAMED/details.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From elsner-spedition@t-online.de][Date Fri, 4 Nov 2005 13:04:53 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From msk.zarges@kaiman.ru][Date Fri, 4 Nov 2005 13:04:59 +0100]/UNNAMED/UNNAMED/html Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From msk.zarges@kaiman.ru][Date Fri, 4 Nov 2005 13:04:59 +0100]/UNNAMED/UNNAMED Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From msk.zarges@kaiman.ru][Date Fri, 4 Nov 2005 13:04:59 +0100]/UNNAMED/message.scr Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From msk.zarges@kaiman.ru][Date Fri, 4 Nov 2005 13:04:59 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From 20rechnung-online@telekom.de][Date Fri, 4 Nov 2005 13:05:01 +0100]/UNNAMED/readme.zip/details.txt .pif Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From 20rechnung-online@telekom.de][Date Fri, 4 Nov 2005 13:05:01 +0100]/UNNAMED/readme.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From 20rechnung-online@telekom.de][Date Fri, 4 Nov 2005 13:05:01 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From handystorch@web.de][Date Sat, 5 Nov 2005 16:07:59 +0100]/UNNAMED/visa.zip/visa.pif Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From handystorch@web.de][Date Sat, 5 Nov 2005 16:07:59 +0100]/UNNAMED/visa.zip Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From handystorch@web.de][Date Sat, 5 Nov 2005 16:07:59 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From kentpw@norwich.net][Date Sat, 5 Nov 2005 09:00:50 +0100]/UNNAMED/yours.zip/yours.txt.exe Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From kentpw@norwich.net][Date Sat, 5 Nov 2005 09:00:50 +0100]/UNNAMED/yours.zip Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From kentpw@norwich.net][Date Sat, 5 Nov 2005 09:00:50 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From support@symantec.com][Date Sat, 5 Nov 2005 12:22:35 +0100]/UNNAMED/datfiles.zip/details.txt .pif Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From support@symantec.com][Date Sat, 5 Nov 2005 12:22:35 +0100]/UNNAMED/datfiles.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From support@symantec.com][Date Sat, 5 Nov 2005 12:22:35 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From elenawest@gmx.de][Date Sat, 5 Nov 2005 12:22:40 +0100]/UNNAMED/details.zip/document.txt .exe Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From elenawest@gmx.de][Date Sat, 5 Nov 2005 12:22:40 +0100]/UNNAMED/details.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From elenawest@gmx.de][Date Sat, 5 Nov 2005 12:22:40 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From versand@alarm.de][Date Sat, 5 Nov 2005 14:05:19 +0100]/UNNAMED/message_info.zip/details.txt .pif Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From versand@alarm.de][Date Sat, 5 Nov 2005 14:05:19 +0100]/UNNAMED/message_info.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From versand@alarm.de][Date Sat, 5 Nov 2005 14:05:19 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From support@hotmail.com][Date Sat, 5 Nov 2005 14:21:37 +0100]/UNNAMED/postcard_info.zip/details.txt .pif Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From support@hotmail.com][Date Sat, 5 Nov 2005 14:21:37 +0100]/UNNAMED/postcard_info.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From support@hotmail.com][Date Sat, 5 Nov 2005 14:21:37 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eautyweek2004@efair-messefrankfurt.com][Date Sat, 5 Nov 2005 14:31:40 +0100]/UNNAMED/UNNAMED/html Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eautyweek2004@efair-messefrankfurt.com][Date Sat, 5 Nov 2005 14:31:40 +0100]/UNNAMED/UNNAMED Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eautyweek2004@efair-messefrankfurt.com][Date Sat, 5 Nov 2005 14:31:40 +0100]/UNNAMED/message.scr Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eautyweek2004@efair-messefrankfurt.com][Date Sat, 5 Nov 2005 14:31:40 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From handystorch@web.de][Date Sat, 5 Nov 2005 16:07:59 +0100]/UNNAMED/visa.zip/visa.pif Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From handystorch@web.de][Date Sat, 5 Nov 2005 16:07:59 +0100]/UNNAMED/visa.zip Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From handystorch@web.de][Date Sat, 5 Nov 2005 16:07:59 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.c
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From leowinkelbauer@hotmail.com][Date Sat, 5 Nov 2005 17:58:49 +0100]/UNNAMED/file.zip/document.txt .exe Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From leowinkelbauer@hotmail.com][Date Sat, 5 Nov 2005 17:58:49 +0100]/UNNAMED/file.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From leowinkelbauer@hotmail.com][Date Sat, 5 Nov 2005 17:58:49 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From jmcolomer@grumbe.com][Date Sun, 6 Nov 2005 11:55:04 +0100]/UNNAMED/text01.zip/data.rtf .scr Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From jmcolomer@grumbe.com][Date Sun, 6 Nov 2005 11:55:04 +0100]/UNNAMED/text01.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From jmcolomer@grumbe.com][Date Sun, 6 Nov 2005 11:55:04 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Identities\{B304A6CA-A2ED-4AAA-B9EF-D0180875291A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Infected: Email-Worm.Win32.NetSky.q
C:\System Volume Information\_restore{0419AFA8-AD67-4BE8-AAA2-F3B85E6AADBB}\RP50\A0007256.dll Infected: Trojan-Downloader.Win32.IstBar.ms
C:\System Volume Information\_restore{0419AFA8-AD67-4BE8-AAA2-F3B85E6AADBB}\RP86\A0010122.exe/run.exe Infected: Trojan-Downloader.Win32.Adload.j
C:\System Volume Information\_restore{0419AFA8-AD67-4BE8-AAA2-F3B85E6AADBB}\RP86\A0010122.exe Infected: Trojan-Downloader.Win32.Adload.j
C:\System Volume Information\_restore{0419AFA8-AD67-4BE8-AAA2-F3B85E6AADBB}\RP92\A0010815.exe/run.exe Infected: Trojan-Downloader.Win32.Adload.j
C:\System Volume Information\_restore{0419AFA8-AD67-4BE8-AAA2-F3B85E6AADBB}\RP92\A0010815.exe Infected: Trojan-Downloader.Win32.Adload.j
C:\System Volume Information\_restore{0419AFA8-AD67-4BE8-AAA2-F3B85E6AADBB}\RP92\A0010819.exe/run.exe Infected: Trojan-Downloader.Win32.IstBar.is
C:\System Volume Information\_restore{0419AFA8-AD67-4BE8-AAA2-F3B85E6AADBB}\RP92\A0010819.exe Infected: Trojan-Downloader.Win32.IstBar.is
E:\sicherungmails\Outlook Express\Posteingang.dbx/[From "Soft-und-Hardware Wir machen Internet" <info@soft-und-hardware.com>][Date Thu, 21 Jul 2005 14:13:39 +0200]/UNNAMED/registry.mechanic.5.0.0.132.cracked-tsrh.zip/start.exe/data0001 Infected: Trojan-Downloader.Win32.INService.ja
E:\sicherungmails\Outlook Express\Posteingang.dbx/[From "Soft-und-Hardware Wir machen Internet" <info@soft-und-hardware.com>][Date Thu, 21 Jul 2005 14:13:39 +0200]/UNNAMED/registry.mechanic.5.0.0.132.cracked-tsrh.zip/start.exe Infected: Trojan-Downloader.Win32.INService.ja
E:\sicherungmails\Outlook Express\Posteingang.dbx/[From "Soft-und-Hardware Wir machen Internet" <info@soft-und-hardware.com>][Date Thu, 21 Jul 2005 14:13:39 +0200]/UNNAMED/registry.mechanic.5.0.0.132.cracked-tsrh.zip Infected: Trojan-Downloader.Win32.INService.ja
E:\sicherungmails\Outlook Express\Posteingang.dbx/[From "Soft-und-Hardware Wir machen Internet" <info@soft-und-hardware.com>][Date Thu, 21 Jul 2005 14:13:39 +0200]/UNNAMED Infected: Trojan-Downloader.Win32.INService.ja
E:\sicherungmails\Outlook Express\Posteingang.dbx Infected: Trojan-Downloader.Win32.INService.ja
E:\System Volume Information\_restore{0419AFA8-AD67-4BE8-AAA2-F3B85E6AADBB}\RP47\A0007154.exe/run.exe Infected: Trojan-Downloader.Win32.IstBar.is
E:\System Volume Information\_restore{0419AFA8-AD67-4BE8-AAA2-F3B85E6AADBB}\RP47\A0007154.exe Infected: Trojan-Downloader.Win32.IstBar.is

Scan process completed.