Probleme mit den Trojanern Click256, Qhost.DF, Vidro.U

#0
05.12.2005, 11:41
Member

Beiträge: 12
#1 Hallo,

habe nun schon seid längerem diese verdammten Trojaner auf meinem PC, bzw die Meldungen von AntiVir und löschen tue ich sie dort auch ständig, aber sie kommen immer wieder....

habe nun endlich was gefunden wo ich hoffe Hilfe zu bekommen, nämlich EUCH!

ich habe mir nun auch schon hitjack runter geladen und auch ausgeführt und hier das Ergebniss:

Logfile of HijackThis v1.99.1
Scan saved at 11:27:33, on 05.12.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime Alternative\qttask.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE11.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla1.7.11\mozilla.exe
C:\Kampf den Viren und Trojanern\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.monstersgame.net/index.php?ac=status
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\mfqwg.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\mfqwg.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: little_helper2.lnk = C:\Programme\little_helper2\little_helper2.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.83/users/sale/web/axe/x.chm::/update.exe
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f012.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp02.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BAB4D3F-594D-4C65-A296-A20044491512}: NameServer = 85.255.113.115,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F2F867E-4097-4739-802B-B9C464A82C9D}: NameServer = 85.255.113.115,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{51DB8083-C471-4617-AC85-DBA62B0FF429}: NameServer = 85.255.113.115,85.255.112.6
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine 11 [Service] (SLEE_11_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE11.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

Ich würde mich sehr freuen wenn mir nun jemand weiter helfen kann...
Aber bitte einfach, denn ein Profi bin ich leider nicht...
Seitenanfang Seitenende
05.12.2005, 14:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Baer25j

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\mfqwg.dll (file missing)
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.83/users/sale/web/axe/x.chm::/update.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BAB4D3F-594D-4C65-A296-A20044491512}: NameServer = 85.255.113.115,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F2F867E-4097-4739-802B-B9C464A82C9D}: NameServer = 85.255.113.115,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{51DB8083-C471-4617-AC85-DBA62B0FF429}: NameServer = 85.255.113.115,85.255.112.6

PC neustarten


erstelle eine neue Internetverbindung

poste den Report von Winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 15:30
Member

Themenstarter

Beiträge: 12
#3 Ja also, ich habe deinen Punkten folge geleistet und hier nun das Ergebnis:

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Current Build Number: 2600
Internet Explorer Version: 6.0.2600.0000

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 23.08.2001 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
Umonitor 23.08.2001 13:00:00 659456 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 23.08.2001 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
05.12.2005 15:03:00 S 2048 C:\WINDOWS\bootstat.dat
07.11.2005 10:08:26 H 0 C:\WINDOWS\LastGood\INF\oem10.inf
07.11.2005 10:08:26 H 0 C:\WINDOWS\LastGood\INF\oem10.PNF
07.11.2005 19:50:34 H 0 C:\WINDOWS\LastGood\INF\oem11.inf
07.11.2005 19:50:34 H 0 C:\WINDOWS\LastGood\INF\oem11.PNF
05.12.2005 15:03:38 H 1024 C:\WINDOWS\system32\config\default.LOG
05.12.2005 15:03:02 H 1024 C:\WINDOWS\system32\config\SAM.LOG
05.12.2005 15:03:38 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
05.12.2005 15:20:00 H 1024 C:\WINDOWS\system32\config\software.LOG
05.12.2005 15:03:46 H 1024 C:\WINDOWS\system32\config\system.LOG
05.12.2005 15:03:02 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 23.08.2001 13:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 23.08.2001 13:00:00 563712 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 23.08.2001 13:00:00 133120 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 23.08.2001 13:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 23.08.2001 13:00:00 295936 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 23.08.2001 13:00:00 123392 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 29.08.2002 03:41:00 208896 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems 20.02.2003 16:42:34 229487 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 23.08.2001 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 23.08.2001 13:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 23.08.2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 23.08.2001 13:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
NVIDIA Corporation 24.02.2005 16:32:00 73728 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 23.08.2001 13:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 23.08.2001 13:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
30.07.1998 12:44:02 14336 C:\WINDOWS\SYSTEM32\pmxusb.cpl
Microsoft Corporation 23.08.2001 13:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 23.08.2001 13:00:00 275456 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 23.08.2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 23.08.2001 13:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 23.08.2001 13:00:00 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 23.08.2001 13:00:00 563712 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 23.08.2001 13:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 23.08.2001 13:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 23.08.2001 13:00:00 295936 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 23.08.2001 13:00:00 123392 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 29.08.2002 03:41:00 208896 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 23.08.2001 13:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 23.08.2001 13:00:00 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 23.08.2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 23.08.2001 13:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 23.08.2001 13:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 23.08.2001 13:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 23.08.2001 13:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 23.08.2001 13:00:00 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 23.08.2001 13:00:00 275456 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 23.08.2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 23.08.2001 13:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
15.03.2005 14:29:22 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
15.03.2005 13:16:36 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
28.11.2005 15:00:08 1810 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache

Checking files in %USERPROFILE%\Startup folder...
15.03.2005 14:29:22 HS 84 C:\Dokumente und Einstellungen\Tommi\Startmenü\Programme\Autostart\desktop.ini
15.11.2005 10:13:08 855 C:\Dokumente und Einstellungen\Tommi\Startmenü\Programme\Autostart\FRITZ!DSL Protect.lnk
15.11.2005 10:19:12 765 C:\Dokumente und Einstellungen\Tommi\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk

Checking files in %USERPROFILE%\Application Data folder...
15.03.2005 13:16:36 HS 62 C:\Dokumente und Einstellungen\Tommi\Anwendungsdaten\desktop.ini
11.07.2005 05:15:36 47864 C:\Dokumente und Einstellungen\Tommi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
23.12.2004 03:43:14 4713 C:\Dokumente und Einstellungen\Tommi\Anwendungsdaten\wo.tmp

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Steganos Safe 8
{00000000-5736-4205-0100-a0892e6cb168} = c:\programme\steganos safe 8\safe8se.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
=
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
=
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Steganos Safe 8
{00000000-5736-4205-0100-a0892e6cb168} = c:\programme\steganos safe 8\safe8se.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
=
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinZip
{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}
Google Toolbar Helper = c:\programme\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4528BBE0-4E08-11D5-AD55-00010333D0AD}
=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = :
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{4528BBE0-4E08-11D5-AD55-00010333D0AD}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} = :
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = :
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll
{47833539-D0C5-4125-9FA8-0819E2EAAC93} = :
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
Lexmark 2200 Series "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min
QuickTime Task "C:\Programme\QuickTime Alternative\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
msnmsgr "C:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen in Microsoft Works-Kalender.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen in Microsoft Works-Kalender.lnk
backup C:\WINDOWS\pss\Erinnerungen in Microsoft Works-Kalender.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\GEMEIN~1\MICROS~1\WORKSS~1\wkcalrem.exe
item Erinnerungen in Microsoft Works-Kalender
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen in Microsoft Works-Kalender.lnk
backup C:\WINDOWS\pss\Erinnerungen in Microsoft Works-Kalender.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\GEMEIN~1\MICROS~1\WORKSS~1\wkcalrem.exe
item Erinnerungen in Microsoft Works-Kalender

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\INTERV~1\Common\Bin\WINCIN~1.EXE
item InterVideo WinCinema Manager
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\INTERV~1\Common\Bin\WINCIN~1.EXE
item InterVideo WinCinema Manager

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^little_helper2.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\little_helper2.lnk
backup C:\WINDOWS\pss\little_helper2.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\LITTLE~1\LITTLE~1.EXE
item little_helper2
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\little_helper2.lnk
backup C:\WINDOWS\pss\little_helper2.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\LITTLE~1\LITTLE~1.EXE
item little_helper2


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MA111 Configuration Utility.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MA111 Configuration Utility.lnk
backup C:\WINDOWS\pss\MA111 Configuration Utility.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\NETGEAR\MA111C~1\wlancfg4.exe
item MA111 Configuration Utility
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MA111 Configuration Utility.lnk
backup C:\WINDOWS\pss\MA111 Configuration Utility.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\NETGEAR\MA111C~1\wlancfg4.exe
item MA111 Configuration Utility

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\WinZip\WZQKPICK.EXE
item WinZip Quick Pick
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\WinZip\WZQKPICK.EXE
item WinZip Quick Pick

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^Tommi^Startmenü^Programme^Autostart^ubisoft register.lnk
path C:\Dokumente und Einstellungen\Tommi\Startmenü\Programme\Autostart\ubisoft register.lnk
backup C:\WINDOWS\pss\ubisoft register.lnkStartup
location Startup
command C:\PROGRA~1\UBISOF~1\Register\schedule.exe /30.03.2005 16:11:13 /game=SplinterCell /language=English /country= /url=http://register-it.ubi.com/register.asp
item ubisoft register
path C:\Dokumente und Einstellungen\Tommi\Startmenü\Programme\Autostart\ubisoft register.lnk
backup C:\WINDOWS\pss\ubisoft register.lnkStartup
location Startup
command C:\PROGRA~1\UBISOF~1\Register\schedule.exe /30.03.2005 16:11:13 /game=SplinterCell /language=English /country= /url=http://register-it.ubi.com/register.asp
item ubisoft register

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Device Detector
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item DevDetect
hkey HKLM
command DevDetect.exe -autorun
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item DevDetect
hkey HKLM
command DevDetect.exe -autorun
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\dflnl.exe

key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item dflnl
hkey HKLM
command C:\WINDOWS\System32\dflnl.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item dflnl
hkey HKLM
command C:\WINDOWS\System32\dflnl.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DXDllRegExe
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item dxdllreg ?????
hkey HKLM
command C:\WINDOWS\System32\dxdllreg.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item dxdllreg
hkey HKLM
command C:\WINDOWS\System32\dxdllreg.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HotKey
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item HotKey
hkey HKLM
command C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item HotKey
hkey HKLM
command C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\little_helper2.exe
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item
hkey HKLM
command
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item
hkey HKLM
command
inimapping 0


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WareOut
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item WareOut

hkey HKCU
command "C:\Programme\WareOut\WareOut.exe"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item WareOut
hkey HKCU
command "C:\Programme\WareOut\WareOut.exe"
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WorksFUD
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item wkfud
hkey HKLM
command C:\Programme\Microsoft Works\wkfud.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item wkfud
hkey HKLM
command C:\Programme\Microsoft Works\wkfud.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\yaemu.exe
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item yaemu
hkey HKLM
command C:\WINDOWS\System32\
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item yaemu
hkey HKLM
command C:\WINDOWS\System32\
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 0
startup 2


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoDrives
NoSharedDocuments
NoBandCustomize 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Uninstall


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 05.12.2005 15:25:09



Und nun.....
Seitenanfang Seitenende
05.12.2005, 16:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 da ist so einiges vom Wareout drauf:

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

Silentrunners
http://virus-protect.org/silentrunner.html

Datfinbad
- abarbeiten und alle 4 Logs in den Thread kopieren
http://virus-protect.org/datfindbat.html

-----------------

Info
Wareout
http://virus-protect.org/artikel/spyware/wareout.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 16:23
Member

Themenstarter

Beiträge: 12
#5 ich habe jetzt einmal auf next geklickt und bin nun bei schritt 2 gelandet... soll ich mit dem cleaning weitermachen oder wann kommt die Textdatei?
Seitenanfang Seitenende
05.12.2005, 16:29
Member

Themenstarter

Beiträge: 12
#6 von dem

f-secure-Beta Trial

tool
Seitenanfang Seitenende
05.12.2005, 16:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7

Zitat

Sabina postete
die Textdatei erscheint dann auf dem desktop (ist o.k. du kannst gleich cleaning machen ;)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 16:30
Member

Themenstarter

Beiträge: 12
#8 es kam noch keine datei auf dem Desktop
Seitenanfang Seitenende
05.12.2005, 16:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 ich muss jetzt weg...poste dann noch Silentrunner und die 4 Textdateien, heute nacht arbeite ich alles durch ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 16:31
Member

Themenstarter

Beiträge: 12
#10 vielen Dank

schönen Abend dann noch

Gruß Sascha
Seitenanfang Seitenende
05.12.2005, 16:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11

Zitat

Sabina postete

Zitat

Baer25j postete
es kam noch keine datei auf dem Desktop
doch, es muss eine log-Datei erscheinen ;)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 16:37
Member

Themenstarter

Beiträge: 12
#12 Hier ist die Log ( glaube zumindest das sie das ist) vom f-secure-Beta Trial tool:

12/05/05 16:19:38 [Info]: BlackLight Engine 1.0.25 initialized

12/05/05 16:19:54 [Note]: FSRAW library version 1.7.1013
12/05/05 16:20:44 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
12/05/05 16:20:44 [Note]: 10002 1
12/05/05 16:20:54 [Info]: Hidden file: C:\WINDOWS\system32\favme.exe
12/05/05 16:21:06 [Note]: 10002 1
12/05/05 16:21:08 [Info]: Hidden file: C:\WINDOWS\system32\loadctr32.exe
12/05/05 16:21:08 [Note]: 10002 1
12/05/05 16:21:15 [Info]: Hidden file: C:\WINDOWS\system32\ntfsnlpa.exe
12/05/05 16:21:15 [Note]: 10002 1
12/05/05 16:21:19 [Info]: Hidden file: C:\WINDOWS\system32\csgog.exe


und hier nun die log vom silent runner tool:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"msnmsgr" = ""C:\Programme\MSN Messenger\msnmsgr.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"Lexmark 2200 Series" = ""C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"" ["Lexmark International, Inc."]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"QuickTime Task" = ""C:\Programme\QuickTime Alternative\qttask.exe" -atboottime" ["Apple Computer, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{00000000-5736-4205-0100-a0892e6cb168}" = "Steganos Safe 8"
-> {CLSID}\InProcServer32\(Default) = "c:\programme\steganos safe 8\safe8se.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csgog.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
Steganos Safe 8\(Default) = "{00000000-5736-4205-0100-a0892e6cb168}"
-> {CLSID}\InProcServer32\(Default) = "c:\programme\steganos safe 8\safe8se.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
Steganos Safe 8\(Default) = "{00000000-5736-4205-0100-a0892e6cb168}"
-> {CLSID}\InProcServer32\(Default) = "c:\programme\steganos safe 8\safe8se.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Tommi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]


Startup items in "Tommi" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\Tommi\Startmenü\Programme\Autostart
"FRITZ!DSL Protect" -> shortcut to: "C:\Programme\FRITZ!DSL\FwebProt.exe" ["AVM Berlin"]
"FRITZ!DSL Startcenter" -> shortcut to: "C:\Programme\FRITZ!DSL\StCenter.exe" ["AVM Berlin"]


Enabled Scheduled Tasks:
------------------------

"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\FRITZ!DSL\sarah.dll" ["AVM Berlin"]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Programme\FRITZ!DSL\sarah.dll ["AVM Berlin"], 01 - 03, 19
%SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 09 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
AVM IGD CTRL Service, AVM IGD CTRL Service, "C:\Programme\FRITZ!DSL\IGDCTRL.EXE" ["AVM Berlin"]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Steganos Live Encryption Engine 11 [Service], SLEE_11_SERVICE, "C:\WINDOWS\System32\SLEE11.exe" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor S200\Driver = "CNMLM3w.DLL" ["CANON INC."]
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 62 seconds, including 6 seconds for message boxes)

**************************************************
**************************************************

Hier nun die 4 restlichen logs vom datfind
1.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B040-2C81

Verzeichnis von C:\WINDOWS\system32

05.12.2005 15:03 21.828 nvapps.xml
05.12.2005 06:11 2.184 wpa.dbl
25.11.2005 10:51 100 LuResult.txt
12.11.2005 15:22 164.352 SpoonUninstall.exe
07.11.2005 14:09 311.740 perfh009.dat
07.11.2005 14:09 40.128 perfc009.dat
07.11.2005 14:09 316.924 perfh007.dat
07.11.2005 14:09 48.354 perfc007.dat
07.11.2005 14:09 723.744 PerfStringBackup.INI
13.10.2005 00:11 118.784 sirenacm.dll
20.09.2005 09:10 34.308 BASSMOD.dll
06.09.2005 14:31 258.352 unicows.dll
06.09.2005 14:29 921.600 vorbisenc.dll
06.09.2005 14:28 188.416 vorbis.dll
06.09.2005 14:28 45.056 ogg.dll
06.09.2005 14:28 237.568 OggDS.dll
06.09.2005 14:23 1.712.128 GdiPlus.dll
01.09.2005 16:05 65.536 QuickTimeVR.qtx
01.09.2005 16:05 49.152 QuickTime.qts
28.07.2005 13:52 91.856 S32EVNT1.DLL
27.07.2005 10:14 532.480 ACDSee.scr
07.07.2005 09:06 188.200 FNTCACHE.DAT
21.05.2005 19:53 16.832 amcompat.tlb
21.05.2005 19:53 23.392 nscompat.tlb
18.05.2005 20:20 34 OEMINFO.INI
13.05.2005 08:50 36.864 slee11.exe
06.05.2005 05:34 1.164 OODBS.lor
21.04.2005 14:45 69.632 ElbyCDIO.dll
19.04.2005 20:18 5.969.408 Gartenzeit.scr
05.04.2005 10:17 517.848 SymNeti.dll
28.01.2005 00:26 360.448 l3codecp.acm
28.01.2005 00:21 96.768 logagent.exe
***************************************

2.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B040-2C81

Verzeichnis von C:\DOKUME~1\Tommi\LOKALE~1\Temp

05.12.2005 16:11 21 ~51253da7fb89a1c5f019bb785000.jpd
05.12.2005 16:11 2.477 ~51253da7fb89a1c5f019bb785000.jpg
05.12.2005 16:11 21 ~707150281268d21c5f0104c3a200.jpd
05.12.2005 16:11 2.502 ~707150281268d21c5f0104c3a200.jpg
05.12.2005 16:11 21 ~38b901d6fe5331c5f011b064e00.jpd
05.12.2005 16:11 2.884 ~38b901d6fe5331c5f011b064e00.jpg
05.12.2005 16:11 2.418 ~b115d6a9107bfc1c5f010b4007900.jpg
05.12.2005 16:11 21 ~b115d6a9107bfc1c5f010b4007900.jpd
05.12.2005 16:11 21 ~2d6478b547c41c5f894829b6f00.jpd
05.12.2005 16:11 2.172 ~2d6478b547c41c5f894829b6f00.jpg
05.12.2005 16:11 21 ~39c85cc0b9bb11c4f34bf6af5900.jpd
05.12.2005 16:11 2.118 ~39c85cc0b9bb11c4f34bf6af5900.jpg
05.12.2005 16:11 21 ~78e4884a25471c3fea088cf1100.jpd
05.12.2005 16:11 3.218 ~78e4884a25471c3fea088cf1100.jpg
05.12.2005 16:04 16.384 ~DFE91.tmp
05.12.2005 15:03 32.768 ~DF555B.tmp
05.12.2005 10:59 21.149 GRD$LOGFILE.LOG
05.12.2005 10:59 32.768 ~DF4FB6.tmp
05.12.2005 06:12 32.768 ~DF5773.tmp
04.12.2005 19:25 67.560 TFR5CA.tmp
04.12.2005 19:25 21.122 TFR5C9.tmp
04.12.2005 19:25 23.427 TFR5C6.tmp
04.12.2005 19:25 71.682 TFR5C5.tmp
04.12.2005 19:25 10.225 TFR5C4.tmp
04.12.2005 19:25 35.574 TFR5C3.tmp
04.12.2005 19:25 32.204 TFR5C1.tmp
04.12.2005 19:25 27.777 TFR5C0.tmp
04.12.2005 15:15 596.516 gtb5BA.tmp.cab
04.12.2005 15:15 0 gtb5BA.tmp
04.12.2005 11:08 1.228 TWAIN.LOG
04.12.2005 11:08 4 Twain001.Mtx
04.12.2005 11:08 156 Twunk001.MTX
04.12.2005 11:08 398.873 lastscan.JPG
04.12.2005 05:08 32.768 ~DF4971.tmp
03.12.2005 05:10 32.768 ~DF4CAA.tmp
02.12.2005 14:54 32.768 ~DF4DBB.tmp
02.12.2005 11:46 222 STG5EE.tmp
02.12.2005 11:46 25.214 STG5ED.tmp
02.12.2005 11:46 25.214 STG5EC.tmp
02.12.2005 11:11 32.768 ~DF55F3.tmp
01.12.2005 15:34 16.384 ~DF4912.tmp
01.12.2005 15:32 32.768 ~DF4529.tmp
01.12.2005 11:31 32.768 ~DF49FC.tmp
01.12.2005 10:50 25.214 STG622.tmp
30.11.2005 07:02 21 ~62926924bdc5b1c57d9350d92600.jpd
30.11.2005 07:02 2.338 ~62926924bdc5b1c57d9350d92600.jpg
30.11.2005 07:02 2.106 ~42926924a94e91c57d9331da9400.jpg
30.11.2005 07:02 21 ~42926924a94e91c57d9331da9400.jpd
30.11.2005 07:02 2.202 ~b2926925af56e1c57d93bb4f400.jpg
30.11.2005 07:02 21 ~b2926925af56e1c57d93bb4f400.jpd
30.11.2005 07:02 21 ~18926924902381c57d92fb047e00.jpd
30.11.2005 07:02 1.795 ~18926924902381c57d92fb047e00.jpg
30.11.2005 07:02 21 ~fc926924baa711c57d92f3dd7000.jpd
30.11.2005 07:02 2.520 ~fc926924baa711c57d92f3dd7000.jpg
30.11.2005 07:02 2.006 ~aa92690ba84cc1c57d92ede78f00.jpg
30.11.2005 07:02 21 ~aa92690ba84cc1c57d92ede78f00.jpd
30.11.2005 07:02 21 ~de92690ab94921c57d92de684600.jpd
30.11.2005 07:02 1.952 ~de92690ab94921c57d92de684600.jpg
30.11.2005 07:02 1.930 ~a92690aa83aa1c57d92d4dede00.jpg
30.11.2005 07:02 21 ~a92690aa83aa1c57d92d4dede00.jpd
30.11.2005 07:02 21 ~ae92690bc412b1c57d92c8f31c00.jpd
30.11.2005 07:02 2.252 ~ae92690bc412b1c57d92c8f31c00.jpg
30.11.2005 07:02 2.489 ~9492690bb2c261c57d92c2fd3b00.jpg
30.11.2005 07:02 21 ~9492690bb2c261c57d92c2fd3b00.jpd
30.11.2005 07:02 21 ~e292690abc6de1c57d92ac56e400.jpd
30.11.2005 07:02 2.531 ~e292690abc6de1c57d92ac56e400.jpg
Dieser Beitrag wurde am 05.12.2005 um 16:53 Uhr von Baer25j editiert.
Seitenanfang Seitenende
05.12.2005, 17:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Cleanup
http://virus-protect.org/cleanup.html
C:\DOKUME~1\Tommi\LOKALE~1\Temp
muss leer sein

wende cleanup an, dann kopiere noch mal die 4 Textdateien (die erste brauchst du nicht mehr zu posten)...die habe ich schon, also nur noch die folgenden 3
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 18:55
Member

Themenstarter

Beiträge: 12
#14 ok, hier der 2.:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B040-2C81

Verzeichnis von C:\DOKUME~1\Tommi\LOKALE~1\Temp

05.12.2005 18:51 32.768 ~DFC07A.tmp
05.12.2005 16:04 16.384 ~DFE91.tmp
05.12.2005 15:03 32.768 ~DF555B.tmp
3 Datei(en) 81.920 Bytes
0 Verzeichnis(se), 1.875.468.288 Bytes frei


der 3. :

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B040-2C81

Verzeichnis von C:\WINDOWS

05.12.2005 17:01 99.970 UninstallFirefox.exe
05.12.2005 17:01 17.034 mozver.dat
05.12.2005 15:03 0 0.log
05.12.2005 15:03 157 wiadebug.log
05.12.2005 15:03 50 wiaservc.log
05.12.2005 15:02 2.048 bootstat.dat
05.12.2005 15:01 32.498 SchedLgU.Txt
05.12.2005 12:27 523 win.ini
05.12.2005 12:27 227 system.ini
05.12.2005 10:40 89.812 wmsetup.log
05.12.2005 07:15 6.400 balloon.wav
04.12.2005 13:39 116 NeroDigital.ini
04.12.2005 11:13 424 lexstat.ini
25.11.2005 07:53 965.301 setupapi.log
11.11.2005 14:00 172.956 setupact.log
11.11.2005 13:53 43.286 Windows Update.log
11.11.2005 10:01 286.474 DirectX.log
07.11.2005 21:08 248 accessdll.log
07.11.2005 19:52 105 avmsysnet.log
07.11.2005 19:51 1.500 avmadd32.log
19.09.2005 18:14 649 GEARInstall.log
14.08.2005 11:10 99.024 MozillaUninstall.exe
05.08.2005 08:59 16.620 SYMEVENT.LOG
29.07.2005 06:19 4.517 rdt.ini
07.07.2005 08:55 6.683 Active Setup Log.txt
11.06.2005 05:08 25 mixerdef.ini
22.05.2005 04:34 1.131 wmsetup10.log
21.05.2005 19:39 316.640 WMSysPr9.prx
23.04.2005 08:24 400 ODBC.INI
23.04.2005 07:28 2.359.350 ACD Hintergrund.bmp
19.04.2005 20:18 501 control.ini
19.04.2005 20:18 308.280 gartenzeit.bmp
25.03.2005 17:19 335 nsreg.dat
23.03.2005 15:57 13 popcinfo.dat
15.03.2005 20:00 286 nsw.log
15.03.2005 14:41 820 OEWABLog.txt

0 Verzeichnis(se), 1.877.426.176 Bytes frei


der 4. :

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B040-2C81

Verzeichnis von C:\

05.12.2005 18:54 0 sys.txt
05.12.2005 18:54 5.221 system.txt
05.12.2005 18:53 389 systemtemp.txt
05.12.2005 18:53 99.231 system32.txt
05.12.2005 15:02 267.964.416 hiberfil.sys
05.12.2005 15:02 402.653.184 pagefile.sys
05.12.2005 12:27 194 boot.ini
22.11.2005 09:34 129 Verknpfung mit 3«-Diskette (A).lnk
19.09.2005 10:15 8.483 fnGetLangString.txt
22.07.2005 08:33 83.789 wialog.txt
15.03.2005 14:29 0 MSDOS.SYS
15.03.2005 14:29 0 CONFIG.SYS
15.03.2005 14:29 0 IO.SYS
15.03.2005 14:29 0 AUTOEXEC.BAT
23.08.2001 13:00 4.952 bootfont.bin
23.08.2001 13:00 45.124 NTDETECT.COM
23.08.2001 13:00 224.032 ntldr
15.07.2000 02:57 15.375 wkhlpqms.hlp
18 Datei(en) 671.104.519 Bytes
0 Verzeichnis(se), 1.877.434.368 Bytes frei


cleanup hat mit über 6000 einträge gelöscht
Seitenanfang Seitenende
06.12.2005, 09:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Baer25j

rechtsklick auf den Link -- Ziel speichern unter.. -- wähle "Desktop" -- speichern (dann erscheint eine wareout.reg auf dem Desktop)

http://virus-protect.org/reg/wareout.reg

-------------------------------------------------------------
gehe in die Registry
Start-->Ausfuehren--> regedit

bearbeiten--> suchen->

Wareout
little_helper2
yaemu
dflnl

LOESCHE ALLES, WAS DU FINDEST

KILLBOX - Pocket KillBox

http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\Programme\little_helper2\little_helper2.exe
C:\WINDOWS\pss\little_helper2.lnk
C:\WINDOWS\system32\favme.exe
C:\WINDOWS\system32\loadctr32.exe
C:\WINDOWS\system32\ntfsnlpa.exe
C:\WINDOWS\system32\csgog.exe
C:\WINDOWS\System32\yaemu.exe
C:\Dokumente und Einstellungen\Tommi\Anwendungsdaten\wo.tmp
C:\WINDOWS\System32\dflnl.exe
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "wareout.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

deinstalliere
Wareout
little_helper2

ueberpruefe, ob das geleoscht ist:

C:\Dokumente und Einstellungen\Tommi\Anwendungsdaten\wo.tmp

--------------------------------------------------------------------
Killbox:
DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\WINDOWS\pss
C:\Programme\little_helper2
C:\Programme\WareOut
-----------------------------------------------------------------------

scanne und poste den scanbericht
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende