Windows Firewall geht nicht mehr!!!

#0
05.12.2005, 22:30
...neu hier

Beiträge: 3
#1 Hey Leute ihr müsst mir unbedingt helfen...
Irgendwie geht meine Windows Firewall nicht mehr aber ich habe keinen plan wieso nicht...
Hier ist mal die LOG- Datei von HiJackThis:
Logfile of HijackThis v1.99.1
Scan saved at 22:09:07, on 05.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133097258421
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)



bitte helft mir diese Probleme zu beheben... Ach ja und schreibt es leicht verständlich bitte ;-)
Seitenanfang Seitenende
05.12.2005, 22:37
Moderator
Avatar hevtig

Beiträge: 2312
#2 Du hast Kerio installiert.

Hat es denn vorher funktioniert? mit 2 Firewalls?
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
05.12.2005, 22:38
...neu hier

Themenstarter

Beiträge: 3
#3 Ich habe es erst installiert als die Windows Firewall ausgefallen ist... außerdem öffnet sich jeden start der Papierkorb
Dieser Beitrag wurde am 05.12.2005 um 22:50 Uhr von ThomasPa1306 editiert.
Seitenanfang Seitenende
05.12.2005, 23:25
Member
Avatar Gool

Beiträge: 4730
#4 Du hast ein Virenproblem:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Hier jeweils ein Häkchen setzen und "fix checked" anklicken.

Mit Killbox (http://managor.de/killbox.htm) folgende Datei löschen:

C:\WINDOWS\system32\scvhost.exe

Wenn der PC neugestartet ist, hoffe ich, dass Regedit nicht komplett deaktiviert wurde.

Start -> Ausführen -> regedit

Wechsle dort in das "Verzeichnis"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

Dort sollte der Eintrag "ImagePath" den Wert "%SystemRoot%\system32\svchost.exe -k netsvcs" haben. Wenn nicht, ändere es entsprechend um. Schließe jetzt Regedit wieder.

Mache einen Scan mit eScanCheck und poste den Bericht (http://managor.de/escan.htm)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
06.12.2005, 13:19
...neu hier

Themenstarter

Beiträge: 3
#5 Hier der Bericht von EScan:

Object "searchexe Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "redv Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "redv Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "clientman Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\DIMM.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Microsoft AntiSpyware\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\Personal Firewall 4\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\Personal Firewall 4\License\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\Personal Firewall 4\DbgHelp\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\Personal Firewall 4\Trans\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\Personal Firewall 4\Config\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Kerio\Personal Firewall 4\Config\IDSRules\". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".mp3-missing". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object "OpenWithList". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "a-squared Free_is1". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Spybot - Search & Destroy_is1". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{536F7C74-844B-4683-B0C5-EA39E19A6FE3}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{A3B4A467-2DA6-404B-9F66-6C6B8DC6DC82}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{B1916B99-23C0-49FE-A473-95425695655A}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{B6F867E8-F092-4C5E-7D72-AC7057DBEF45}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{C6F1E87D-F3E1-4874-97EC-F87DAB6D6878}". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{03819E35-56B6-42BB-9CAD-5A8768D7556B}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{03F3EB8F-BF06-488F-A808-B3A3EAD5C968}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0661FFC2-46C1-45C8-A78D-B85144D83B47}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0DE200BA-4B11-49C4-83F9-9E1F749E5700}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{13973210-8B95-4B00-B4A0-87C7E6854CCE}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{398BD73C-76C2-4376-B595-5B35E4FA5F1D}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{456E55C3-6DC8-4B6A-8E72-D096E7812545}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{46A5C24D-6EE6-438D-B389-3C48C29C2CD0}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{4B718E68-C132-4319-8D3B-750FC01E7C43}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{4C7AAF4A-9414-455F-9D6D-54B3A7069DCF}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{50553481-A590-49D4-98A8-0136244F7F36}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{6A18FCA0-C53C-4AA1-9285-7FD98EE6AEF5}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{83417D49-C236-4946-91A3-67E24F8ABBBE}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{982A83F3-9B4D-4535-9EF6-1B45202390BC}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B130644A-D587-4862-841D-500464FB7DB0}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B26FB0EE-B290-4D33-B44C-3B4A8B2FB29D}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{BAA5FBCF-478D-4A57-AE8C-E94C6640CCAC}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C0655A9E-42C5-45B8-AB83-16C8E4990213}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{D83A9597-7433-4283-AAAF-378CA2031666}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{E0FE17FC-4A33-4F65-88BA-130DF8F1661F}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{E74E4448-8D0A-4EF5-A432-19B0C03D0364}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F555C8FD-FA97-46DF-9D83-3575CE6280B4}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{0E9FFA9E-B267-44DF-BC81-2B08E3977ED5}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{DCB43485-19FB-4D6D-BB3D-73C7F48D5F00}" refers to invalid object "C:\Programme\Messenger\rtcimsp.dll". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.
Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.
Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\ppifile\shell\open\command" refers to invalid object "%SystemRoot%\System32\msppcnfg.exe /Config %1". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
File C:\WINDOWS\system32\7X9eRXc4pY.ini infected by "Backdoor.Win32.Ciadoor.13" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\wsock32.sys infected by "Backdoor.Win32.Ciadoor.13" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\Thomas\LOKALE~1\Temp\Temporäres Verzeichnis 1 für Microsoft_Windows_XP_Service_Pack_2.zip\keyfinder.exe tagged as not-a-virus:pSWTool.Win32.RAS.a. No Action Taken.
File C:\!Submit\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus! Action Taken: No Action Taken.
Seitenanfang Seitenende
06.12.2005, 15:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ThomasPa1306

das System ist hochgradig kompromitiert

Zitat

Backdoor.Win32.Ciadoor
Der Backdoor hat zudem einen Dienst erstellt

Zitat

O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe
und Veraenderungen in der Registry vorgenommen.

Rootkit :
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\7X9eRXc4pY.ini

Du solltest formatieren

geholt hast du dir den Backdoor wahrscheinlich auf einer Warez-Seite, als du

C:\DOKUME~1\T\LOKALE~1\Temp\Temporäres Verzeichnis 1 für Microsoft_Windows_XP_Service_Pack_2.zip\keyfinder.exe

geladen hast.

Investiere 70 Euro... fuer eine legale XP-Version .....die 70 hast du doch sicherlich ??????? Und alles laeuft, wie es soll.................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2006, 22:21
Member
Avatar Dwayne

Beiträge: 12
#7 Habe das selbe prob ... kann meine windows-firewall auch nicht mehr starten ... habe gekaufte WinXP-Pro ... also alles original

Hier mein Log von Hijack

Logfile of HijackThis v1.99.1
Scan saved at 22:11:51, on 01.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MOZILLA\MOZILLA.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Tobias\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - Default URLSearchHook is missing
O1 - Hosts: 134.76.252.196 l2testauthd.lineage2.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2A3E7CE8-3A2B-4259-8AD8-1D8DFFCE94A9} - C:\WINDOWS\system32\ieakui32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [VF0060 STISvc] RunDLL32.exe V0060Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\MOZILLA\MOZILLA.EXE" -turbo
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/17a8b7c7e6259b6e5e20/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1058058597843
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143919383484
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: avpe32 - avpe32.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Habe leider keine ahnung wie ich das nachgucken ob alles in ordnung ist ... aber dafür frage ich ja hier nach ^^ ... danke euch schonmal
__________
~Um Deine Fähigkeiten Zu Nutzen, Musst Du Sie Erst Erkennen~
Seitenanfang Seitenende
02.04.2006, 14:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Dwayne

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - Default URLSearchHook is missing
O1 - Hosts: 134.76.252.196 l2testauthd.lineage2.com
O2 - BHO: (no name) - {2A3E7CE8-3A2B-4259-8AD8-1D8DFFCE94A9} - C:\WINDOWS\system32\ieakui32.dll
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file)
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: avpe32 - avpe32.dll (file missing)

PC neustarten

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> hier posten

3.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.04.2006, 18:12
Member
Avatar Dwayne

Beiträge: 12
#9 Nach den HijackThis Fixen kommt nun immer eine Fehlermeldung:

Microsoft Windows

Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt.
Für diesen Fehler wurde ein Protokoll erstellt.
Für weitere Informationen zu diesem Fehler, klicken Sie hier.

(neues Fenster öffnet sich)

Microsoft Windows

Problemsignatur
BCCode : 100000d1 BCP1 : F7E2409C BCP2 : 00000002 BCP3 : 00000000
BCP4 : F7BFFF75 OSVer : 5_1_2600 SP : 2_0 Product : 256_1

Um technische Informationen zu dem Problembericht zu sehen, klicken Sie hier

(neues Fenster öffnet sich)

Problemberichtinhalt

Die folgenden Dateien werden in Ihren Problembericht aufgenommen:

C:\DOKUME~1\Tobias\LOKALE~1\Temp\WER7c0d.dir00\Mini121405-01.dmp
C:\DOKUME~1\Tobias\LOKALE~1\Temp\WER7c0d.dir00\sysdata.xml

(Jedes mal wenn ich das Fenster versuche zu schießen öffnet sich ein neues wodurch sich die Problemsignatur und Problemberichtinhalt sich ständig ändert.)

----------------------------------------------------------------------------

1. Durch CleanUp habe ich nun 287MB mehr platz ^^

----------------------------------------------------------------------------

2.

04/02/06 17:49:43 [Info]: BlackLight Engine 1.0.33 initialized
04/02/06 17:49:43 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/02/06 17:49:44 [Note]: 7019 4
04/02/06 17:49:44 [Note]: 7005 0
04/02/06 17:49:46 [Note]: 7006 0
04/02/06 17:49:46 [Note]: 7011 1696
04/02/06 17:49:46 [Note]: FSRAW library version 1.7.1015
04/02/06 17:52:35 [Note]: 7007 0

-----------------------------------------------------------------------------

3.

C:\WINDOWS\system32 (ab das Jahr 2006)

01.04.2006 22:10 400.624 perfh009.dat
01.04.2006 22:10 62.286 perfc009.dat
01.04.2006 22:10 415.124 perfh007.dat
01.04.2006 22:10 74.988 perfc007.dat
01.04.2006 22:10 965.398 PerfStringBackup.INI
01.04.2006 21:43 13.646 wpa.dbl
28.03.2006 16:38 380.040 FNTCACHE.DAT
21.03.2006 21:00 21.840 SIntfNT.dll
21.03.2006 21:00 17.212 SIntf32.dll
21.03.2006 21:00 12.067 SIntf16.dll
09.03.2006 16:21 4.799.320 MRT.exe
14.02.2006 10:20 550.120 LegitCheckControl.dll
08.02.2006 02:45 18.944 xpsp3res.dll
01.02.2006 04:50 3.033.088 mshtml.dll
18.01.2006 14:05 57.344 avsda.dll
09.01.2006 20:01 205.312 dxtrans.dll
09.01.2006 20:01 1.056.256 danim.dll
09.01.2006 20:01 474.624 shlwapi.dll
09.01.2006 20:01 96.768 inseng.dll
09.01.2006 20:01 55.808 extmgr.dll
09.01.2006 20:01 1.492.480 shdocvw.dll
09.01.2006 20:01 152.064 cdfview.dll
09.01.2006 20:01 614.400 urlmon.dll
09.01.2006 20:01 448.512 mshtmled.dll
09.01.2006 20:01 1.022.976 browseui.dll
09.01.2006 20:01 530.944 mstime.dll
09.01.2006 20:01 146.432 msrating.dll
09.01.2006 20:01 251.392 iepeers.dll
09.01.2006 20:01 664.064 wininet.dll
09.01.2006 20:01 39.424 pngfilt.dll
08.01.2006 05:19 320 stt82.ini
08.01.2006 05:19 914 ps.a3d

04.01.2006 05:35 68.096 webclnt.dll
02.01.2006 18:00 0 klgcptini.dat

C:\DOKUME~1\Tobias\LOKALE~1\Temp

02.04.2006 17:55 201 jusched.log
1 Datei(en) 201 Bytes
0 Verzeichnis(se), 12.386.680.832 Bytes frei

C:\WINDOWS (ab das Jahr 2006)

02.04.2006 17:52 159 wiadebug.log
02.04.2006 17:52 50 wiaservc.log
02.04.2006 17:45 0 0.log
02.04.2006 17:45 1.548.881 WindowsUpdate.log
02.04.2006 17:44 2.048 bootstat.dat
02.04.2006 17:43 32.544 SchedLgU.Txt
01.04.2006 22:06 32.731 spupdsvc.log
01.04.2006 22:02 27.637 tabletoc.log
01.04.2006 22:02 324.216 tsoc.log
01.04.2006 22:02 1.100.762 iis6.log
01.04.2006 22:02 37.340 ocmsn.log
01.04.2006 22:02 220.493 comsetup.log
01.04.2006 22:02 17.098 KB904942.log
01.04.2006 22:02 148.338 ntdtcsetup.log
01.04.2006 22:02 1.355 imsins.log
01.04.2006 22:02 33.116 msgsocm.log
01.04.2006 22:02 47.336 medctroc.Log
01.04.2006 22:02 428.908 ocgen.log
01.04.2006 22:02 109.298 netfxocm.log
01.04.2006 22:02 594.261 FaxSetup.log
01.04.2006 22:02 271.750 msmqinst.log
01.04.2006 22:02 39.002 updspapi.log
01.04.2006 22:01 1.355 imsins.BAK
01.04.2006 22:01 19.796 KB912945.log
01.04.2006 22:01 7.179 WMCSetup.log
01.04.2006 22:01 458.205 setupapi.log
01.04.2006 22:01 4.117 basecsp.log
01.04.2006 22:01 9.288 KB902344.log
01.04.2006 20:10 51.448 WGA.log
30.03.2006 17:34 912 PT2000G.INI
30.03.2006 16:41 178.156 wmsetup.log
30.03.2006 16:36 54.156 QTFont.qfn
24.03.2006 11:23 116 NeroDigital.ini
07.03.2006 18:58 833 win.ini
07.03.2006 18:23 131 Sierra.ini
21.02.2006 13:55 2.172 regopt.log
15.02.2006 23:34 10.708 KB911927.log
15.02.2006 23:34 8.262 KB911564.log
15.02.2006 23:34 8.563 KB911565.log
15.02.2006 23:34 9.856 KB901190.log
15.02.2006 23:34 6.688 KB913446.log
09.02.2006 19:56 227 system.ini
26.01.2006 22:55 249.856 Setup1.exe
26.01.2006 22:55 73.216 ST6UNST.EXE
15.01.2006 16:40 329 nsw.log
12.01.2006 17:03 1.409 QTFont.for
12.01.2006 17:01 182.437 setupact.log
11.01.2006 17:33 737.280 iun6002.exe
11.01.2006 16:40 10.127 KB908519.log
08.01.2006 05:37 166.373 DirectX.log
06.01.2006 03:04 10.977 KB912919.log
04.01.2006 16:20 94.208 rtpmsi32.dll
02.01.2006 17:58 0 uniq

C:\ (ab das Jahr 2006)

02.04.2006 18:09 0 sys.txt
02.04.2006 18:07 10.638 system.txt
02.04.2006 18:05 293 systemtemp.txt
02.04.2006 18:03 110.568 system32.txt
02.04.2006 17:44 1.610.612.736 pagefile.sys
15.01.2006 15:52 104 shutdown.log

Anhang: Bild.JPG

__________
~Um Deine Fähigkeiten Zu Nutzen, Musst Du Sie Erst Erkennen~
Seitenanfang Seitenende
02.04.2006, 22:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Dwayne

da ist ein Haxdoor auf dem System

Zitat

08.01.2006 05:19 320 stt82.ini
08.01.2006 05:19 914 ps.a3d
04.01.2006 05:35 68.096 webclnt.dll
02.01.2006 18:00 0 klgcptini.dat
Lade die haxfix.exe http://users.telenet.be/marcvn/tools/haxfix.exe runter.
Speichere sie auf deinem Desktop.

Schliesse alle anderen Programme und schliesse alle offenen Fensterchen.

Mach einen Doppelklick auf die haxfix.exe um die Installation zu starten. (normalerweise verwendet man den Ordner C:\Programme\haxfix)

Wenn die Installation beendet ist, sorge dafür, dass ein Häkchen bei "Launch HaxFix" gesetzt ist.

Nun öffnet sich ein rotes Dos Fensterchen.

Wenn der Bericht kommt (er kommt zweimal):
Insert the haxdoor notify subkey without the numbers, and then press enter:

tippst du folgendes ein: den Unterschlüssel : avpe (also nur die Buchstaben avpe ohne die 32) Drücke auf Enter.

Nun wird der Rechner gescannt, ob bestimmte Dienste installiert sind, die für diese Infektion ausschlaggebend sind. Wenn nichts gefunden wird, bekommst du die Meldung: No infection found. Dann hört das Programm auf zu laufen.

Werden aber doch Dienste gefunden, auch wenn es nur ein einziger ist, wirst du gebeten alle Fensterchen zu schliessen, denn der Rechner wird nun neu aufstarten. Schliesse also alle geöffneten Fensterchen, ausser dem roten Dos Fensterchen vom Haxfix. Das muss auf bleiben. Drücke dann wieder auf enter. Der Rechner wird nun wieder neu aufstarten.

Wenn der Rechner wieder hochgefahren ist, suchst du die Datei c:\haxfix.txt Diese Datei ist das Logfile vom HaxFix und gibt an, was gefunden und gelöscht worden ist, in Bezug auf diese Infektion.

----------------------------------------------------

Poste diese Datei...dann sehen wir weiter
+
poste die 4 logs von Datfindbat bis Anfang Dezember
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2006, 20:17
Member
Avatar Dwayne

Beiträge: 12
#11 SO sorry das ich mich länger nicht mehr gemeldet habe doch ich war auf Montage in Belgien und konnte daher nicht mehr ins I-net. So habe es runter geladen und habe das Programm gestartet und den scan durchgeführt.

Und hier das ergebniss:

HAXFIX logfile - by Marckie
--------------
version 2.31
14.04.2006 20:16:28,42

checking for ps.a3d....
ps.a3d is present!

checking for p2s2.a3d....
p2s2.a3d not found

checking for matching notify keys....
no matching notify keys found

checking for matching services....
matching services found
ASPI32
avpe32
avpe64

checking for matching safeboot services....
matching safeboot services found
avpe32.sys
avpe64.sys

von datFind.bat:

system32;)ab Dezember 2005 rest s.o)

29.12.2005 04:54 280.064 gdi32.dll
19.12.2005 00:20 23.392 nscompat.tlb
19.12.2005 00:20 16.832 amcompat.tlb
14.12.2005 10:24 118.784 sirenacm.dll
07.12.2005 19:05 716.800 divxdec.ax
07.12.2005 19:05 573.952 DivX.dll
07.12.2005 19:05 679.936 divx_xx07.dll
07.12.2005 19:05 679.936 divx_xx0c.dll
07.12.2005 19:05 663.552 divx_xx11.dll
06.12.2005 07:02 5.533.696 wmp.dll
05.12.2005 22:51 10.716 dsm_ja.qm
05.12.2005 22:51 15.331 dsm_de.qm
05.12.2005 22:51 15.172 dsm_fr.qm
05.12.2005 19:09 2.323.664 d3dx9_28.dll
05.12.2005 19:07 61.136 xinput9_1_0.dll
05.12.2005 07:12 61.440 pxhpinst.exe
03.12.2005 16:38 7.006 jupdate-1.5.0_06-b05.log

systemtemp.txt:

nix vorhanden

system.txt: (ab Dezember 2005 rest s.o.)

19.12.2005 00:20 467 wmsetup10.log
19.12.2005 00:19 316.640 WMSysPr9.prx
19.12.2005 00:06 13.310 KB888656.log
15.12.2005 21:03 1.562 ATIWDM.LOG
15.12.2005 20:01 9.894 KB910437.log
15.12.2005 20:00 16.208 KB905915.log
10.12.2005 22:46 261 game.ini

sys.txt: (ab November [Dezember war nix] 2005 rest s.o.)

10.11.2005 18:10 211 boot.ini
03.11.2005 00:11 130 CtDrvIns.log
__________
~Um Deine Fähigkeiten Zu Nutzen, Musst Du Sie Erst Erkennen~
Dieser Beitrag wurde am 14.04.2006 um 20:31 Uhr von Dwayne editiert.
Seitenanfang Seitenende
14.04.2006, 20:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Dwayne

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

avpe32

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

avpe64


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

ASPI32

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

-------------------------
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
poste dieses Log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2006, 20:39
Member
Avatar Dwayne

Beiträge: 12
#13 avpe32:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 14.04.2006 20:36:03 for strings:
; 'avpe32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpe32.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpe32.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\avpe32.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\avpe32.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpe32.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpe32.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe32\Enum]

; End Of The Log...

avpe64:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 14.04.2006 20:37:41 for strings:
; 'avpe64'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpe64.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpe64.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe32]
; Contents of value:
; \??\C:\WINDOWS\system32\avpe64.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,61,76,70,65,36,34,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe64]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe64]
; Contents of value:
; \??\C:\WINDOWS\system32\avpe64.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,61,76,70,65,36,34,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe64\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\avpe64.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\avpe64.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe32]
; Contents of value:
; \??\C:\WINDOWS\system32\avpe64.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,61,76,70,65,36,34,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe64]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe64]
; Contents of value:
; \??\C:\WINDOWS\system32\avpe64.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,61,76,70,65,36,34,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe64\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpe64.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpe64.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe32]
; Contents of value:
; \??\C:\WINDOWS\system32\avpe64.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,61,76,70,65,36,34,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe64]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe64]
; Contents of value:
; \??\C:\WINDOWS\system32\avpe64.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,61,76,70,65,36,34,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe64\Security]

; End Of The Log...

ASPI32:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 14.04.2006 20:39:59 for strings:
; 'aspi32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4D4277F459254D1188BE0005AD53970C]
"467B7D4A04144D1188BE0005AD53970C"="C:\\Programme\\ahead\\Nero\\WNASPI32.DLL"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ASPI32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ASPI32\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ASPI32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ASPI32\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASPI32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASPI32\Parameters]

; End Of The Log...
__________
~Um Deine Fähigkeiten Zu Nutzen, Musst Du Sie Erst Erkennen~
Seitenanfang Seitenende
15.04.2006, 13:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Dwayne

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

C:\WINDOWS\rtpmsi32.dll
C:\WINDOWS\system32\ieakui32.dll

poste hier das Ergebnis
---------------------------------------------------------------

0.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\avpe64.sys
C:\WINDOWS\system32\avpe32.sys
C:\WINDOWS\system32\ieakui32.dll
C:\WINDOWS\uniq
C:\WINDOWS\system32\stt82.ini
C:\WINDOWS\system32\ps.a3d
C:\WINDOWS\system32\klgcptini.dat
klicke die "gruene Ampel"
das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten

poste bitte das Log vom Avenger

01.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

1.
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
poste dieses Log

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpe32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpe32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe32\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe32\Enum]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\avpe32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\avpe32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe32\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpe32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpe32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe32\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe32\Enum]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpe64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpe64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpe64\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\avpe64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\avpe64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpe64\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpe64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpe64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe64]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpe64\Security]


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

Zitat


3.
dann ueberpruefe noch mal, ob die Reg-Eintraege geloescht sind


Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

avpe32

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

avpe64

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 15:40
Member
Avatar Dwayne

Beiträge: 12
#15 Einzelne Dateien scannen:

This is a report processed by VirusTotal on 04/15/2006 at 14:27:40 (CET) after scanning the file "rtpmsi32.dll" file.

Antivirus Version Update Result
AntiVir 6.34.0.24 04.15.2006 no virus found
Avast 4.6.695.0 04.03.2006 no virus found
AVG 386 04.14.2006 no virus found
Avira 6.34.0.56 04.15.2006 no virus found
BitDefender 7.2 04.15.2006 no virus found
CAT-QuickHeal 8.00 04.14.2006 no virus found
ClamAV devel-20060202 04.15.2006 no virus found
DrWeb 4.33 04.15.2006 no virus found
eTrust-InoculateIT 23.71.130 04.14.2006 no virus found
eTrust-Vet 12.4.2162 04.13.2006 no virus found
Ewido 3.5 04.15.2006 no virus found
Fortinet 2.71.0.0 04.14.2006 no virus found
F-Prot 3.16c 04.13.2006 no virus found
Ikarus 0.2.59.0 04.14.2006 no virus found
Kaspersky 4.0.2.24 04.15.2006 no virus found
McAfee 4741 04.14.2006 no virus found
NOD32v2 1.1490 04.15.2006 no virus found
Norman 5.90.15 04.14.2006 no virus found
Panda 9.0.0.4 04.15.2006 no virus found
Sophos 4.04.0 04.15.2006 no virus found
Symantec 8.0 04.15.2006 no virus found
TheHacker 5.9.7.129 04.13.2006 no virus found
UNA 1.83 04.14.2006 no virus found
VBA32 3.10.5 04.14.2006 no virus found

Norman Scanner Engine 5.90. 7
Sandbox 05.90, dated 8/03-2006

Your message ID (for later reference): 20060415-1058

rtpmsi32.dll : Not detected by sandbox (Signature: NO_VIRUS)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 94208 bytes.
* MD5 hash: c3b7b788dad72a2821d085d46c9c05de.


(C) 2004-2006 Norman ASA. All Rights Reserved.
The material presented is distributed by Norman ASA as an information source only.

Sent by dwayne84@web.de to sandbox.
Received 15.Apr 2006 at 14.58 - processed 15.Apr 2006 at 14.59.

Die Datei "ieakui32.dll" befindet sich nicht auf mein Rechner.

-----------------------------------------------------------------------------

Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wsnlnxcm

*******************

Script file located at: \??\C:\WINDOWS\system32\pakdgwih.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\avpe64.sys not found!
Deletion of file C:\WINDOWS\system32\avpe64.sys failed!

Could not process line:
C:\WINDOWS\system32\avpe64.sys
Status: 0xc0000034



File C:\WINDOWS\system32\avpe32.sys not found!
Deletion of file C:\WINDOWS\system32\avpe32.sys failed!

Could not process line:
C:\WINDOWS\system32\avpe32.sys
Status: 0xc0000034



File C:\WINDOWS\system32\ieakui32.dll not found!
Deletion of file C:\WINDOWS\system32\ieakui32.dll failed!

Could not process line:
C:\WINDOWS\system32\ieakui32.dll
Status: 0xc0000034

File C:\WINDOWS\uniq deleted successfully.
File C:\WINDOWS\system32\stt82.ini deleted successfully.
File C:\WINDOWS\system32\ps.a3d deleted successfully.
File C:\WINDOWS\system32\klgcptini.dat deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

-----------------------------------------------------------------------------

RootkitRevealer:

HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 26.11.2005 12:11 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 26.11.2005 12:15 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\Vax347s\Config\jdgg40 17.03.2006 15:38 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Tobias\Desktop\Neuer Ordner\RootkitRevealer.chm 15.04.2006 15:08 99.77 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Tobias\Desktop\Neuer Ordner\RootkitRevealer.exe 15.04.2006 15:08 232.08 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Tobias\Desktop\RootkitRevealer.chm 07.12.2005 14:19 99.77 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Tobias\Desktop\RootkitRevealer.exe 01.02.2006 17:02 232.08 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 15.04.2006 14:53 132 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\plugtmp 15.04.2006 15:08 0 bytes Hidden from Windows API.
C:\System Volume Information\_restore{EBD53076-356C-4038-9593-EB4DB435F1C5}\RP628\A0134434.ini 15.04.2006 13:01 1.04 KB Hidden from Windows API.
C:\System Volume Information\_restore{EBD53076-356C-4038-9593-EB4DB435F1C5}\RP628\A0134435.ini 15.04.2006 13:01 10.58 KB Hidden from Windows API.
C:\System Volume Information\_restore{EBD53076-356C-4038-9593-EB4DB435F1C5}\RP628\A0134436.ini 15.04.2006 13:01 92 bytes Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 12.02.2006 21:42 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 12.02.2006 21:42 111.50 KB Visible in Windows API, but not in MFT or directory index.

-----------------------------------------------------------------------------

Registry Search: (avpe32)

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 15.04.2006 15:37:36 for strings:
; 'avpe32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVPE32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVPE32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVPE32\0000]
"Service"="avpe32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AVPE32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AVPE32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AVPE32\0000]
"Service"="avpe32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVPE32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVPE32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVPE32\0000]
"Service"="avpe32"

; End Of The Log...

Registry Search: (avpe64)

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 15.04.2006 15:39:03 for strings:
; 'avpe64'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
__________
~Um Deine Fähigkeiten Zu Nutzen, Musst Du Sie Erst Erkennen~
Seitenanfang Seitenende