Bräuchte Unterstützung beim Entfernen von SpySheriff

Thema ist geschlossen!
Thema ist geschlossen!
#0
27.01.2006, 18:30
Member

Beiträge: 19
#1 Hallo,
Bin nun mittlerweile zum zweiten mal Opfer des SpySheriffs geworden innerhalb von nur 3 Wochen! Hatte es beim ersten mal aufgegeben und meine Festplatte neu formatiert. Gestern nun zeigte mir Sophos plötzlich zich meldungen an, es wurde der und der Trojaner/Virus entdeckt. Und schwupps.. schon hatte ich wieder dass SpySheriff-Symbol auf meinem Rechner. Grrrr.... ;) Kann es sein dass die meine IP kennen und meinen rechner direkt attakiert haben?? Hab nämlich keinerlei verdächtigen mails oder Dateien geöffnet. Mein Rechner hängt in einem Netzwerk und mir wurde gesagt, die Serverfirewall würde gut funktionieren. Das scheint allerdings nicht der fall zu sein.

Wäre klasse, wenn ihr mir beim Entfernen des Sheriffs helfen könntet, da ich wenig lust habe, die ganze formatierungsprozedur noch einmal durchzuführen.

Hab bereits den CCleaner und die datfind.bat ausgeführt, jedoch passiert beim doppelklick auf silentrunners.vbs an meinem Rechner nichts und es kommt auch keine Fehlermeldung!? Ein Eintrag Enabled in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings gibt es jedoch nicht.

Hier die 4 Textdateien:

Verzeichnis von D:\WINNT\system32

27.01.2006 10:07 235.772 CAVFAT.DLL
27.01.2006 10:04 235.772 p04ulah91d4.dll
27.01.2006 09:53 235.772 m4rmle911h.dll
26.01.2006 20:38 235.772 fuamebuf.dll
26.01.2006 20:28 235.772 mwr.dll
26.01.2006 20:16 235.772 dlkquoui.dll
26.01.2006 20:12 234.272 e2jm0c11ef.dll
26.01.2006 19:59 45.110 wmedia32.exe
26.01.2006 19:55 687.592 atmtd.dll._
26.01.2006 19:55 687.592 atmtd.dll
26.01.2006 19:54 479.232 msupdate32.dll
26.01.2006 19:53 7.285 paytime.exe
26.01.2006 19:53 7.507 400.exe
26.01.2006 19:53 1.921.380 explore.exe
26.01.2006 19:53 105.472 networknbh.exe

26.01.2006 17:00 99.848 FNTCACHE.DAT
23.01.2006 14:49 118.784 pdfmona.dll
23.01.2006 14:49 51.716 pdf995mon.dll
23.01.2006 11:44 49.152 cdrtc.dll
23.01.2006 11:44 45.056 cdral.dll
16.01.2006 19:32 176.167 rmoc3260.dll
16.01.2006 19:32 5.632 pndx5032.dll
16.01.2006 19:32 6.656 pndx5016.dll
16.01.2006 19:32 278.528 pncrt.dll
16.01.2006 14:39 2.170 spupdsvc.log
16.01.2006 14:39 314 spupdw2k.log
16.01.2006 13:53 2.951 CONFIG.NT
16.01.2006 13:53 16.832 amcompat.tlb
16.01.2006 13:53 23.392 nscompat.tlb
16.01.2006 13:52 289.156 perfh007.dat
16.01.2006 13:52 300.378 perfh009.dat
16.01.2006 13:52 38.036 perfc009.dat
16.01.2006 13:52 46.232 perfc007.dat
16.01.2006 13:52 21.817 folder.htt
16.01.2006 13:52 271 desktop.ini
16.01.2006 13:51 525 mapisvc.inf
16.01.2006 13:51 15.076 emptyregdb.dat
16.01.2006 13:35 303.354 PerfStringBackup_001.INI
16.01.2006 13:35 303.354 PerfStringBackup.INI
16.01.2006 13:34 301 $winnt$.inf
29.11.2005 16:16 98.576 ctxsetup.exe
02.11.2005 00:44 127.574 tsuninst.exe

Verzeichnis von D:\DOKUME~1\wittasms\LOKALE~1\Temp

Verzeichnis von D:\

27.01.2006 17:45 0 sys.txt
27.01.2006 17:45 2.024 system2.txt
27.01.2006 17:44 4.648 system.txt
27.01.2006 17:43 140 systemtemp.txt
27.01.2006 17:41 86.763 system32.txt
27.01.2006 10:06 805.306.368 pagefile.sys
26.01.2006 20:17 1.921.380 explore.exe
26.01.2006 20:17 7.507 400.exe



Verzeichnis von D:\WINNT

27.01.2006 12:30 50.912 iconu.exe
27.01.2006 10:02 24.296 icont.exe

26.01.2006 20:51 1.285.470 ShellIconCache
26.01.2006 20:00 0 tool1.exe
26.01.2006 19:59 3.072 secure32.html
26.01.2006 19:59 72.019 kl.exe
26.01.2006 19:56 6.352 SchedLgU.Txt
26.01.2006 19:54 780 hosts
26.01.2006 19:54 1.024 tool5.exe
26.01.2006 19:54 1.024 tool4.exe
26.01.2006 19:54 2.560 tool3.exe
26.01.2006 19:53 1.999 desktop.html
26.01.2006 19:53 0 uniq

26.01.2006 12:05 919 ODBC.INI
26.01.2006 12:04 421 win.ini
26.01.2006 11:59 37 vbaddin.ini
25.01.2006 13:45 14.799 mozver.dat
23.01.2006 14:49 48 wpd99.drv
23.01.2006 14:49 28 pdf995.ini
23.01.2006 11:44 57.344 uneng.exe
23.01.2006 11:43 316.640 WMSysPr9.prx
16.01.2006 19:28 121 Winamp.ini
16.01.2006 16:41 41.039 nsreg.dat
16.01.2006 16:32 0 netscape.INI
16.01.2006 16:08 107.132 UninstallThunderbird.exe
16.01.2006 15:16 107.132 UninstallFirefox.exe
16.01.2006 14:49 564 Register Sound Blaster PCI128 (Drivers Only) Web Release.lnk
16.01.2006 14:02 8.192 REGLOCS.OLD
16.01.2006 13:53 0 control.ini
16.01.2006 13:52 4.073 ODBCINST.INI
16.01.2006 13:52 271 desktop.ini
16.01.2006 13:52 21.817 folder.htt
16.01.2006 13:50 36 vb.ini
16.01.2006 13:39 39 ModemDet.txt
16.01.2006 13:35 231 system.ini
03.01.2006 17:45 1.989 uninstall_nmon.vbs
Seitenanfang Seitenende
29.01.2006, 01:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

D:\WINNT\system32\CAVFAT.DLL
D:\WINNT\system32\p04ulah91d4.dll
D:\WINNT\system32\m4rmle911h.dll
D:\WINNT\system32\fuamebuf.dll
D:\WINNT\system32\mwr.dll
D:\WINNT\system32\dlkquoui.dll
D:\WINNT\system32\e2jm0c11ef.dll
D:\WINNT\system32\wmedia32.exe
D:\WINNT\system32\atmtd.dll._
D:\WINNT\system32\atmtd.dll
D:\WINNT\system32\msupdate32.dll
D:\WINNT\system32\paytime.exe
D:\WINNT\system32\400.exe
D:\WINNT\system32\explore.exe
D:\WINNT\system32\networknbh.exe
D:\explore.exe
D:\400.exe
D:\WINNT\iconu.exe
D:\WINNT\icont.exe
D:\WINNT\tool1.exe
D:\WINNT\secure32.html
D:\WINNT\kl.exe
D:\WINNT\hosts
D:\WINNT\tool5.exe
D:\WINNT\tool4.exe
D:\WINNT\tool3.exe
D:\WINNT\desktop.html
D:\WINNT\uniq
D:\WINNT\uninstall_nmon.vbs

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

scanne mit ewido und kopiere den scanreport
http://virus-protect.org/ewido.html

danach:

kopiere das log von Winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.01.2006, 02:43
Member

Themenstarter

Beiträge: 19
#3 Killbox
Datei D:\WINNT\system32\m4rmle911h.dll war nicht mehr da.

Dafür folgende neuen dll-Dateien:

Verzeichnis von D:\WINNT\system32

29.01.2006 01:51 235.883 iXssdo.dll
29.01.2006 01:51 0 atmtd.dll.tmp
29.01.2006 01:48 235.772 fp2o03f3e.dll
29.01.2006 01:09 235.883 dnjm0111e.dll
26.01.2006 17:00 99.848 FNTCACHE.DAT


Hier die Logs:

---------------------------------------------------------
ewido anti-malware - Scan Report---------------------------------------------------------

+ Erstellt am: 02:18:34, 29.01.2006
+ Report-Checksumme: 5241E0C

+ Scanergebnis:

HKLM\SOFTWARE\Classes\.s3d -> Spyware.BrilliantDigital : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{44BE0690-5429-47F0-85BB-3FFD8020233E} -> Spyware.UCmore : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\s3d_auto_file -> Spyware.BrilliantDigital : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\s3d_auto_file\DefaultIcon -> Spyware.BrilliantDigital : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\s3d_auto_file\shell -> Spyware.BrilliantDigital : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\s3d_auto_file\shell\open -> Spyware.BrilliantDigital : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\s3d_auto_file\shell\open\command -> Spyware.BrilliantDigital : Gesäubert mit Backup
HKLM\SOFTWARE\Effective-i -> Spyware.EffectiveBrandToolbar : Gesäubert mit Backup
HKLM\SOFTWARE\Effective-i\TheSearchAccelerator -> Spyware.EffectiveBrandToolbar : Gesäubert mit Backup
HKLM\SOFTWARE\Effective-i\TheSearchAccelerator\IE5 -> Spyware.EffectiveBrandToolbar : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{44BE0690-5429-47f0-85BB-3FFD8020233E} -> Spyware.UCmore : Gesäubert mit Backup
HKU\.DEFAULT\Software\Effective-i -> Spyware.EffectiveBrandToolbar : Gesäubert mit Backup
HKU\.DEFAULT\Software\Effective-i\TheSearchAccelerator -> Spyware.EffectiveBrandToolbar : Gesäubert mit Backup
HKU\.DEFAULT\Software\Effective-i\TheSearchAccelerator\IE5 -> Spyware.EffectiveBrandToolbar : Gesäubert mit Backup
HKU\.DEFAULT\Software\Maxthon\Plugin\toolbar\{44BE0690-5429-47f0-85BB-3FFD8020233E} -> Spyware.UCmore : Gesäubert mit Backup
[116] C:\winnt\system32\dllcache\userlist.exe -> Backdoor.Iroffer.14b2 : Gesäubert mit Backup
[980] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Gesäubert mit Backup
[716] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern
[416] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern
[1164] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern
[1176] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern
[1212] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern
[1216] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern
[1308] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern
[1412] D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Fehler beim Säubern
C:\winnt\system32\dllcache\FireDaemon.exe -> Backdoor.SdBot.nj : Gesäubert mit Backup
C:\winnt\system32\dllcache\runbatch.exe -> Backdoor.ServU-based : Gesäubert mit Backup
C:\winnt\system32\dllcache\userlist.exe -> Backdoor.Iroffer.14b2 : Gesäubert mit Backup
C:\windows\system32\dllcache\FireDaemon.exe -> Backdoor.SdBot.nj : Gesäubert mit Backup
C:\windows\system32\dllcache\runbatch.exe -> Backdoor.ServU-based : Gesäubert mit Backup
C:\windows\system32\dllcache\userlist.exe -> Backdoor.Iroffer.14b2 : Gesäubert mit Backup
C:\MTE3NDI6ODoxNg.exe -> Downloader.Small.buy : Gesäubert mit Backup
C:\stub_113_4_0_4_0.exe -> Downloader.TSUpdate.o : Gesäubert mit Backup
C:\Installer.exe -> Spyware.Look2Me : Gesäubert mit Backup
C:\ucmoreiex.exe/UCMTSAIE.DLL -> Spyware.UCmore : Gesäubert mit Backup
C:\ucmoreiex.exe/IUCMORE.DLL -> Spyware.UCmore : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\networknbh.000 -> Backdoor.Rbot.adf : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\ms1.000 -> Downloader.Tiny.al : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\ms1[1].000 -> Downloader.Tiny.al : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\mspostsp.000 -> Trojan.Inject.i : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\mspostsp.001 -> Trojan.Inject.i : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\NETWOR~1.001 -> Backdoor.Rbot.adf : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\ms1.001 -> Downloader.Tiny.al : Gesäubert mit Backup
D:\!KillBox\CAVFAT.DLL -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\dlkquoui.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\e2jm0c11ef.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\fuamebuf.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\icont.exe -> Spyware.AdURL : Gesäubert mit Backup
D:\!KillBox\iconu.exe -> Spyware.Zestyfind : Gesäubert mit Backup
D:\!KillBox\msupdate32.dll -> Proxy.Agent.ij : Gesäubert mit Backup
D:\!KillBox\mwr.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\networknbh.exe -> Backdoor.Rbot.adf : Gesäubert mit Backup
D:\!KillBox\tool4.exe -> Trojan.Small : Gesäubert mit Backup
D:\!KillBox\tool5.exe -> Trojan.Small : Gesäubert mit Backup
D:\Dokumente und Einstellungen\administrator\Cookies\administrator@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
D:\Dokumente und Einstellungen\administrator\Cookies\administrator@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
D:\Dokumente und Einstellungen\administrator\Cookies\administrator@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VE3Y5U7\AppWrap[1].exe -> Spyware.AdURL : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VE3Y5U7\tool5[1].txt -> Trojan.Small : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\AppWrap[1].exe -> Spyware.AdURL : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\AppWrap[2].exe -> Spyware.Zestyfind : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\Installer[1].exe -> Spyware.Look2Me : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\stub_113_4_0_4_0[1].exe -> Downloader.TSUpdate.o : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\tool4[1].txt -> Trojan.Small : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\ucmoreiex[1].exe/UCMTSAIE.DLL -> Spyware.UCmore : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\ucmoreiex[1].exe/IUCMORE.DLL -> Spyware.UCmore : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBC7E9SZ\MTE3NDI6ODoxNg[1].exe -> Downloader.Small.buy : Gesäubert mit Backup
D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\CAVFAT.DLL -> Spyware.Look2Me : Gesäubert mit Backup
D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\dlkquoui.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\e2jm0c11ef.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\fuamebuf.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\msupdate32.dll -> Proxy.Agent.ij : Gesäubert mit Backup
D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\mwr.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\Programme\Gemeinsame Dateien\okui\okuia.exe -> Downloader.TSUpdate.l : Gesäubert mit Backup
D:\Programme\Gemeinsame Dateien\okui\okuid\okuic.dll -> Downloader.Small : Gesäubert mit Backup
D:\Programme\Gemeinsame Dateien\okui\okuil.exe -> Downloader.TSUpdate.p : Gesäubert mit Backup
D:\Programme\Gemeinsame Dateien\okui\okuim.exe -> Downloader.TSUpdate.n : Gesäubert mit Backup
D:\Programme\Gemeinsame Dateien\okui\okuip.exe -> Downloader.TSUpdate.f : Gesäubert mit Backup
D:\Programme\TheSearchAccelerator\IUCmore.dll -> Spyware.UCmore : Gesäubert mit Backup
D:\Programme\TheSearchAccelerator\UCMTSAIE.dll -> Spyware.UCmore : Gesäubert mit Backup
D:\WINNT\system32\aysnw.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\WINNT\system32\dn4m01h1e.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\WINNT\system32\iNsrad.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd : Gesäubert mit Backup
D:\WINNT\TVc\command.exe -> Adware.CommAd : Gesäubert mit Backup


::Report Ende



WINPFIND-LOG


»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows 2000 Current Build: Service Pack 4 Current Build Number: 2195
Internet Explorer Version: 5.00.3700.1000

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 09.08.2005 23:14:00 692736 D:\WINNT\SYSTEM32\DivX.dll
PECompact2 09.08.2005 23:14:00 692736 D:\WINNT\SYSTEM32\DivX.dll
Umonitor 19.06.2003 12:05:04 549648 D:\WINNT\SYSTEM32\RASDLG.DLL
winsync 10.12.1999 13:00:00 1309184 D:\WINNT\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in D:\WINNT\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
16.01.2006 13:52:36 H 271 D:\WINNT\desktop.ini
16.01.2006 13:52:36 H 21817 D:\WINNT\folder.htt
27.01.2006 19:20:38 H 1284042 D:\WINNT\ShellIconCache
29.01.2006 01:51:40 S 64 D:\WINNT\CSC\00000001
29.01.2006 01:09:04 S 64 D:\WINNT\CSC\00000002
28.01.2006 03:21:46 S 64 D:\WINNT\CSC\csc1.tmp
16.01.2006 13:52:36 H 65 D:\WINNT\Downloaded Program Files\desktop.ini
16.01.2006 13:52:58 HS 67 D:\WINNT\Fonts\desktop.ini
16.01.2006 13:52:36 H 65 D:\WINNT\Offline Web Pages\desktop.ini
16.01.2006 13:54:12 H 122880 D:\WINNT\repair\ntuser.dat
16.01.2006 13:52:36 H 271 D:\WINNT\system32\desktop.ini
29.01.2006 01:10:00 R S 235883 D:\WINNT\system32\dnjm0111e.dll
16.01.2006 13:52:36 H 21817 D:\WINNT\system32\folder.htt
29.01.2006 01:49:00 R S 235772 D:\WINNT\system32\fp2o03f3e.dll
29.01.2006 01:51:50 R S 235883 D:\WINNT\system32\iXssdo.dll
29.01.2006 02:18:04 H 1024 D:\WINNT\system32\config\default.LOG
29.01.2006 01:51:44 H 1024 D:\WINNT\system32\config\SAM.LOG
29.01.2006 02:01:46 H 1024 D:\WINNT\system32\config\SECURITY.LOG
29.01.2006 02:23:46 H 1024 D:\WINNT\system32\config\software.LOG
16.01.2006 14:33:16 H 1024 D:\WINNT\system32\config\system.LOG
16.01.2006 14:33:12 H 0 D:\WINNT\system32\config\TempKey.LOG
16.01.2006 14:33:18 H 1024 D:\WINNT\system32\config\userdiff.LOG
16.01.2006 14:38:50 HS 336 D:\WINNT\system32\Microsoft\Protect\S-1-5-18\User\eee4af2a-ff7b-43c5-bd53-3fa973b2af18
16.01.2006 14:38:50 HS 24 D:\WINNT\system32\Microsoft\Protect\S-1-5-18\User\Preferred
29.01.2006 01:51:36 H 6 D:\WINNT\Tasks\SA.DAT
16.01.2006 13:52:38 H 842 D:\WINNT\Web\bullet.gif
16.01.2006 13:52:36 H 90056 D:\WINNT\Web\classic.bmp
16.01.2006 13:52:36 H 634 D:\WINNT\Web\classic.htt
16.01.2006 13:52:36 H 4732 D:\WINNT\Web\controlp.htt
16.01.2006 13:52:36 H 5943 D:\WINNT\Web\default.htt
16.01.2006 13:52:36 H 830 D:\WINNT\Web\deskmovr.htt
16.01.2006 13:52:36 H 9163 D:\WINNT\Web\dialup.htt
16.01.2006 13:52:38 H 2642 D:\WINNT\Web\exclam.gif
16.01.2006 13:52:36 H 31080 D:\WINNT\Web\folder.bmp
16.01.2006 13:52:36 H 3210 D:\WINNT\Web\folder.htt
16.01.2006 13:52:36 H 19396 D:\WINNT\Web\fsresult.htt
16.01.2006 13:52:36 H 17081 D:\WINNT\Web\imgview.htt
16.01.2006 13:52:38 H 56 D:\WINNT\Web\mincold.gif
16.01.2006 13:52:38 H 77 D:\WINNT\Web\minhot.gif
16.01.2006 13:52:36 H 13439 D:\WINNT\Web\nethood.htt
16.01.2006 13:52:38 H 59 D:\WINNT\Web\pluscold.gif
16.01.2006 13:52:38 H 80 D:\WINNT\Web\plushot.gif
16.01.2006 13:52:36 H 31080 D:\WINNT\Web\preview.bmp
16.01.2006 13:52:36 H 13977 D:\WINNT\Web\printers.htt
16.01.2006 13:52:36 H 11342 D:\WINNT\Web\recycle.htt
16.01.2006 13:52:36 H 3050 D:\WINNT\Web\safemode.htt
16.01.2006 13:52:36 H 6578 D:\WINNT\Web\schedule.htt
16.01.2006 13:52:36 H 28747 D:\WINNT\Web\standard.htt
16.01.2006 13:52:36 H 31080 D:\WINNT\Web\starter.bmp
16.01.2006 13:52:36 H 1031 D:\WINNT\Web\starter.htt
16.01.2006 13:52:36 H 1316 D:\WINNT\Web\webview.css
16.01.2006 13:52:36 H 31564 D:\WINNT\Web\webview.js
16.01.2006 13:52:36 H 8248 D:\WINNT\Web\wvleft.bmp
16.01.2006 13:52:36 H 54 D:\WINNT\Web\wvline.gif
16.01.2006 13:52:36 H 14865 D:\WINNT\Web\wvlogo.gif
16.01.2006 13:52:38 H 12403 D:\WINNT\Web\wvnet.gif

Checking for CPL files...
Microsoft Corporation 10.12.1999 13:00:00 68880 D:\WINNT\SYSTEM32\access.cpl
Microsoft Corporation 19.06.2003 12:05:04 304912 D:\WINNT\SYSTEM32\appwiz.cpl
Microsoft Corporation 19.06.2003 12:05:04 242448 D:\WINNT\SYSTEM32\DESK.CPL
Microsoft Corporation 10.12.1999 13:00:00 130832 D:\WINNT\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 19.06.2003 12:05:04 257808 D:\WINNT\SYSTEM32\inetcpl.cpl
Microsoft Corporation 10.12.1999 13:00:00 121616 D:\WINNT\SYSTEM32\intl.cpl
Microsoft Corporation 10.12.1999 13:00:00 36624 D:\WINNT\SYSTEM32\irprops.cpl
Microsoft Corporation 10.12.1999 13:00:00 61712 D:\WINNT\SYSTEM32\joy.cpl
Sun Microsystems 20.02.2003 16:42:34 229487 D:\WINNT\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 10.12.1999 13:00:00 122640 D:\WINNT\SYSTEM32\main.cpl
Microsoft Corporation 10.12.1999 13:00:00 307472 D:\WINNT\SYSTEM32\mmsys.cpl
Microsoft Corporation 10.12.1999 13:00:00 17168 D:\WINNT\SYSTEM32\ncpa.cpl
Microsoft Corporation 10.12.1999 13:00:00 42256 D:\WINNT\SYSTEM32\nwc.cpl
Microsoft Corporation 19.06.2003 12:05:04 41232 D:\WINNT\SYSTEM32\odbccp32.cpl
Microsoft Corporation 19.06.2003 12:05:04 92432 D:\WINNT\SYSTEM32\powercfg.cpl
13.06.2000 13:30:10 49664 D:\WINNT\SYSTEM32\spss_lmd.cpl
Microsoft Corporation 19.06.2003 12:05:04 83728 D:\WINNT\SYSTEM32\sticpl.cpl
Microsoft Corporation 19.06.2003 12:05:04 129296 D:\WINNT\SYSTEM32\SYSDM.CPL
Microsoft Corporation 10.12.1999 13:00:00 5904 D:\WINNT\SYSTEM32\telephon.cpl
Microsoft Corporation 10.12.1999 13:00:00 61200 D:\WINNT\SYSTEM32\timedate.cpl
Microsoft Corporation 19.06.2003 12:05:04 54784 D:\WINNT\SYSTEM32\wuaucpl.cpl
IBM Corporation 07.10.1999 01:12:54 94720 D:\WINNT\SYSTEM32\dllcache\mwcpa32.cpl
Microsoft Corporation 10.12.1999 13:00:00 42256 D:\WINNT\SYSTEM32\dllcache\nwc.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
20.01.2006 09:59:26 1559 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
26.01.2006 12:38:16 453 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterCheck Monitor.lnk
26.01.2006 12:03:24 1560 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
16.01.2006 19:23:44 432 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Remote Update Monitor.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...

Checking files in %USERPROFILE%\Startup folder...

Checking files in %USERPROFILE%\Application Data folder...

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{6B728068-E166-48D9-B3F9-A6909107BD4E} = D:\WINNT\system32\DPCPSAPI.DLL
{16561998-762D-4E0A-9817-0B08334FC16A} = D:\WINNT\system32\iXssdo.dll
{E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F} = D:\WINNT\system32\guard.tmp
{87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9} = D:\WINNT\system32\guard.tmp
{2B3B511A-7480-4BB7-8A65-241551BDF845} = D:\WINNT\system32\guard.tmp
{B6FED087-FC0F-4F7B-9336-6E1685AF93E8} = D:\WINNT\system32\guard.tmp

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = D:\Programme\ewido anti-malware\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\shell32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = D:\Programme\ewido anti-malware\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= D:\WINNT\System32\docprop2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7f9609be-af9a-11d1-83e0-00c04fb6e984}
= %SystemRoot%\system32\faxshell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{884EA37B-37C0-11d2-BE3F-00A0C9A83DA1}
= D:\WINNT\System32\docprop2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = @msdxmLC.dll,-1@1031,&Radio : D:\WINNT\System32\msdxm.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}
ButtonText = Spyware Doctor :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File and Folders Search ActiveX Control = D:\WINNT\system32\shell32.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\System32\browseui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Synchronization Manager mobsync.exe /logon
TkBellExe "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
NvCplDaemon RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
Microsoft Network Neighbourhood networknbh.exe
PayTime D:\WINNT\system32\paytime.exe
winsysupd c:\windows\winsysupd3.exe
winsysban C:\windows\winsysban3.exe
myupdates c:\windows\myupdates.exe
ntdll.dll D:\WINNT\system32\paytime.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
Microsoft Network Neighbourhood networknbh.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
internat.exe internat.exe
Shell "D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
SpySheriff C:\Program Files\SpySheriff\SpySheriff.exe
Spyware Doctor "D:\Programme\Spyware Doctor\swdoctor.exe" /Q

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\AdminComponent

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun •
CDRAutoRun 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
Network.ConnectionTray {7007ACCF-3202-11D1-AAD2-00805FC1270E} = D:\WINNT\system32\NETSHELL.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = D:\WINNT\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msupdate
= msupdate32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ShellScrap
= D:\WINNT\system32\dnjm0111e.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sndu32
= sndu32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif
= wzcdlg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs NVDESK32.DLL


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 29.01.2006 02:25:28



Freundlicher Gruß und eine gute Nacht
Matthias
Dieser Beitrag wurde am 29.01.2006 um 02:46 Uhr von Double Helix editiert.
Seitenanfang Seitenende
29.01.2006, 15:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 loesche mit der Killbox:

D:\WINNT\system32\dnjm0111e.dll
D:\WINNT\system32\atmtd.dll.tmp
D:\WINNT\system32\fp2o03f3e.dll
D:\WINNT\system32\DPCPSAPI.DLL
D:\WINNT\system32\iXssdo.dll
C:\Program Files\SpySheriff\SpySheriff.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.dll
D:\WINNT\system32\paytime.exe
c:\windows\winsysupd3.exe
C:\windows\winsysban3.exe
c:\windows\myupdates.exe
D:\WINNT\system32\networknbh.exe
D:\WINNT\system32\paytime.exe
D:\WINNT\system32\guard.tmp

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

loesche manuell:
C:\Program Files\SpySheriff
D:\WINNT\TVc

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
notepad files.txt
L2mfix--> kopiere das log von Option 1
http://virus-protect.org/l2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.01.2006, 17:01
Member

Themenstarter

Beiträge: 19
#5 Verzeichnis von D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

30.01.2006 16:42 <DIR> .
30.01.2006 16:42 <DIR> ..
26.01.2006 12:03 <DIR> 1031
26.01.2006 12:02 <DIR> 1033
26.01.2006 19:59 52.224 ibm00004.dll
14.02.2001 21:45 1.318.912 MSONSEXT.DLL
13.02.2001 00:23 58.784 MSOSV.DLL
18.03.1999 18:46 127.032 MSOWS407.DLL
03.06.1999 11:09 122.937 MSOWS409.DLL
06.08.2000 09:04 401.462 MSVCP60.DLL
22.01.2001 03:25 69.632 PKMAXCTL.DLL
22.01.2001 03:25 872.448 PKMCDO.DLL
22.01.2001 03:25 159.744 PKMCORE.DLL
07.02.2001 09:59 106.496 PKMFORMS.DLL
12.02.2001 04:01 692.224 PKMRES.DLL
22.01.2001 03:25 28.672 PKMSSTLB.DLL
22.01.2001 03:25 40.960 PKMTEMPL.DLL
22.01.2001 03:25 24.576 PKMTRACE.DLL
22.01.2001 03:25 86.016 PKMWS.DLL
22.01.2001 03:25 237.568 PROMDEMO.DLL
29.04.1999 21:00 593.977 RAGENT.DLL
22.01.2001 03:25 184.320 SECMGR.DLL
22.01.2001 03:25 323.584 VAIDDMGR.DLL
22.01.2001 03:25 32.768 VAIMEM.DLL
20 Datei(en) 5.534.336 Bytes
4 Verzeichnis(se), 3.402.067.968 Bytes frei
Datentr„ger in Laufwerk D: hat keine Bezeichnung.
Datentr„gernummer: 1CE5-D211

Verzeichnis von D:\Programme\Gemeinsame Dateien

27.01.2006 10:12 <DIR> .
27.01.2006 10:12 <DIR> ..
23.01.2006 11:44 <DIR> Adaptec Shared
16.01.2006 14:45 <DIR> Adobe
26.01.2006 12:02 <DIR> Designer
16.01.2006 13:52 <DIR> Dienste
17.01.2005 13:05 <DIR> InstallShield
26.01.2006 12:03 <DIR> Microsoft Shared
16.01.2006 13:35 <DIR> ODBC
26.01.2006 19:55 <DIR> okui
16.01.2006 19:32 <DIR> Real
26.01.2006 12:01 <DIR> System
27.01.2006 10:12 <DIR> Wise Installation Wizard
16.01.2006 19:32 <DIR> xing shared
0 Datei(en) 0 Bytes
14 Verzeichnis(se), 3.402.002.432 Bytes frei



L2MFIX find log 010406
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\App Management]
"Asynchronous"=dword:00000000
"DllName"="D:\\WINNT\\system32\\mvnol9531.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msupdate]
"DllName"="msupdate32.dll"
"Startup"="WinlogonStartupEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sndu32]
"secureUID"="[10143350086985862174]"
"DllName"=hex(2):73,00,6e,00,64,00,75,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\
00,00
"Startup"="MMXChckIDT"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{A91F194D-E034-CDEB-C4F0-17907F38F764}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shell-Erweiterungen fr Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL-Erweiterung"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shell-Erweiterungen fr Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shell-Erweiterungen fr die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shell-Erweiterungen fr Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerk- und DFš-Verbindungen"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{1A9BA3A0-143A-11CF-8350-444553540000}"="Shell Favorite Folder"
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="Arbeitsplatz"
"{86747AC0-42A0-1069-A2E6-08002B30309D}"="Aktenkoffer"
"{0AFACED1-E828-11D1-9187-B532F1E9575D}"="Ordnerverknpfung"
"{12518493-00B2-11d2-9FA5-9E3420524153}"="Bereitgestellter Datentr„ger"
"{21B22460-3AEA-1069-A2DC-08002B30309D}"="File Property Page Extension"
"{B091E540-83E3-11CF-A713-0020AFD79762}"="File Types Page"
"{FBF23B41-E3F0-101B-8488-00AA003E56F8}"="MIME File Types Hook"
"{C2FBB630-2971-11d1-A18C-00C04FD75D13}"="Microsoft CopyTo Service"
"{C2FBB631-2971-11d1-A18C-00C04FD75D13}"="Microsoft MoveTo Service"
"{13709620-C279-11CE-A49E-444553540000}"="Shell Automationsdienst"
"{62112AA1-EBE4-11cf-A5FB-0020AFE7292D}"="Shell Automation Folder View"
"{4622AD11-FF23-11d0-8D34-00A0C90F2719}"="Startmen"
"{7BA4C740-9E81-11CF-99D3-00AA004AE837}"="Microsoft SendTo Service"
"{D969A300-E7FF-11d0-A93B-00A0C90F2719}"="Microsoft New Object Service"
"{09799AFB-AD67-11d1-ABCD-00C04FC30936}"="Open With Context Menu Handler"
"{3FC0B520-68A9-11D0-8D77-00C04FD70822}"="Display Control Panel HTML Extensions"
"{75048700-EF1F-11D0-9888-006097DEACF9}"="ActiveDesktop"
"{6D5313C0-8C62-11D1-B2CD-006097DF8C11}"="Folder Options Property Page Extension"
"{57651662-CE3E-11D0-8D77-00C04FC99D61}"="CmdFileIcon"
"{4657278A-411B-11d2-839A-00C04FD918D0}"="Shell Drag & Drop-Hilfe"
"{A470F8CF-A1E8-4f65-8335-227475AA5C46}"="Verschlsselungselemente zu den Kontextmens im Explorer hinzufgen"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{568804CA-CBD7-11d0-9816-00C04FD91972}"="Menu Shell Folder"
"{5b4dae26-b807-11d0-9815-00c04fd91972}"="Menu Band"
"{8278F931-2A3E-11d2-838F-00C04FD918D0}"="Tracking Shell Menu"
"{E13EF4E4-D2F2-11d0-9816-00C04FD91972}"="Menu Site"
"{ECD4FC4F-521C-11D0-B792-00A0C90312E1}"="Menu Desk Bar"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Merge Shell Folder"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{D82BE2B0-5764-11D0-A96E-00C04FD705A2}"="IShellFolderBand"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Microsoft SearchBand"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{0E5CBF21-D15F-11d0-8301-00AA005B4383}"="&Links"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7487cd30-f71a-11d0-9ea7-00805f714772}"="Thumbnail Image"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Zwischenspeicher-Ordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{8BEBB290-52D0-11D0-B7F4-00C04FD706EC}"="Miniaturansicht"
"{EAB841A0-9550-11CF-8C16-00805F1408F3}"="HTML Thumbnail Extractor"
"{1AEB1360-5AFC-11D0-B806-00C04FD706EC}"="Office Graphics Filters Thumbnail Extractor"
"{9DBD2C50-62AD-11D0-B806-00C04FD706EC}"="Summary Info Thumbnail handler (DOCFILES)"
"{500202A0-731E-11D0-B829-00C04FD706EC}"="LNK file thumbnail interface delegator"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8C-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channel Shortcut"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{fe1290f0-cfbd-11cf-a330-00aa00c16e65}"="Directory Namespace"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{450D8FBA-AD25-11D0-98A8-0800361B1103}"="MyDocs Folder"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Offline Files Folder"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{6B728068-E166-48D9-B3F9-A6909107BD4E}"=""
"{16561998-762D-4E0A-9817-0B08334FC16A}"=""
"{E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F}"=""
"{87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9}"=""
"{2B3B511A-7480-4BB7-8A65-241551BDF845}"=""
"{B6FED087-FC0F-4F7B-9336-6E1685AF93E8}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{6B728068-E166-48D9-B3F9-A6909107BD4E}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{6B728068-E166-48D9-B3F9-A6909107BD4E}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{6B728068-E166-48D9-B3F9-A6909107BD4E}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{6B728068-E166-48D9-B3F9-A6909107BD4E}\InprocServer32]
@="D:\\WINNT\\system32\\DPCPSAPI.DLL"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{16561998-762D-4E0A-9817-0B08334FC16A}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{16561998-762D-4E0A-9817-0B08334FC16A}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{16561998-762D-4E0A-9817-0B08334FC16A}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{16561998-762D-4E0A-9817-0B08334FC16A}\InprocServer32]
@="D:\\WINNT\\system32\\nx4.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F}\InprocServer32]
@="D:\\WINNT\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9}\InprocServer32]
@="D:\\WINNT\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{2B3B511A-7480-4BB7-8A65-241551BDF845}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{2B3B511A-7480-4BB7-8A65-241551BDF845}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{2B3B511A-7480-4BB7-8A65-241551BDF845}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{2B3B511A-7480-4BB7-8A65-241551BDF845}\InprocServer32]
@="D:\\WINNT\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{B6FED087-FC0F-4F7B-9336-6E1685AF93E8}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B6FED087-FC0F-4F7B-9336-6E1685AF93E8}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B6FED087-FC0F-4F7B-9336-6E1685AF93E8}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B6FED087-FC0F-4F7B-9336-6E1685AF93E8}\InprocServer32]
@="D:\\WINNT\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

D:\WINNT\SYSTEM32\
anicap32.dll Mon 30 Jan 2006 11:12:16 ..S.R 234.012 228,53 K
c400le~1.dll Mon 30 Jan 2006 16:43:28 ..S.R 236.375 230,83 K
cdral.dll Mon 23 Jan 2006 11:44:16 A.... 45.056 44,00 K
cdrtc.dll Mon 23 Jan 2006 11:44:16 A.... 49.152 48,00 K
irnol5~1.dll Mon 30 Jan 2006 16:55:00 ..S.R 236.726 231,18 K
mtfaxmon.dll Mon 30 Jan 2006 16:43:28 ..S.R 235.371 229,85 K
mvnol9~1.dll Mon 30 Jan 2006 11:12:16 ..S.R 235.371 229,85 K
nx4.dll Mon 30 Jan 2006 16:55:00 ..S.R 235.371 229,85 K
pdf995~1.dll Mon 23 Jan 2006 14:49:12 A.... 51.716 50,50 K
pdfmona.dll Mon 23 Jan 2006 14:49:12 A.... 118.784 116,00 K
pncrt.dll Mon 16 Jan 2006 19:32:02 A.... 278.528 272,00 K
pndx5016.dll Mon 16 Jan 2006 19:32:04 A.... 6.656 6,50 K
pndx5032.dll Mon 16 Jan 2006 19:32:04 A.... 5.632 5,50 K
rmoc3260.dll Mon 16 Jan 2006 19:32:22 A.... 176.167 172,04 K

14 items found: 14 files (6 H/S), 0 directories.
Total of file sizes: 2.144.917 bytes 2,04 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Datentr„ger in Laufwerk D: hat keine Bezeichnung.
Datentr„gernummer: 1CE5-D211

Verzeichnis von D:\WINNT\System32

30.01.2006 16:54 235.371 nx4.dll
30.01.2006 16:54 236.726 irnol5531.dll
30.01.2006 16:43 235.371 mtfaxmon.dll
30.01.2006 16:43 236.375 c400ledm1h0a.dll
30.01.2006 11:12 234.012 anicap32.dll
30.01.2006 11:12 235.371 mvnol9531.dll
23.01.2006 11:43 <DIR> dllcache
6 Datei(en) 1.413.226 Bytes
1 Verzeichnis(se), 3.401.527.296 Bytes frei
Seitenanfang Seitenende
30.01.2006, 20:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 dann loesche noch (manuell oder mit der killbox)

D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll
D:\WINNT\System32\nx4.dll
D:\WINNT\System32\irnol5531.dll
D:\WINNT\System32\mtfaxmon.dll
D:\WINNT\System32\c400ledm1h0a.dll
D:\WINNT\System32\anicap32.dll
D:\WINNT\System32\mvnol9531.dll
D:\WINNT\system32\guard.tmp

PC neustarten

loeschen:
D:\Programme\Gemeinsame Dateien\okui

NUN ARBEITE 0PTION 2 AB... und poste nach neustart und scan den scanreport
http://virus-protect.org/l2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.01.2006, 10:22
Member

Themenstarter

Beiträge: 19
#7 Hier die log aus l2mfix option 2:

L2mfix 010406
Creating Account.
Der Befehl wurde erfolgreich ausgefhrt.


Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
zip warning: name not matched: dlls\*.*

zip error: Nothing to do! (backup.zip)
adding: backregs/16561998-762D-4E0A-9817-0B08334FC16A.reg (164 bytes security) (deflated 70%)
adding: backregs/2B3B511A-7480-4BB7-8A65-241551BDF845.reg (164 bytes security) (deflated 70%)
adding: backregs/6B728068-E166-48D9-B3F9-A6909107BD4E.reg (164 bytes security) (deflated 69%)
adding: backregs/87AE25A1-38CA-4A6F-9F10-B584BDBA3FB9.reg (164 bytes security) (deflated 70%)
adding: backregs/B6FED087-FC0F-4F7B-9336-6E1685AF93E8.reg (164 bytes security) (deflated 70%)
adding: backregs/E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F.reg (164 bytes security) (deflated 70%)
adding: backregs/notibac.reg (152 bytes security) (deflated 72%)
adding: backregs/shell.reg (152 bytes security) (deflated 74%)

Scanreport (l2mfix Option 1)
L2MFIX find log 010406
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\H323TSP]
"Asynchronous"=dword:00000000
"DllName"="D:\\WINNT\\system32\\ir66l5js1.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{A91F194D-E034-CDEB-C4F0-17907F38F764}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shell-Erweiterungen fr Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL-Erweiterung"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shell-Erweiterungen fr Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shell-Erweiterungen fr die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shell-Erweiterungen fr Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerk- und DFš-Verbindungen"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{1A9BA3A0-143A-11CF-8350-444553540000}"="Shell Favorite Folder"
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="Arbeitsplatz"
"{86747AC0-42A0-1069-A2E6-08002B30309D}"="Aktenkoffer"
"{0AFACED1-E828-11D1-9187-B532F1E9575D}"="Ordnerverknpfung"
"{12518493-00B2-11d2-9FA5-9E3420524153}"="Bereitgestellter Datentr„ger"
"{21B22460-3AEA-1069-A2DC-08002B30309D}"="File Property Page Extension"
"{B091E540-83E3-11CF-A713-0020AFD79762}"="File Types Page"
"{FBF23B41-E3F0-101B-8488-00AA003E56F8}"="MIME File Types Hook"
"{C2FBB630-2971-11d1-A18C-00C04FD75D13}"="Microsoft CopyTo Service"
"{C2FBB631-2971-11d1-A18C-00C04FD75D13}"="Microsoft MoveTo Service"
"{13709620-C279-11CE-A49E-444553540000}"="Shell Automationsdienst"
"{62112AA1-EBE4-11cf-A5FB-0020AFE7292D}"="Shell Automation Folder View"
"{4622AD11-FF23-11d0-8D34-00A0C90F2719}"="Startmen"
"{7BA4C740-9E81-11CF-99D3-00AA004AE837}"="Microsoft SendTo Service"
"{D969A300-E7FF-11d0-A93B-00A0C90F2719}"="Microsoft New Object Service"
"{09799AFB-AD67-11d1-ABCD-00C04FC30936}"="Open With Context Menu Handler"
"{3FC0B520-68A9-11D0-8D77-00C04FD70822}"="Display Control Panel HTML Extensions"
"{75048700-EF1F-11D0-9888-006097DEACF9}"="ActiveDesktop"
"{6D5313C0-8C62-11D1-B2CD-006097DF8C11}"="Folder Options Property Page Extension"
"{57651662-CE3E-11D0-8D77-00C04FC99D61}"="CmdFileIcon"
"{4657278A-411B-11d2-839A-00C04FD918D0}"="Shell Drag & Drop-Hilfe"
"{A470F8CF-A1E8-4f65-8335-227475AA5C46}"="Verschlsselungselemente zu den Kontextmens im Explorer hinzufgen"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{568804CA-CBD7-11d0-9816-00C04FD91972}"="Menu Shell Folder"
"{5b4dae26-b807-11d0-9815-00c04fd91972}"="Menu Band"
"{8278F931-2A3E-11d2-838F-00C04FD918D0}"="Tracking Shell Menu"
"{E13EF4E4-D2F2-11d0-9816-00C04FD91972}"="Menu Site"
"{ECD4FC4F-521C-11D0-B792-00A0C90312E1}"="Menu Desk Bar"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Merge Shell Folder"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{D82BE2B0-5764-11D0-A96E-00C04FD705A2}"="IShellFolderBand"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Microsoft SearchBand"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{0E5CBF21-D15F-11d0-8301-00AA005B4383}"="&Links"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7487cd30-f71a-11d0-9ea7-00805f714772}"="Thumbnail Image"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Zwischenspeicher-Ordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{8BEBB290-52D0-11D0-B7F4-00C04FD706EC}"="Miniaturansicht"
"{EAB841A0-9550-11CF-8C16-00805F1408F3}"="HTML Thumbnail Extractor"
"{1AEB1360-5AFC-11D0-B806-00C04FD706EC}"="Office Graphics Filters Thumbnail Extractor"
"{9DBD2C50-62AD-11D0-B806-00C04FD706EC}"="Summary Info Thumbnail handler (DOCFILES)"
"{500202A0-731E-11D0-B829-00C04FD706EC}"="LNK file thumbnail interface delegator"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8C-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channel Shortcut"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{fe1290f0-cfbd-11cf-a330-00aa00c16e65}"="Directory Namespace"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{450D8FBA-AD25-11D0-98A8-0800361B1103}"="MyDocs Folder"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Offline Files Folder"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{73B8785D-2544-44FA-8906-19177E75369C}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{73B8785D-2544-44FA-8906-19177E75369C}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{73B8785D-2544-44FA-8906-19177E75369C}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{73B8785D-2544-44FA-8906-19177E75369C}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{73B8785D-2544-44FA-8906-19177E75369C}\InprocServer32]
@="D:\\WINNT\\system32\\dykquoui.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

D:\WINNT\SYSTEM32\
cdral.dll Mon 23 Jan 2006 11:44:16 A.... 45.056 44,00 K
cdrtc.dll Mon 23 Jan 2006 11:44:16 A.... 49.152 48,00 K
dykquoui.dll Tue 31 Jan 2006 10:07:56 ..S.R 237.036 231,48 K
ir66l5~1.dll Tue 31 Jan 2006 9:53:32 ..S.R 237.036 231,48 K
irpol5~1.dll Tue 31 Jan 2006 9:59:52 ..S.R 233.935 228,45 K
k8800i~1.dll Tue 31 Jan 2006 10:07:54 ..S.R 237.124 231,57 K
maricons.dll Tue 31 Jan 2006 9:53:32 ..S.R 235.371 229,85 K
pdf995~1.dll Mon 23 Jan 2006 14:49:12 A.... 51.716 50,50 K
pdfmona.dll Mon 23 Jan 2006 14:49:12 A.... 118.784 116,00 K
pncrt.dll Mon 16 Jan 2006 19:32:02 A.... 278.528 272,00 K
pndx5016.dll Mon 16 Jan 2006 19:32:04 A.... 6.656 6,50 K
pndx5032.dll Mon 16 Jan 2006 19:32:04 A.... 5.632 5,50 K
pqofmap.dll Tue 31 Jan 2006 9:59:54 ..S.R 237.036 231,48 K
rmoc3260.dll Mon 16 Jan 2006 19:32:22 A.... 176.167 172,04 K

14 items found: 14 files (6 H/S), 0 directories.
Total of file sizes: 2.149.229 bytes 2,05 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Datentr„ger in Laufwerk D: hat keine Bezeichnung.
Datentr„gernummer: 1CE5-D211

Verzeichnis von D:\WINNT\System32

31.01.2006 10:07 237.036 dykquoui.dll
31.01.2006 10:07 237.124 k8800ilme8qa0.dll
31.01.2006 09:59 237.036 pqofmap.dll
31.01.2006 09:59 233.935 irpol5731.dll
31.01.2006 09:53 235.371 maricons.dll
31.01.2006 09:53 237.036 ir66l5js1.dll
23.01.2006 11:43 <DIR> dllcache
6 Datei(en) 1.417.538 Bytes
1 Verzeichnis(se), 3.396.460.544 Bytes frei


Gruß
Matthias
Seitenanfang Seitenende
31.01.2006, 15:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 das ist das log von Option 1... du musst Option 2 waehlen, dann nach neustart und scan--> poste den richtigen Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.01.2006, 17:18
Member

Themenstarter

Beiträge: 19
#9 Ich hoffe das ist der ScanReport den du meintest.

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 17:12:22, 31.01.2006
+ Report-Checksumme: FA4F3AFA

+ Scanergebnis:

[188] D:\WINNT\system32\ir06l5ds1.dll -> Spyware.Look2Me : Fehler beim Säubern
[532] D:\Programme\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Gesäubert mit Backup
[1252] D:\WINNT\system32\aathz.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\winnt\system32\dllcache\sys.BAT -> Trojan.NoShare : Gesäubert mit Backup
C:\windows\system32\dllcache\sys.BAT -> Trojan.NoShare : Gesäubert mit Backup
C:\drsmartload1.exe -> Downloader.Adload.j : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\ibm00001.000 -> Logger.Agent.jl : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\tool2[1].000 -> Not-A-Virus.Hoax.Win32.Renos.av : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\tool2.000 -> Not-A-Virus.Hoax.Win32.Renos.av : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\winstall.000 -> Not-A-Virus.Hoax.Win32.Renos.av : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\toolbar[1].000 -> Downloader.Adload.j : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\toolbar.000 -> Downloader.Adload.j : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\sndu32.000 -> Backdoor.Haxdoor.gf : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\qm.000 -> Backdoor.Haxdoor.gf : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\winsysupd3[1].000 -> Hijacker.StartPage.ahg : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\winsysupd3.000 -> Hijacker.StartPage.ahg : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\winsysban3[1].000 -> Hijacker.VB.kc : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\winsysban3.000 -> Hijacker.VB.kc : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\WINSYS~1.001 -> Hijacker.StartPage.ahg : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\WINSYS~2.001 -> Hijacker.VB.kc : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\winstall.001 -> Not-A-Virus.Hoax.Win32.Renos.av : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\ibm00003.000 -> Logger.Agent.jl : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\tool2.001 -> Not-A-Virus.Hoax.Win32.Renos.av : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\toolbar.001 -> Downloader.Adload.j : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\WINSYS~2.002 -> Hijacker.VB.kc : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\WINSYS~2.003 -> Hijacker.VB.kc : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\winsysban3.001 -> Hijacker.VB.kc : Gesäubert mit Backup
C:\Program Files\Sophos\Infected\WINSYS~2.004 -> Hijacker.VB.kc : Gesäubert mit Backup
D:\!KillBox\400.exe -> Downloader.Small.cgl : Gesäubert mit Backup
D:\!KillBox\anicap32.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\c400ledm1h0a.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\dykquoui.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\guard.tmp -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\ibm00003.dll -> Logger.Agent.jo : Gesäubert mit Backup
D:\!KillBox\ibm00004.dll -> Logger.Agent.jo : Gesäubert mit Backup
D:\!KillBox\irnol5531.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\irpol5731.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\kl.exe -> Logger.Small.dg : Gesäubert mit Backup
D:\!KillBox\maricons.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\mtfaxmon.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\myupdates.exe -> Downloader.Adload.l : Gesäubert mit Backup
D:\!KillBox\paytime.exe -> Hijacker.StartPage.agp : Gesäubert mit Backup
D:\!KillBox\pqofmap.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\!KillBox\tool3.exe -> Downloader.Small.chc : Gesäubert mit Backup
D:\!KillBox\wmedia32.exe -> Logger.Banker.arm : Gesäubert mit Backup
D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VE3Y5U7\myupdates[1].exe -> Downloader.Adload.l : Gesäubert mit Backup
D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\botton[1].jpe -> Dropper.Agent.abu : Gesäubert mit Backup
D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\country[1].html -> Logger.Banker.arm : Gesäubert mit Backup
D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\drsmartload[1].exe -> Downloader.Adload.j : Gesäubert mit Backup
D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\loadadv400[1].exe -> Downloader.Small.cgl : Gesäubert mit Backup
D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\tool1[1].txt -> Trojan.Agent.of : Gesäubert mit Backup
D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\kl[1].txt -> Logger.Small.dg : Gesäubert mit Backup
D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\paytime[1].txt -> Hijacker.StartPage.agp : Gesäubert mit Backup
D:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBC7E9SZ\tool3[1].txt -> Downloader.Small.chc : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VE3Y5U7\myupdates[1].exe -> Downloader.Adload.l : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\botton[1].jpe -> Dropper.Agent.abu : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\country[1].html -> Logger.Banker.arm : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\drsmartload[1].exe -> Downloader.Adload.j : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\loadadv400[1].exe -> Downloader.Small.cgl : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\tool1[1].txt -> Trojan.Agent.of : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\kl[1].txt -> Logger.Small.dg : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\paytime[1].txt -> Hijacker.StartPage.agp : Gesäubert mit Backup
D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBC7E9SZ\tool3[1].txt -> Downloader.Small.chc : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VE3Y5U7\myupdates[1].exe -> Downloader.Adload.l : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\botton[1].jpe -> Dropper.Agent.abu : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\country[1].html -> Logger.Banker.arm : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\drsmartload[1].exe -> Downloader.Adload.j : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\loadadv400[1].exe -> Downloader.Small.cgl : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\tool1[1].txt -> Trojan.Agent.of : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\kl[1].txt -> Logger.Small.dg : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\paytime[1].txt -> Hijacker.StartPage.agp : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBC7E9SZ\tool3[1].txt -> Downloader.Small.chc : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VE3Y5U7\myupdates[1].exe -> Downloader.Adload.l : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\botton[1].jpe -> Dropper.Agent.abu : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\country[1].html -> Logger.Banker.arm : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\drsmartload[1].exe -> Downloader.Adload.j : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\loadadv400[1].exe -> Downloader.Small.cgl : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89GN6783\tool1[1].txt -> Trojan.Agent.of : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\kl[1].txt -> Logger.Small.dg : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDELYZIJ\paytime[1].txt -> Hijacker.StartPage.agp : Gesäubert mit Backup
D:\Dokumente und Einstellungen\L2MFIX.KATZE21\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBC7E9SZ\tool3[1].txt -> Downloader.Small.chc : Gesäubert mit Backup
D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\400.exe -> Downloader.Small.cgl : Gesäubert mit Backup
D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\paytime.exe -> Hijacker.StartPage.agp : Gesäubert mit Backup
D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\killed\wmedia32.exe -> Logger.Banker.arm : Gesäubert mit Backup
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll -> Logger.Agent.jo : Gesäubert mit Backup
D:\Programme\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Gesäubert mit Backup
D:\WINNT\system32\aathz.dll -> Spyware.Look2Me : Gesäubert mit Backup
D:\WINNT\system32\g8jo0i13e8.dll -> Spyware.Look2Me : Gesäubert mit Backup


::Report Ende

MFG
Matthias
Seitenanfang Seitenende
31.01.2006, 23:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 scanne mit Panda und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
+
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2006, 12:55
Member

Themenstarter

Beiträge: 19
#11 Vielen dank erst mal für deine bemühungen bisher.

Folgendes Problem jetzt (werd noch wahnsinnig...):

Das mit dem Panda ging nicht. Als ich anklicken sollte, was ich denn scannen will ist nichts passiert (ActiveX-Problem?). Das problem ist auch, sobald ich im netz bin erscheinen auf meinem desktop neue verknüpfungen zu internetseiten und ich bin nicht sicher, was noch alles im hintergrund abläuft (dewegen hatte ich es bisher auch vermieden länger ins netz zu gehen).
Noch viel schlimmer: Kann den rechner nicht mehr im normalen modus hochfahren, fährt sich beim einloggen in windows immer neu hoch! Abgesicherter modus geht noch. Bin nahe dran alles plattzumachen ....

MFG
Matthias
Seitenanfang Seitenende
01.02.2006, 14:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 platt machen waere von beginn an das beste gewesen...der PC ist hoffnungslos verseucht.... Backdoor.Rbot ...er wird schon nicht mehr von dir gesteuert.

Formatiere und komme mit dem neuen log vom HijackThis weider.
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2006, 15:07
Member

Themenstarter

Beiträge: 19
#13 rechner fährt nun doch wieder normal hoch. hier die hijackthis-log (noch vor dem formatieren). wenn ich nicht positives von dir hör mache ich platt...


Logfile of HijackThis v1.99.1
Scan saved at 14:58:06, on 01.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
C:\Program Files\Sophos\Remote Update\cachemgr.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\nvsvc32.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
C:\Program Files\Sophos\SWNETSUP.EXE
D:\WINNT\system32\ZoneLabs\vsmon.exe
D:\WINNT\Explorer.EXE
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\rundll32.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINNT\system32\internat.exe
D:\Programme\Spyware Doctor\swdoctor.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Sophos\ICMON.EXE
D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Microsoft Network Neighbourhood] networknbh.exe
O4 - HKLM\..\Run: [PayTime] D:\WINNT\system32\paytime.exe
O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd3.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban3.exe
O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe
O4 - HKLM\..\Run: [ntdll.dll] D:\WINNT\system32\paytime.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Network Neighbourhood] networknbh.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Shell] "D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterCheck Monitor.lnk = C:\Program Files\Sophos\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Program Files\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ipasum.med.uni-erlangen.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{619560B2-2706-46BC-B549-08E38F6ACBA0}: NameServer = 141.67.105.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ipasum.med.uni-erlangen.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ivmed.med.uni-erlangen.de,ipasum.med.uni-erlangen.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ipasum.med.uni-erlangen.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ivmed.med.uni-erlangen.de,ipasum.med.uni-erlangen.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ipasum.med.uni-erlangen.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = ivmed.med.uni-erlangen.de,ipasum.med.uni-erlangen.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ivmed.med.uni-erlangen.de,ipasum.med.uni-erlangen.de
O20 - Winlogon Notify: Uninstall - D:\WINNT\system32\guard.tmp
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Program Files\Sophos\Remote Update\cachemgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - D:\WINNT\TVc\command.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: Network Monitor - Unknown owner - D:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe
O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: Sophos Anti-Virus (FAUSAV 2.1) Network (SweepNet) - Sophos Plc - C:\Program Files\Sophos\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (FAUSAV 2.1) (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
01.02.2006, 16:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Double Helix

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O4 - HKLM\..\Run: [Microsoft Network Neighbourhood] networknbh.exe
O4 - HKLM\..\Run: [PayTime] D:\WINNT\system32\paytime.exe
O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd3.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban3.exe
O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe
O4 - HKLM\..\Run: [ntdll.dll] D:\WINNT\system32\paytime.exe
O4 - HKLM\..\RunServices: [Microsoft Network Neighbourhood] networknbh.exe
O4 - HKCU\..\Run: [Shell] "D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

O20 - Winlogon Notify: Uninstall - D:\WINNT\system32\guard.tmp

O23 - Service: Command Service (cmdService) - Unknown owner - D:\WINNT\TVc\command.exe (file missing)
O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: Network Monitor - Unknown owner - D:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE (file missing)

PC neustarten

loesche:
C:\Program Files\SpySheriff
D:\WINNT\system32\guard.tmp

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Command Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)


Network Monitor


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

FireDaemon Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

Zitat

ist dir diese Internetverbindung ein Begriff ????

O17 - HKLM\System\CCS\Services\Tcpip\..\{619560B2-2706-46BC-B549-08E38F6ACBA0}: NameServer = 141.67.105.20

inetnum: 141.67.0.0 - 141.67.255.255
remarks:
remarks: Please see the information for this process:
remarks: http://www.ripe.net/db/erx/erx-ip/network-141.html
remarks:
remarks: **** INFORMATION FROM ARIN OBJECT ****
remarks: netname: RIPE-NCC-141
descr: RIPE Network Coordination Centre
descr: Singel 258
descr: 1016 AB
descr: Amsterdam
remarks: country: NL

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2006, 18:51
Member

Themenstarter

Beiträge: 19
#15 Folgende Fehlermeldung und neubooten beim anmelden (abgesicherter modus geht wohl):

Zitat

IRQL_NOT_LESS_OR_EQUAL
xxx Adresse 80404376 base at 80400000, DateStamp 3ee6c002-ntoskrnl.exe
Beginn des Speicherabbildes

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{619560B2-2706-46BC-B549-08E38F6ACBA0}: NameServer = 141.67.105.20
Ist der bevorzugte DNS-Server in unserem Netzwerk.


REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 01.02.2006 18:34:08 for strings:
; 'command service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000]
"DeviceDesc"="Command Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService]
"DisplayName"="Command Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000]
"DeviceDesc"="Command Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService]
"DisplayName"="Command Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000]
"DeviceDesc"="Command Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService]
"DisplayName"="Command Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000]
"DeviceDesc"="Command Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService]
"DisplayName"="Command Service"

; End Of The Log...


REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 01.02.2006 18:36:40 for strings:
; 'network monitor'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}]
"DisplayName"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
"Service"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]
"DisplayName"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
"Service"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]
"DisplayName"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
"Service"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor]
"DisplayName"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
"Service"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]
"DisplayName"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum]

; End Of The Log...


REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 01.02.2006 18:39:15 for strings:
; 'firedaemon service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EVENTSEC\0000]
"DeviceDesc"="FireDaemon Service: eventsec"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSYSVERS\0000]
"DeviceDesc"="FireDaemon Service: ntsysvers"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNBATCH\0000]
"DeviceDesc"="FireDaemon Service: runbatch"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\eventsec]
"DisplayName"="FireDaemon Service: eventsec"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntsysvers]
"DisplayName"="FireDaemon Service: ntsysvers"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\runbatch]
"DisplayName"="FireDaemon Service: runbatch"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_EVENTSEC\0000]
"DeviceDesc"="FireDaemon Service: eventsec"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTSYSVERS\0000]
"DeviceDesc"="FireDaemon Service: ntsysvers"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RUNBATCH\0000]
"DeviceDesc"="FireDaemon Service: runbatch"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\eventsec]
"DisplayName"="FireDaemon Service: eventsec"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ntsysvers]
"DisplayName"="FireDaemon Service: ntsysvers"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\runbatch]
"DisplayName"="FireDaemon Service: runbatch"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_EVENTSEC\0000]
"DeviceDesc"="FireDaemon Service: eventsec"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSYSVERS\0000]
"DeviceDesc"="FireDaemon Service: ntsysvers"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RUNBATCH\0000]
"DeviceDesc"="FireDaemon Service: runbatch"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\eventsec]
"DisplayName"="FireDaemon Service: eventsec"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ntsysvers]
"DisplayName"="FireDaemon Service: ntsysvers"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\runbatch]
"DisplayName"="FireDaemon Service: runbatch"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EVENTSEC\0000]
"DeviceDesc"="FireDaemon Service: eventsec"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSYSVERS\0000]
"DeviceDesc"="FireDaemon Service: ntsysvers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNBATCH\0000]
"DeviceDesc"="FireDaemon Service: runbatch"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventsec]
"DisplayName"="FireDaemon Service: eventsec"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntsysvers]
"DisplayName"="FireDaemon Service: ntsysvers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runbatch]
"DisplayName"="FireDaemon Service: runbatch"

; End Of The Log...


MFG
Matthias
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »