SPYWARE :'( ich verzweifle total

#1 Hallo!!
IHR MÜSST MIR HELFEN!!bitte bitte!!!
ICH VERZWEIFLE NOCH!!
ich hab hier shcon bisl rumgelesen udn auch einige tips durchgeführt,aber mein pc is total am spinnen.er könnte jeden mom wieder abstürzen und sich selbstständig machen.
deswegen musste ich neuen thread aufmachen!! SRY!!

Hab alle mögl. Spyware progs durchgeführt. Viele daten die gefunden wurden,konnten ncih gelöscht werdn,weil ich nich registriert bin.

Hier meine log:
Logfile of HijackThis v1.99.1
Scan saved at 20:46:56, on 09.02.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Messenger\msmsgs.exe
C:\programme\voipbuster.com\voipbuster\voipbuster.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\stmu\erip.exe
C:\WINDOWS\System32\??ool32.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.1/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.helinet.de:3128
R3 - URLSearchHook: (no name) - {51BD21E2-B753-CCFF-2C75-BECE1EBBBEB0} - C:\WINDOWS\System32\bdpcv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Ins3DT] H:\INSTALL4\INS3DT.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [VoipBuster] "C:\programme\voipbuster.com\voipbuster\voipbuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Ccle] "C:\Programme\stmu\erip.exe" -vt yax
O4 - HKCU\..\Run: [Nepqfu] C:\WINDOWS\System32\??ool32.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\hr0q05d5e.dll
O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll
O20 - Winlogon Notify: winygm32 - C:\WINDOWS\SYSTEM32\winygm32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe


Sieht es sehr schlecht aus??
Mein PC macht sich andauernd selbstständig,stürzt ohne grüne ab usw.!
Ich weiß ncih mehr weiter!!
HILFEEE!!
bitte!!

danke im voraus
lg lacrima

#2 lacrima87

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Network Monitor" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Network Monitor " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {51BD21E2-B753-CCFF-2C75-BECE1EBBBEB0} - C:\WINDOWS\System32\bdpcv.dll
O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Ccle] "C:\Programme\stmu\erip.exe" -vt yax
O4 - HKCU\..\Run: [Nepqfu] C:\WINDOWS\System32\??ool32.exe
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\hr0q05d5e.dll
O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll
O20 - Winlogon Notify: winygm32 - C:\WINDOWS\SYSTEM32\winygm32.dll
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe

PC neustarten

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 4 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 10.02.2006 13:41 794 ps.a3d
10.02.2006 13:41 236.061 guard.tmp
10.02.2006 13:40 236.061 oxbcint.dll
10.02.2006 13:40 477.209 kspydoc.log
10.02.2006 13:40 0 Sweeper.cfg
10.02.2006 13:25 236.061 o0660ajsedo60.dll
10.02.2006 13:23 237.106 lv0409dqe.dll
10.02.2006 13:16 236.061 m646lghs1646.dll
09.02.2006 23:58 235.086 f0l0la3m1d.dll
09.02.2006 23:04 235.086 nudenb32.dll
09.02.2006 21:14 234.190 kaduk.dll
09.02.2006 20:30 233.500 nswddi.dll
09.02.2006 20:30 234.190 r0r60a9sed.dll
09.02.2006 19:57 237.089 gekrsrc.dll
09.02.2006 19:57 234.261 lt2027fmg.dll
09.02.2006 19:35 235.443 fp0003dme.dll
09.02.2006 17:44 235.443 sWfrdm.dll
09.02.2006 17:27 2 wapicc.exe
09.02.2006 17:27 152.064 oins.exe
09.02.2006 17:17 154 AdService.bat
09.02.2006 17:17 16.896 winygm32.dll
09.02.2006 17:17 16.896 AdService.dll
09.02.2006 17:14 5.453 certlib.exe
07.02.2006 18:32 26 log20061.log
06.02.2006 23:02 214.472 FNTCACHE.DAT
05.02.2006 19:33 33.964 mtidntld.dll
30.01.2006 15:19 405.504 ??ool32.exe
30.01.2006 15:18 139.264 bdpcv.dll
16.12.2005 17:36 171.520 cncs32.dll
06.12.2005 19:30 23.392 nscompat.tlb
06.12.2005 19:30 16.832 amcompat.tlb
25.11.2005 19:44 5.618 jupdate-1.5.0_05-b05.log
25.11.2005 16:41 311.740 perfh009.dat
25.11.2005 16:41 40.128 perfc009.dat
25.11.2005 16:41 48.354 perfc007.dat
25.11.2005 16:41 316.924 perfh007.dat
25.11.2005 16:41 723.744 PerfStringBackup.INI
25.11.2005 12:12 552 d3d8caps.dat
24.11.2005 21:34 1.919 AUTOEXEC.NT
24.11.2005 18:34 2.272 w95inf16.dll
24.11.2005 18:34 4.608 w95inf32.dll
24.11.2005 18:07 25.065 wmpscheme.xml
24.11.2005 18:07 2.184 wpa.dbl
24.11.2005 18:06 261 $winnt$.inf
24.11.2005 18:03 2.951 CONFIG.NT
24.11.2005 18:02 488 WindowsLogon.manifest
24.11.2005 18:02 488 logonui.exe.manifest
24.11.2005 18:02 749 cdplayer.exe.manifest
24.11.2005 18:02 749 nwc.cpl.manifest
24.11.2005 18:02 749 ncpa.cpl.manifest
24.11.2005 18:02 749 wuaucpl.cpl.manifest
24.11.2005 18:02 749 sapi.cpl.manifest
24.11.2005 18:00 21.740 emptyregdb.dat
24.11.2005 17:58 0 h323log.txt
15.11.2005 09:38 176.167 rmoc3260.dll
13.10.2005 00:11 118.784 sirenacm.dll
26.08.2005 18:14 127.078 javaws.exe
26.08.2005 18:14 49.265 jpicpl32.cpl
26.08.2005 15:55 49.250 javaw.exe
26.08.2005 15:55 49.248 java.exe


hier die letzten 4 monate
was soll ich jetz machen?
es wird immer schlimmer:'(

edit:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7052-42A7

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

10.02.2006 13:41 16.384 Perflib_Perfdata_13c.dat
10.02.2006 13:41 512 ~DFC4C4.tmp
10.02.2006 13:41 512 ~DFB988.tmp
10.02.2006 13:40 98.304 ~DF3881.tmp
10.02.2006 13:40 412 jusched.log
10.02.2006 13:30 0 WERB.tmp
10.02.2006 13:25 512 ~DFF37C.tmp
10.02.2006 13:25 16.384 Perflib_Perfdata_444.dat
10.02.2006 13:25 512 ~DFE689.tmp
10.02.2006 13:24 98.304 ~DF5869.tmp
03.02.2006 23:00 104 DFC5A2B2.TMP
11 Datei(en) 231.940 Bytes
0 Verzeichnis(se), 35.105.021.952 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7052-42A7

Verzeichnis von C:\WINDOWS

10.02.2006 13:40 0 0.log
10.02.2006 13:40 2.048 bootstat.dat
10.02.2006 13:23 32.640 SchedLgU.Txt
09.02.2006 23:31 1.672.385 setupapi.log
09.02.2006 18:44 764.199 setuplog.txt
09.02.2006 17:27 38.912 YAXUninst.exe
09.02.2006 17:17 43 drsmartload2.dat
09.02.2006 17:17 0 gimmygames1.dat
09.02.2006 17:17 0 winsysupd71.dat
09.02.2006 17:17 24.576 gimmygames.exe
09.02.2006 17:17 0 myupdates1.dat
09.02.2006 17:17 69.632 winsysban7.exe
09.02.2006 17:16 20.480 winsysupd7.exe
09.02.2006 17:16 3.072 tool3.exe
09.02.2006 17:16 28.032 toolbar.exe
09.02.2006 17:14 0 uniq
09.02.2006 17:12 159 wiadebug.log
09.02.2006 17:12 50 wiaservc.log
09.02.2006 17:07 497 ulead32.ini
09.02.2006 13:54 139 msicpl.ini
08.02.2006 14:04 116 NeroDigital.ini
07.02.2006 18:10 192 winamp.ini
06.02.2006 22:47 50.327 wmsetup.log
23.01.2006 20:50 67 Baby Boh!.ini
23.01.2006 18:13 873 videoimp.ini
17.01.2006 17:35 619 win.tmp
17.01.2006 17:35 619 win.ini
26.12.2005 11:50 35.498 Windows Update.log
16.12.2005 17:36 18 gfact.ini
14.12.2005 18:46 73 EurekaLog.ini
14.12.2005 18:23 17.803 dasetup.log
12.12.2005 18:18 29.190 comsetup.log
12.12.2005 18:18 136.223 iis6.log
12.12.2005 18:18 17.949 ntdtcsetup.log
12.12.2005 18:18 37.288 tsoc.log
12.12.2005 18:18 1.943 imsins.log
12.12.2005 18:18 3.312 ocmsn.log
12.12.2005 18:18 48.008 ocgen.log
12.12.2005 18:18 3.489 msgsocm.log
12.12.2005 18:18 50.869 FaxSetup.log
12.12.2005 18:18 34.304 msmqinst.log
12.12.2005 15:04 82.636 Directx.log
08.12.2005 15:11 379 amazingmidi.INI
07.12.2005 19:44 1.220 psmplay.ini
07.12.2005 19:30 389 AMAZIN~1.INI
06.12.2005 19:30 450 wmsetup10.log
06.12.2005 19:29 316.640 WMSysPr9.prx
06.12.2005 19:29 299.552 WMSysPrx.prx
04.12.2005 14:09 26 dswplug.ini
04.12.2005 14:08 987.950 PE40.bmp
25.11.2005 23:08 41 pos.ini
25.11.2005 21:52 103 euroglot.ini
25.11.2005 19:40 2.729 mozver.dat
25.11.2005 17:54 0 nsreg.dat
25.11.2005 17:54 99.970 UninstallFirefox.exe
25.11.2005 17:48 19 wininit.ini
25.11.2005 17:03 465 nsw.log
24.11.2005 21:34 250 system.ini
24.11.2005 21:34 250 system.tmp
24.11.2005 19:27 403 ODBC.INI
24.11.2005 19:20 1.888.678 hpfmsi.log
24.11.2005 19:20 6.901 hpdj3500.ini
24.11.2005 19:20 157.822 hpdj3500.his
24.11.2005 19:12 478 hpbvspst.ini
24.11.2005 19:12 8.858 hpbvspst.his
24.11.2005 18:07 820 OEWABLog.txt
24.11.2005 18:07 8.192 REGLOCS.OLD
24.11.2005 18:06 191.112 setupact.log
24.11.2005 18:05 18.195 setuperr.log
24.11.2005 18:03 0 control.ini
24.11.2005 18:03 4.161 ODBCINST.INI
24.11.2005 18:02 749 WindowsShell.Manifest
24.11.2005 18:01 1.060 sessmgr.setup.log
24.11.2005 18:00 37 vbaddin.ini
24.11.2005 18:00 36 vb.ini
24.11.2005 18:00 128 DtcInstall.log
24.11.2005 17:56 0 Sti_Trace.log
24.11.2005 17:54 1.348 regopt.log
09.06.2005 15:14 4.371 Cmudau.ini
24.03.2005 10:57 40.960 CmiUSB2Uninstall.exe
01.02.2005 07:38 129.654 JACKBMP.BMP

#4 Es fehlt die letzte--> C:\

Zitat

C:\WINDOWS\System32\ps.a3d
C:\WINDOWS\System32\guard.tmp
C:\WINDOWS\System32\oxbcint.dll
C:\WINDOWS\System32\kspydoc.log
C:\WINDOWS\System32\Sweeper.cfg
C:\WINDOWS\System32\o0660ajsedo60.dll
C:\WINDOWS\System32\lv0409dqe.dll
C:\WINDOWS\System32\m646lghs1646.dll
C:\WINDOWS\System32\f0l0la3m1d.dll
C:\WINDOWS\System32\nudenb32.dll
C:\WINDOWS\System32\kaduk.dll
C:\WINDOWS\System32\nswddi.dll
C:\WINDOWS\System32\r0r60a9sed.dll
C:\WINDOWS\System32\gekrsrc.dll
C:\WINDOWS\System32\lt2027fmg.dll
C:\WINDOWS\System32\fp0003dme.dll
C:\WINDOWS\System32\sWfrdm.dll

C:\WINDOWS\System32\wapicc.exe
C:\WINDOWS\System32\oins.exe
C:\WINDOWS\System32\AdService.bat
C:\WINDOWS\System32\winygm32.dll
C:\WINDOWS\System32\AdService.dll
C:\WINDOWS\System32\certlib.exe
C:\WINDOWS\System32\log20061.log
C:\WINDOWS\System32\mtidntld.dll
C:\WINDOWS\System32\??ool32.exe
C:\WINDOWS\System32\bdpcv.dll
C:\WINDOWS\System32\cncs32.dll
C:\WINDOWS\SYSTEM32\sndu32.dll

C:\WINDOWS\YAXUninst.exe
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\gimmygames1.dat
C:\WINDOWS\winsysupd71.dat
C:\WINDOWS\gimmygames.exe
C:\WINDOWS\myupdates1.dat
C:\WINDOWS\winsysban7.exe
C:\WINDOWS\winsysupd7.exe
C:\WINDOWS\tool3.exe
C:\WINDOWS\toolbar.exe
C:\WINDOWS\uniq

C:\gimmygames.exe
C:\mc-110-12-0000228.exe
C:\drsmartload1.exe

C:\Programme\stmu
C:\Programme\Network Monitor

__________
MfG Sabina

rund um die PC-Sicherheit

#5 ok nochmal alles:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7052-42A7

Verzeichnis von C:\WINDOWS\system32

10.02.2006 17:03 236.061 dlocx.dll
10.02.2006 17:03 233.996 p6r4lg9q16.dll
10.02.2006 14:29 236.061 s0pu0a79ed.dll
10.02.2006 14:05 236.061 mrls31.dll
10.02.2006 13:48 794 ps.a3d
10.02.2006 13:47 477.371 kspydoc.log
10.02.2006 13:41 236.061 hrru0599e.dll
10.02.2006 13:40 0 Sweeper.cfg
10.02.2006 13:23 237.106 lv0409dqe.dll
09.02.2006 23:58 235.086 f0l0la3m1d.dll
09.02.2006 23:04 235.086 nudenb32.dll
09.02.2006 21:14 234.190 kaduk.dll
09.02.2006 20:30 233.500 nswddi.dll
09.02.2006 20:30 234.190 r0r60a9sed.dll
09.02.2006 19:57 237.089 gekrsrc.dll
09.02.2006 19:57 234.261 lt2027fmg.dll
09.02.2006 19:35 235.443 fp0003dme.dll
09.02.2006 17:44 235.443 sWfrdm.dll
09.02.2006 17:27 2 wapicc.exe
09.02.2006 17:27 152.064 oins.exe
09.02.2006 17:17 154 AdService.bat
09.02.2006 17:17 16.896 AdService.dll
09.02.2006 17:17 16.896 winygm32.dll
09.02.2006 17:14 5.453 certlib.exe
07.02.2006 18:32 26 log20061.log
06.02.2006 23:02 214.472 FNTCACHE.DAT
05.02.2006 19:33 33.964 mtidntld.dll
30.01.2006 15:19 405.504 ??ool32.exe
30.01.2006 15:18 139.264 bdpcv.dll
16.12.2005 17:36 171.520 cncs32.dll
06.12.2005 19:30 16.832 amcompat.tlb
06.12.2005 19:30 23.392 nscompat.tlb
25.11.2005 19:44 5.618 jupdate-1.5.0_05-b05.log
25.11.2005 16:41 311.740 perfh009.dat
25.11.2005 16:41 316.924 perfh007.dat
25.11.2005 16:41 48.354 perfc007.dat
25.11.2005 16:41 40.128 perfc009.dat
25.11.2005 16:41 723.744 PerfStringBackup.INI
25.11.2005 12:12 552 d3d8caps.dat
24.11.2005 21:34 1.919 AUTOEXEC.NT
24.11.2005 18:34 2.272 w95inf16.dll
24.11.2005 18:34 4.608 w95inf32.dll
24.11.2005 18:07 25.065 wmpscheme.xml
24.11.2005 18:07 2.184 wpa.dbl
24.11.2005 18:06 261 $winnt$.inf
24.11.2005 18:03 2.951 CONFIG.NT
24.11.2005 18:02 488 WindowsLogon.manifest
24.11.2005 18:02 488 logonui.exe.manifest
24.11.2005 18:02 749 nwc.cpl.manifest
24.11.2005 18:02 749 ncpa.cpl.manifest
24.11.2005 18:02 749 cdplayer.exe.manifest
24.11.2005 18:02 749 sapi.cpl.manifest
24.11.2005 18:02 749 wuaucpl.cpl.manifest
24.11.2005 18:00 21.740 emptyregdb.dat
24.11.2005 17:58 0 h323log.txt
15.11.2005 09:38 176.167 rmoc3260.dll
13.10.2005 00:11 118.784 sirenacm.dll
26.08.2005 18:14 127.078 javaws.exe
26.08.2005 18:14 49.265 jpicpl32.cpl
26.08.2005 15:55 49.250 javaw.exe
26.08.2005 15:55 49.248 java.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7052-42A7

Verzeichnis von C:\

10.02.2006 17:11 0 sys.txt
10.02.2006 17:11 6.476 system.txt
10.02.2006 17:11 2.168 systemtemp.txt
10.02.2006 17:10 97.184 system32.txt
10.02.2006 17:03 1.207.959.552 pagefile.sys
09.02.2006 17:17 24.576 gimmygames.exe
09.02.2006 17:16 49.104 mc-110-12-0000228.exe
09.02.2006 17:16 28.672 drsmartload1.exe
04.02.2006 14:11 14.305 hpfr3500.log
24.11.2005 18:03 0 MSDOS.SYS
24.11.2005 18:03 0 IO.SYS
24.11.2005 18:03 0 CONFIG.SYS
24.11.2005 18:03 0 AUTOEXEC.BAT
24.11.2005 17:59 194 boot.ini
03.11.2005 00:57 3.499 data
18.08.2001 11:00 4.952 bootfont.bin
18.08.2001 11:00 224.032 ntldr
18.08.2001 11:00 45.124 NTDETECT.COM
18 Datei(en) 1.208.459.838 Bytes
0 Verzeichnis(se), 35.098.570.752 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7052-42A7

Verzeichnis von C:\WINDOWS

10.02.2006 17:05 1.673.328 setupapi.log
10.02.2006 17:03 0 0.log
10.02.2006 17:03 2.048 bootstat.dat
10.02.2006 17:02 32.640 SchedLgU.Txt
09.02.2006 18:44 764.199 setuplog.txt
09.02.2006 17:27 38.912 YAXUninst.exe
09.02.2006 17:17 43 drsmartload2.dat
09.02.2006 17:17 0 gimmygames1.dat
09.02.2006 17:17 0 winsysupd71.dat
09.02.2006 17:17 24.576 gimmygames.exe
09.02.2006 17:17 0 myupdates1.dat
09.02.2006 17:17 69.632 winsysban7.exe
09.02.2006 17:16 20.480 winsysupd7.exe
09.02.2006 17:16 3.072 tool3.exe
09.02.2006 17:16 28.032 toolbar.exe
09.02.2006 17:14 0 uniq
09.02.2006 17:12 159 wiadebug.log
09.02.2006 17:12 50 wiaservc.log
09.02.2006 17:07 497 ulead32.ini
09.02.2006 13:54 139 msicpl.ini
08.02.2006 14:04 116 NeroDigital.ini
07.02.2006 18:10 192 winamp.ini
06.02.2006 22:47 50.327 wmsetup.log
23.01.2006 20:50 67 Baby Boh!.ini
23.01.2006 18:13 873 videoimp.ini
17.01.2006 17:35 619 win.tmp
17.01.2006 17:35 619 win.ini
26.12.2005 11:50 35.498 Windows Update.log
16.12.2005 17:36 18 gfact.ini
14.12.2005 18:46 73 EurekaLog.ini
14.12.2005 18:23 17.803 dasetup.log
12.12.2005 18:18 29.190 comsetup.log
12.12.2005 18:18 136.223 iis6.log
12.12.2005 18:18 17.949 ntdtcsetup.log
12.12.2005 18:18 37.288 tsoc.log
12.12.2005 18:18 1.943 imsins.log
12.12.2005 18:18 3.312 ocmsn.log
12.12.2005 18:18 48.008 ocgen.log
12.12.2005 18:18 3.489 msgsocm.log
12.12.2005 18:18 50.869 FaxSetup.log
12.12.2005 18:18 34.304 msmqinst.log
12.12.2005 15:04 82.636 Directx.log
08.12.2005 15:11 379 amazingmidi.INI
07.12.2005 19:44 1.220 psmplay.ini
07.12.2005 19:30 389 AMAZIN~1.INI
06.12.2005 19:30 450 wmsetup10.log
06.12.2005 19:29 316.640 WMSysPr9.prx
06.12.2005 19:29 299.552 WMSysPrx.prx
04.12.2005 14:09 26 dswplug.ini
04.12.2005 14:08 987.950 PE40.bmp
25.11.2005 23:08 41 pos.ini
25.11.2005 21:52 103 euroglot.ini
25.11.2005 19:40 2.729 mozver.dat
25.11.2005 17:54 0 nsreg.dat
25.11.2005 17:54 99.970 UninstallFirefox.exe
25.11.2005 17:48 19 wininit.ini
25.11.2005 17:03 465 nsw.log
24.11.2005 21:34 250 system.ini


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7052-42A7

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

10.02.2006 17:11 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}3225.html
10.02.2006 17:06 16.384 ~DF29D8.tmp
10.02.2006 17:06 512 ~DF29C8.tmp

02.02.2006 21:23 2.423.496 BIT3.tmp
37 Datei(en) 3.309.323 Bytes
0 Verzeichnis(se), 35.098.677.248 Bytes frei

#6 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {51BD21E2-B753-CCFF-2C75-BECE1EBBBEB0} - C:\WINDOWS\System32\bdpcv.dll
O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames.exe
O4 - HKCU\..\Run: [Ccle] "C:\Programme\stmu\erip.exe" -vt yax
O4 - HKCU\..\Run: [Nepqfu] C:\WINDOWS\System32\??ool32.exe
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\hr0q05d5e.dll
O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll
O20 - Winlogon Notify: winygm32 - C:\WINDOWS\SYSTEM32\winygm32.dll
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

arbeite das ab und kopiere den scanreport
http://virus-protect.org/artikel/bfu/delf_bfu.html

L2mfix
http://virus-protect.org/l2mfix.html
option 2 --> nach neustart und scan poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#7 irgendwie kann ich nicht mit F8 in den Sicheren Modus gelangen, da mein PC, wenn ich ihn einschalte,sofort das "Lade Bild" von XP anzeigt. also dieses schwarze.
Also es werden am Anfang nich die PC-Daten usw angezeigt
Kann man das umstellen?

mfg lacrima

#8 sofort, wenn du den PC anmachst, druecke dauerhaft F8, dann muesste eigentlich ein schwarzer Bildschirm erscheinen, wo man den abges.Modus waehlen kann.
Falls du es nicht schaffst, mache alles im Normalmodus
__________
MfG Sabina

rund um die PC-Sicherheit

#9 hallo!!

danke,hat geklappt im abgesicherten modus

hier die erstellten logs:

BFU v1.00.9
Windows XP (WinNT 5.01.2600 )
Script started at 16:18:31, on 11.02.2006

Option pause between commands: 100 ms
Failed: FolderDelete C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I1E3SZIV (operation failed)
Failed: FolderDelete C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KIPNFJNI (operation failed)
Failed: FolderDelete C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WOZPP4RT (operation failed)
Failed: FolderDelete C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\AAWTMP (operation failed)
Failed: FolderDelete C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\NIS (operation failed)
Failed: FileDelete C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DF937E.tmp (operation failed)
Failed: FileDelete C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFA3CF.tmp (operation failed)
Failed: FileDelete C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFFBD7.tmp (operation failed)
Failed: FolderDelete C:\Programme\Network Monitor (folder not found)
Failed: FolderDelete C:\Programme\SurfSideKick 3 (folder not found)
Failed: FolderDelete C:\Programme\stmu (folder not found)
Script completed.

L2MFIX find log 010406
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Applets]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\en0ql1d51.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Syncmgr]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\rvmps.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{889CF931-1F3F-CD0F-56B7-4E6CE6F194A1}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften f�r Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite f�r Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung f�r Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen f�r Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen f�r die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung f�r Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen� f�r die Verschl�sselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung f�r HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Eigenschaftenseitenerweiterung des automatischen Updates"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen f�r Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverkn�pfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen�"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausf�hren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begr�áungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abz�gen �ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverkn�pfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{8e9d6600-f84a-11ce-8daa-00aa004a5691}"="Shell extensions for NetWare"
"{e3f2bac0-099f-11cf-8daa-00aa004a5691}"="Shell extensions for NetWare"
"{52c68510-09a0-11cf-8daa-00aa004a5691}"="Shell extensions for NetWare"
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}"="ICQ Lite Shell Extension"
"{1CDB2949-8F65-4355-8456-263E7C208A5D}"="Desktop-Explorer"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}"="Desktop Explorer Menu"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}"="WinAce Archiver 2.6 Context Menu Shell Extension"
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}"="WinAce Archiver 2.6 DragDrop Shell Extension"
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"="WinAce Archiver 2.6 Context Menu Shell Extension"
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}"="WinAce Archiver 2.6 Property Sheet Shell Extension"
"{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}"="jetAudio"
"{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"="UnlockerShellExtension"
"{F24A4C77-5804-4390-80B3-AF0C8DAD30E8}"=""
"{7C9D5882-CB4A-4090-96C8-430BFE8B795B}"="Webroot Spy Sweeper Context Menu Integration"
"{FF98A643-4984-4EB0-967C-C5203E949F55}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{F24A4C77-5804-4390-80B3-AF0C8DAD30E8}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F24A4C77-5804-4390-80B3-AF0C8DAD30E8}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F24A4C77-5804-4390-80B3-AF0C8DAD30E8}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F24A4C77-5804-4390-80B3-AF0C8DAD30E8}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{FF98A643-4984-4EB0-967C-C5203E949F55}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FF98A643-4984-4EB0-967C-C5203E949F55}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FF98A643-4984-4EB0-967C-C5203E949F55}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FF98A643-4984-4EB0-967C-C5203E949F55}\InprocServer32]
@="C:\\WINDOWS\\system32\\rvmps.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
f0l0la~1.dll Thu 9 Feb 2006 23:58:38 ..S.R 235.086 229,57 K
fp0003~1.dll Thu 9 Feb 2006 19:35:42 ..S.R 235.443 229,92 K
gekrsrc.dll Thu 9 Feb 2006 19:57:28 ..S.R 237.089 231,53 K
hrru05~1.dll Fri 10 Feb 2006 13:41:32 ..S.R 236.061 230,53 K
j60slg~1.dll Sat 11 Feb 2006 16:15:24 ..S.R 236.881 231,33 K
kaduk.dll Thu 9 Feb 2006 21:14:44 ..S.R 234.190 228,70 K
lt2027~1.dll Thu 9 Feb 2006 19:57:26 ..S.R 234.261 228,77 K
lv0409~1.dll Fri 10 Feb 2006 13:23:12 ..S.R 237.106 231,55 K
miiole16.dll Sat 11 Feb 2006 14:11:24 ..S.R 236.881 231,33 K
mlhgrcoi.dll Sat 11 Feb 2006 16:21:32 ..S.R 233.998 228,51 K
mrls31.dll Fri 10 Feb 2006 14:05:34 ..S.R 236.061 230,53 K
nswddi.dll Thu 9 Feb 2006 20:30:50 ..S.R 233.500 228,03 K
nudenb32.dll Thu 9 Feb 2006 23:04:38 ..S.R 235.086 229,57 K
r0r60a~1.dll Thu 9 Feb 2006 20:30:50 ..S.R 234.190 228,70 K
rmoc3260.dll Tue 15 Nov 2005 9:38:10 A.... 176.167 172,04 K
rvmps.dll Sat 11 Feb 2006 16:17:16 ..S.R 233.998 228,51 K
swfrdm.dll Thu 9 Feb 2006 17:44:24 ..S.R 235.443 229,92 K
t28ulc~1.dll Sat 11 Feb 2006 14:03:46 ..S.R 236.061 230,53 K
w95inf16.dll Thu 24 Nov 2005 18:34:02 A.... 2.272 2,22 K
w95inf32.dll Thu 24 Nov 2005 18:34:02 A.... 4.608 4,50 K

20 items found: 20 files (17 H/S), 0 directories.
Total of file sizes: 4.184.382 bytes 3,99 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7052-42A7

Verzeichnis von C:\WINDOWS\System32

11.02.2006 16:21 233.998 mlhgrcoi.dll
11.02.2006 16:17 233.998 rvmps.dll
11.02.2006 16:15 236.881 j60slgd7160.dll
11.02.2006 14:11 236.881 miiole16.dll
11.02.2006 14:03 236.061 t28ulcl91fq.dll
10.02.2006 14:05 236.061 mrls31.dll
10.02.2006 13:41 236.061 hrru0599e.dll
10.02.2006 13:23 237.106 lv0409dqe.dll
10.02.2006 13:20 <DIR> dllcache
09.02.2006 23:58 235.086 f0l0la3m1d.dll
09.02.2006 23:04 235.086 nudenb32.dll
09.02.2006 21:14 234.190 kaduk.dll
09.02.2006 20:30 233.500 nswddi.dll
09.02.2006 20:30 234.190 r0r60a9sed.dll
09.02.2006 19:57 237.089 gekrsrc.dll
09.02.2006 19:57 234.261 lt2027fmg.dll
09.02.2006 19:35 235.443 fp0003dme.dll
09.02.2006 17:44 235.443 sWfrdm.dll
17 Datei(en) 4.001.335 Bytes
1 Verzeichnis(se), 35.659.173.888 Bytes frei

L2mfix 010406
Creating Account.
Der Befehl wurde erfolgreich ausgef�hrt.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 540 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 628 'winlogon.exe'
Killing PID 628 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1552 'explorer.exe'
Killing PID 1552 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1692 'rundll32.exe'
Killing PID 1764 'rundll32.exe'
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administratoren ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
Deleting: C:\WINDOWS\system32\f0l0la3m1d.dll
Successfully Deleted: C:\WINDOWS\system32\f0l0la3m1d.dll
Deleting: C:\WINDOWS\system32\fp0003dme.dll
Successfully Deleted: C:\WINDOWS\system32\fp0003dme.dll
Deleting: C:\WINDOWS\system32\gekrsrc.dll
Successfully Deleted: C:\WINDOWS\system32\gekrsrc.dll
Deleting: C:\WINDOWS\system32\hrru0599e.dll
Successfully Deleted: C:\WINDOWS\system32\hrru0599e.dll
Deleting: C:\WINDOWS\system32\j60slgd7160.dll
Successfully Deleted: C:\WINDOWS\system32\j60slgd7160.dll
Deleting: C:\WINDOWS\system32\kaduk.dll
Successfully Deleted: C:\WINDOWS\system32\kaduk.dll
Deleting: C:\WINDOWS\system32\lt2027fmg.dll
Successfully Deleted: C:\WINDOWS\system32\lt2027fmg.dll
Deleting: C:\WINDOWS\system32\lv0409dqe.dll
Successfully Deleted: C:\WINDOWS\system32\lv0409dqe.dll
Deleting: C:\WINDOWS\system32\miiole16.dll
Successfully Deleted: C:\WINDOWS\system32\miiole16.dll
Deleting: C:\WINDOWS\system32\mlhgrcoi.dll
Successfully Deleted: C:\WINDOWS\system32\mlhgrcoi.dll
Deleting: C:\WINDOWS\system32\mrls31.dll
Successfully Deleted: C:\WINDOWS\system32\mrls31.dll
Deleting: C:\WINDOWS\system32\nswddi.dll
Successfully Deleted: C:\WINDOWS\system32\nswddi.dll
Deleting: C:\WINDOWS\system32\nudenb32.dll
Successfully Deleted: C:\WINDOWS\system32\nudenb32.dll
Deleting: C:\WINDOWS\system32\r0r60a9sed.dll
Successfully Deleted: C:\WINDOWS\system32\r0r60a9sed.dll
Deleting: C:\WINDOWS\system32\rvmps.dll
Successfully Deleted: C:\WINDOWS\system32\rvmps.dll
Deleting: C:\WINDOWS\system32\sWfrdm.dll
Successfully Deleted: C:\WINDOWS\system32\sWfrdm.dll
Deleting: C:\WINDOWS\system32\t28ulcl91fq.dll
Successfully Deleted: C:\WINDOWS\system32\t28ulcl91fq.dll

msg11?.dll
0 Datei(en) kopiert.



Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Applets]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\en0ql1d51.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Syncmgr]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\rvmps.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************
C:\WINDOWS\system32\f0l0la3m1d.dll
C:\WINDOWS\system32\fp0003dme.dll
C:\WINDOWS\system32\gekrsrc.dll
C:\WINDOWS\system32\hrru0599e.dll
C:\WINDOWS\system32\j60slgd7160.dll
C:\WINDOWS\system32\kaduk.dll
C:\WINDOWS\system32\lt2027fmg.dll
C:\WINDOWS\system32\lv0409dqe.dll
C:\WINDOWS\system32\miiole16.dll
C:\WINDOWS\system32\mlhgrcoi.dll
C:\WINDOWS\system32\mrls31.dll
C:\WINDOWS\system32\nswddi.dll
C:\WINDOWS\system32\nudenb32.dll
C:\WINDOWS\system32\r0r60a9sed.dll
C:\WINDOWS\system32\rvmps.dll
C:\WINDOWS\system32\sWfrdm.dll
C:\WINDOWS\system32\t28ulcl91fq.dll

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{F24A4C77-5804-4390-80B3-AF0C8DAD30E8}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F24A4C77-5804-4390-80B3-AF0C8DAD30E8}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F24A4C77-5804-4390-80B3-AF0C8DAD30E8}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F24A4C77-5804-4390-80B3-AF0C8DAD30E8}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{FF98A643-4984-4EB0-967C-C5203E949F55}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FF98A643-4984-4EB0-967C-C5203E949F55}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FF98A643-4984-4EB0-967C-C5203E949F55}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FF98A643-4984-4EB0-967C-C5203E949F55}\InprocServer32]
@="C:\\WINDOWS\\system32\\rvmps.dll"
"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{F24A4C77-5804-4390-80B3-AF0C8DAD30E8}"=-
"{FF98A643-4984-4EB0-967C-C5203E949F55}"=-
[-HKEY_CLASSES_ROOT\CLSID\{F24A4C77-5804-4390-80B3-AF0C8DAD30E8}]
[-HKEY_CLASSES_ROOT\CLSID\{FF98A643-4984-4EB0-967C-C5203E949F55}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
****************************************************************************
Desktop.ini Contents:
****************************************************************************

****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
adding: dlls/f0l0la3m1d.dll (164 bytes security) (deflated 5%)
adding: dlls/fp0003dme.dll (164 bytes security) (deflated 5%)
adding: dlls/gekrsrc.dll (164 bytes security) (deflated 5%)
adding: dlls/hrru0599e.dll (164 bytes security) (deflated 5%)
adding: dlls/j60slgd7160.dll (164 bytes security) (deflated 6%)
adding: dlls/kaduk.dll (164 bytes security) (deflated 5%)
adding: dlls/lt2027fmg.dll (164 bytes security) (deflated 4%)
adding: dlls/lv0409dqe.dll (164 bytes security) (deflated 6%)
adding: dlls/miiole16.dll (164 bytes security) (deflated 6%)
adding: dlls/mlhgrcoi.dll (164 bytes security) (deflated 4%)
adding: dlls/mrls31.dll (164 bytes security) (deflated 5%)
adding: dlls/nswddi.dll (164 bytes security) (deflated 4%)
adding: dlls/nudenb32.dll (164 bytes security) (deflated 5%)
adding: dlls/r0r60a9sed.dll (164 bytes security) (deflated 5%)
adding: dlls/rvmps.dll (164 bytes security) (deflated 4%)
adding: dlls/sWfrdm.dll (164 bytes security) (deflated 5%)
adding: dlls/t28ulcl91fq.dll (164 bytes security) (deflated 5%)
adding: backregs/F24A4C77-5804-4390-80B3-AF0C8DAD30E8.reg (212 bytes security) (deflated 70%)
adding: backregs/FF98A643-4984-4EB0-967C-C5203E949F55.reg (212 bytes security) (deflated 70%)
adding: backregs/notibac.reg (164 bytes security) (deflated 76%)
adding: backregs/shell.reg (164 bytes security) (deflated 74%)

Logfile of HijackThis v1.99.1
Scan saved at 16:55:23, on 11.02.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Messenger\msmsgs.exe
C:\programme\voipbuster.com\voipbuster\voipbuster.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.1/RouterStatus.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.helinet.de:3128
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Ins3DT] H:\INSTALL4\INS3DT.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [VoipBuster] "C:\programme\voipbuster.com\voipbuster\voipbuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\en0ql1d51.dll (file missing)
O20 - Winlogon Notify: Syncmgr - C:\WINDOWS\system32\rvmps.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

#10 Fixe mit dem hijackThis:

O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\en0ql1d51.dll (file missing)
O20 - Winlogon Notify: Syncmgr - C:\WINDOWS\system32\rvmps.dll (file missing)

neustarten

deinstaliere\loesche:
C:\Programme\stmu
C:\Programme\Network Monitor

scanne mit ewido und kopiere den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 so hier der scan report:

C:\data -> Downloader.IstBar.nh : Gesäubert mit Backup
:mozilla.11:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4b8w9yv.Standard-Benutzer\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4b8w9yv.Standard-Benutzer\cookies.txt -TrackingCookie.Weborama : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Desktop\l2mfix\backup.zip/dlls/f0l0la3m1d.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Desktop\l2mfix\backup.zip/dlls/fp0003dme.dll -> Adware.Look2Me : Gesäubert mit Backup

C:\RECYCLER\S-1-5-21-1957994488-1606980848-1343024091-500\Dc88.txt -> TrackingCookie.Overture : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-1957994488-1606980848-1343024091-500\Dc93.txt -> TrackingCookie.Tfag : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-1957994488-1606980848-1343024091-500\Dc97.txt -> TrackingCookie.Questionmarket : Gesäubert mit Backup

C:\WINDOWS\system32\qm.dll -> Backdoor.Haxdoor.gf : Gesäubert mit Backup
C:\WINDOWS\system32\qm.sys -> Backdoor.Haxdoor.gk : Gesäubert mit Backup
E:\SETUPS\ComputerSchock.zip/ComputerSchock.exe -> Not-A-Virus.Hoax.Win32.ComputerSchock : Gesäubert mit Backup

E:\SETUPS\cs.exe -> Not-A-Virus.Hoax.Win32.ComputerSchock : Gesäubert mit Backup

F:\ScHeRzPrOgRaMmE uNd MeHr\scherzprogramm15.rar/Format1\500Mhz.exe -> Not-A-Virus.BadJoke.Win32.Stript : Gesäubert mit Backup
F:\ScHeRzPrOgRaMmE uNd MeHr\scherzprogramm31.rar/parkinso\PARKINSO.EXE -> Not-A-Virus.BadJoke.Win16.Aloap : Gesäubert mit Backup
F:\ScHeRzPrOgRaMmE uNd MeHr\scherzprogramm8.rar/ComputerSchock\ComputerSchock.exe -> Not-A-Virus.Hoax.Win32.ComputerSchock : Gesäubert mit Backup

::Report Ende

edit: noch was.also irgendwie erscheinen kaum noch diese doofen nervigen werbefenster. aber wenn ich mich disconnecte (ich hab DSL), scheint irgendjemand noch weiterhin unter meiner Verbindung online zu sein, da sich andauernd die Zahl der "Packets send" und "Packets received" um einiges erhöht,obwohl ich mir selbst keine Internet-seiten oder sonst was angucke.

Aber danke für alles bisher
ich hoffe,dass es sich bals ausgehackt hat..

mfg

#12 lacrima87

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program

poste bitte noch mal die 4 logs von datfindbat (4 Monate)
__________
MfG Sabina

rund um die PC-Sicherheit

#13 ok hier die logs:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7052-42A7

Verzeichnis von C:\WINDOWS\system32

11.02.2006 16:45 0 lo2.txtt
11.02.2006 16:31 2.550 Uninstall.ico
11.02.2006 16:31 1.406 Help.ico
11.02.2006 16:31 30.590 pavas.ico
10.02.2006 13:47 477.371 kspydoc.log
09.02.2006 17:16 0 klgcptini.dat
06.02.2006 23:02 214.472 FNTCACHE.DAT
06.12.2005 19:30 23.392 nscompat.tlb
06.12.2005 19:30 16.832 amcompat.tlb
25.11.2005 19:44 5.618 jupdate-1.5.0_05-b05.log
25.11.2005 16:41 311.740 perfh009.dat
25.11.2005 16:41 48.354 perfc007.dat
25.11.2005 16:41 316.924 perfh007.dat
25.11.2005 16:41 40.128 perfc009.dat
25.11.2005 16:41 723.744 PerfStringBackup.INI
25.11.2005 12:12 552 d3d8caps.dat
24.11.2005 21:34 1.919 AUTOEXEC.NT
24.11.2005 18:34 2.272 w95inf16.dll
24.11.2005 18:34 4.608 w95inf32.dll
24.11.2005 18:07 25.065 wmpscheme.xml
24.11.2005 18:07 2.184 wpa.dbl
24.11.2005 18:06 261 $winnt$.inf
24.11.2005 18:03 2.951 CONFIG.NT
24.11.2005 18:02 488 WindowsLogon.manifest
24.11.2005 18:02 488 logonui.exe.manifest
24.11.2005 18:02 749 wuaucpl.cpl.manifest
24.11.2005 18:02 749 sapi.cpl.manifest
24.11.2005 18:02 749 ncpa.cpl.manifest
24.11.2005 18:02 749 cdplayer.exe.manifest
24.11.2005 18:02 749 nwc.cpl.manifest
24.11.2005 18:00 21.740 emptyregdb.dat
24.11.2005 17:58 0 h323log.txt
15.11.2005 09:38 176.167 rmoc3260.dll
20.10.2005 15:37 40.960 SDelete.dll
20.10.2005 15:37 24.924 openports.dll
19.10.2005 18:50 16.384 restart.exe
13.10.2005 00:11 118.784 sirenacm.dll
26.08.2005 18:14 127.078 javaws.exe
26.08.2005 18:14 49.265 jpicpl32.cpl
26.08.2005 15:55 49.250 javaw.exe
26.08.2005 15:55 49.248 java.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7052-42A7

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

12.02.2006 00:37 32.768 ~DFBE2E.tmp
12.02.2006 00:36 98.304 ~DF66E4.tmp
12.02.2006 00:36 16.384 ~DF3911.tmp
12.02.2006 00:36 49.152 ~DF144F.tmp
12.02.2006 00:36 408 jusched.log
12.02.2006 00:35 16.384 ~DF7A4.tmp
12.02.2006 00:35 49.152 ~DFE160.tmp
12.02.2006 00:35 0 WER1E.tmp
8 Datei(en) 262.552 Bytes
0 Verzeichnis(se), 35.575.377.920 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7052-42A7

Verzeichnis von C:\WINDOWS

12.02.2006 00:37 0 0.log
12.02.2006 00:36 2.048 bootstat.dat
12.02.2006 00:35 32.640 SchedLgU.Txt
12.02.2006 00:35 215 wiadebug.log
11.02.2006 23:29 50 wiaservc.log
11.02.2006 16:35 678 win.ini
11.02.2006 16:31 1.696.472 setupapi.log
11.02.2006 16:20 115.352 ntbtlog.txt
11.02.2006 14:18 107.134 UninstallFirefox.exe
11.02.2006 14:18 10.259 mozver.dat
11.02.2006 14:00 335 nsreg.dat
09.02.2006 18:44 764.199 setuplog.txt
09.02.2006 17:07 497 ulead32.ini
09.02.2006 13:54 139 msicpl.ini
08.02.2006 14:04 116 NeroDigital.ini
07.02.2006 18:10 192 winamp.ini
06.02.2006 22:47 50.327 wmsetup.log
23.01.2006 20:50 67 Baby Boh!.ini
23.01.2006 18:13 873 videoimp.ini
26.12.2005 11:50 35.498 Windows Update.log
16.12.2005 17:36 18 gfact.ini
14.12.2005 18:46 73 EurekaLog.ini
14.12.2005 18:23 17.803 dasetup.log
12.12.2005 18:18 136.223 iis6.log
12.12.2005 18:18 29.190 comsetup.log
12.12.2005 18:18 17.949 ntdtcsetup.log
12.12.2005 18:18 1.943 imsins.log
12.12.2005 18:18 37.288 tsoc.log
12.12.2005 18:18 48.008 ocgen.log
12.12.2005 18:18 3.489 msgsocm.log
12.12.2005 18:18 3.312 ocmsn.log
12.12.2005 18:18 50.869 FaxSetup.log
12.12.2005 18:18 34.304 msmqinst.log
12.12.2005 15:04 82.636 Directx.log
08.12.2005 15:11 379 amazingmidi.INI
07.12.2005 19:44 1.220 psmplay.ini
07.12.2005 19:30 389 AMAZIN~1.INI
06.12.2005 19:30 450 wmsetup10.log
06.12.2005 19:29 316.640 WMSysPr9.prx
06.12.2005 19:29 299.552 WMSysPrx.prx
04.12.2005 14:09 26 dswplug.ini
04.12.2005 14:08 987.950 PE40.bmp
25.11.2005 23:08 41 pos.ini
25.11.2005 21:52 103 euroglot.ini
25.11.2005 17:48 19 wininit.ini
25.11.2005 17:03 465 nsw.log
24.11.2005 21:34 250 system.ini
24.11.2005 19:27 403 ODBC.INI
24.11.2005 19:20 1.888.678 hpfmsi.log
24.11.2005 19:20 157.822 hpdj3500.his
24.11.2005 19:20 6.901 hpdj3500.ini
24.11.2005 19:12 478 hpbvspst.ini
24.11.2005 19:12 8.858 hpbvspst.his
24.11.2005 18:07 820 OEWABLog.txt
24.11.2005 18:07 8.192 REGLOCS.OLD
24.11.2005 18:06 191.112 setupact.log
24.11.2005 18:05 18.195 setuperr.log
24.11.2005 18:03 0 control.ini
24.11.2005 18:03 4.161 ODBCINST.INI
24.11.2005 18:02 749 WindowsShell.Manifest
24.11.2005 18:01 1.060 sessmgr.setup.log
24.11.2005 18:00 37 vbaddin.ini
24.11.2005 18:00 36 vb.ini
24.11.2005 18:00 128 DtcInstall.log
24.11.2005 17:56 0 Sti_Trace.log
24.11.2005 17:54 1.348 regopt.log
09.06.2005 15:14 4.371 Cmudau.ini
24.03.2005 10:57 40.960 CmiUSB2Uninstall.exe
01.02.2005 07:38 129.654 JACKBMP.BMP
17.06.2003 17:20 5.358 hpfmdl01.dat
17.06.2003 17:13 332 hpfins01.dat
01.08.2002 13:59 2.093.106 select.exe
22.05.2002 17:35 127.038 Clement.exe
29.04.2002 16:23 32.768 DIV_IYUV.DLL
29.04.2002 16:23 36.864 JPGL.DLL
29.04.2002 16:23 45.056 Pcamr800.exe
18.08.2001 11:00 1.272 Blaue Spitzen 16.bmp
18.08.2001 11:00 26.647 hh.exe
18.08.2001 11:00 65.978 Seifenblase.bmp
18.08.2001 11:00 26.582 Granit.bmp
18.08.2001 11:00 65.832 Santa Fe-Stuck.bmp
18.08.2001 11:00 707 _default.pif
18.08.2001 11:00 15.872 TASKMAN.EXE
18.08.2001 11:00 17.362 Rhododendron.bmp
18.08.2001 11:00 94.800 twain.dll
18.08.2001 11:00 46.592 twain_32.dll
18.08.2001 11:00 49.680 twunk_16.exe
18.08.2001 11:00 25.600 twunk_32.exe
18.08.2001 11:00 16.730 Feder.bmp
18.08.2001 11:00 82.944 clock.avi
18.08.2001 11:00 80 explorer.scf
18.08.2001 11:00 17.336 Angler.bmp
18.08.2001 11:00 9.522 Zapotek.bmp
18.08.2001 11:00 1.004.032 explorer.exe
18.08.2001 11:00 34.818 wmprfDEU.prx
18.08.2001 11:00 18.944 vmmreg32.dll
18.08.2001 11:00 65.954 Pr„riewind.bmp
18.08.2001 11:00 26.680 F„cher.bmp
18.08.2001 11:00 2 desktop.ini
18.08.2001 11:00 141.312 regedit.exe
18.08.2001 11:00 67.072 NOTEPAD.EXE
18.08.2001 11:00 17.062 Kaffeetasse.bmp
18.08.2001 11:00 257.568 winhelp.exe
18.08.2001 11:00 271.872 winhlp32.exe
18.08.2001 11:00 1.405 msdfmap.ini
18.08.2001 11:00 48.680 winnt.bmp
18.08.2001 11:00 48.680 winnt256.bmp
20.06.2001 11:09 21 PI_setup.ini
20.06.2001 11:04 21 VI_setup.ini
11.04.2001 02:47 80.384 gamedelete.exe
26.05.1999 09:46 212.480 pcdlib32.dll
17.11.1998 13:44 328.704 IsUn0407.exe
29.10.1998 16:45 306.688 IsUninst.exe
05.11.1996 16:13 299.008 uninst.exe
114 Datei(en) 13.487.088 Bytes
0 Verzeichnis(se), 35.575.386.112 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7052-42A7

Verzeichnis von C:\

12.02.2006 00:39 0 sys.txt
12.02.2006 00:39 5.875 system.txt
12.02.2006 00:39 635 systemtemp.txt
12.02.2006 00:38 98.076 system32.txt
12.02.2006 00:36 1.207.959.552 pagefile.sys
11.02.2006 16:58 61 direct.txt
04.02.2006 14:11 14.305 hpfr3500.log
24.11.2005 18:03 0 MSDOS.SYS
24.11.2005 18:03 0 CONFIG.SYS
24.11.2005 18:03 0 IO.SYS
24.11.2005 18:03 0 AUTOEXEC.BAT
24.11.2005 17:59 194 boot.ini
18.08.2001 11:00 4.952 bootfont.bin
18.08.2001 11:00 224.032 ntldr
18.08.2001 11:00 45.124 NTDETECT.COM
15 Datei(en) 1.208.352.806 Bytes
0 Verzeichnis(se), 35.575.394.304 Bytes frei

mfg

#14
loesche mit der Killbox:
C:\WINDOWS\system32\klgcptini.dat

SmitfraudFix --> scanne und poste den scanbericht
http://virus-protect.org/artikel/tools/smitfrautfix.html
+
Blacklight (poste ebenfalls den scanbericht)
http://www.f-secure.com/blacklight/try.shtml
__________
MfG Sabina

rund um die PC-Sicherheit

#15 hier der erstellte scanbericht:

SmitFraudFix v2.19

Rapport fait à 12:35:46,24 le 12.02.2006
Executé à partir de C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche ...\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


SmitFraudFix v2.19

Rapport fait à 12:36:09,35 le 12.02.2006
Executé à partir de C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


blacklight beta hat nichts gefunden...
02/12/06 12:39:43 [Info]: BlackLight Engine 1.0.30 initialized
02/12/06 12:39:43 [Info]: OS: 5.1 build 2600 ()
02/12/06 12:39:43 [Note]: 7019 4
02/12/06 12:39:43 [Note]: 7005 0
02/12/06 12:39:49 [Note]: 7006 0
02/12/06 12:39:49 [Note]: 7011 424
02/12/06 12:39:49 [Note]: FSRAW library version 1.7.1014
02/12/06 12:40:34 [Note]: 7007 0