Trojaner/Virus erstellt win**.tmp.exe dateien - folge: systemüberlastung

#136 Nein, formatieren kommt auf keinen Fall in Frage, schonmal vielen Dank für die Hilfe, werd ich aber erst morgen/nachher machen

#137 gut, poste die logs, dann sehen wir, was sich machen laesst
__________
MfG Sabina

rund um die PC-Sicherheit

#138 Alles erledigt, Logs häng ich mal der Übersichtlichkeit halber dran. (Bei combofix wurde am Anfang irgendwie ein Fehler angezeigt, irgendwas von Registrierungsschlüssel konnte nicht gefunden werden oder so, hat aber trotzdem geklappt...)

Felix Lehmann - 06-08-26 17:10:38,71
ComboFix 06.08.26BT - Running from: C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Desktop

((((((((((((((((((((((((((((((( Files Created from 2006-07-26 to 2006-08-26 ))))))))))))))))))))))))))))))))))


2006-08-23 17:57 13,844 --a------ C:\WINDOWS\system32\sdlmnjea.exe
2006-08-22 16:55 13,844 --a------ C:\WINDOWS\system32\arktjgbv.exe
2006-08-18 16:47 13,844 --a------ C:\WINDOWS\system32\yxfigbes.exe
2006-08-10 20:26 2,580 --a------ C:\WINDOWS\system32\ebpumwqa.exe
2006-08-10 04:05 12,800 --a------ C:\WINDOWS\system32\WING32.dll
2006-07-26 07:09 65,556 --a------ C:\WINDOWS\system32\cwprxhwu.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-26 17:03 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-26 16:59 -------- d-------- C:\Programme\Opera
2006-08-26 16:51 -------- d-------- C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\Azureus
2006-08-26 16:49 -------- d-------- C:\Programme\Gamers.IRC
2006-08-24 17:49 -------- d-------- C:\Programme\CleanUp!
2006-08-23 13:41 -------- d-------- C:\Programme\Azureus
2006-08-23 02:51 -------- d-------- C:\Programme\PokerStars
2006-08-21 01:21 -------- d-------- C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\Apple Computer
2006-08-19 01:04 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-19 01:02 -------- d-------- C:\Programme\QuickTime
2006-08-19 00:50 -------- d-------- C:\Programme\iTunes
2006-08-19 00:49 -------- d-------- C:\Programme\iPod
2006-08-10 15:37 -------- d-------- C:\Programme\Ubisoft
2006-08-09 22:01 -------- d-------- C:\Programme\Internet Explorer
2006-08-09 13:38 -------- d-------- C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\Media Player Classic
2006-08-09 01:02 -------- d-------- C:\Programme\Real Alternative
2006-08-09 01:01 -------- d-------- C:\Programme\Media Player Classic
2006-08-09 01:01 -------- d-------- C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\Real
2006-08-08 18:53 635520 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-08-05 17:25 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2006-08-05 17:24 16352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2006-08-05 17:22 36176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2006-08-05 17:20 24304 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2006-08-05 08:18 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-23 11:21 17750 --a------ C:\WINDOWS\system32\xnibmxyv.exe
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-19 19:32 -------- d-------- C:\Programme\ICQLite
2006-07-16 23:41 -------- d-------- C:\Programme\CatchTheSpermUnlimited
2006-07-16 00:57 -------- d-------- C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\Adobe
2006-07-15 23:41 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-07-15 23:34 -------- dr------- C:\Programme\Felix Dateien
2006-07-15 20:23 -------- d-------- C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\AdobeUM
2006-07-15 20:13 869 --a------ C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\AdobeDLM.log
2006-07-15 20:13 0 --a------ C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\dm.ini
2006-07-15 20:13 -------- d-------- C:\Programme\Adobe
2006-07-15 20:11 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-07-13 16:58 -------- d-------- C:\Programme\Warcraft III
2006-07-09 13:42 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-07-05 22:53 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-07-05 22:16 71680 --a------ C:\WINDOWS\system32\dcomcfg.exe
2006-07-05 18:35 -------- d-------- C:\Programme\Lavasoft
2006-07-05 18:35 -------- d-------- C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\Lavasoft
2006-07-05 18:28 -------- d-------- C:\Programme\Musik
2006-07-05 12:43 -------- d-------- C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\IDS_COMPANY
2006-07-01 17:54 -------- d-------- C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\Ahead
2006-07-01 17:50 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-07-01 17:39 -------- d-------- C:\Programme\Nero
2006-07-01 15:53 -------- d-------- C:\Programme\CDBurnerXP Pro 3
2006-06-27 20:58 -------- d-------- C:\Programme\Windows Media Player
2006-06-27 20:58 -------- d-------- C:\Programme\mIRC
2006-06-27 20:58 -------- d-------- C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\LimeWire
2006-06-27 20:16 57868 --a------ C:\WINDOWS\system32\regperf.exe
2006-06-27 20:16 18432 --a------ C:\WINDOWS\system32\winrzf32.dll
2006-06-27 20:13 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-06-27 20:13 -------- d-------- C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Anwendungsdaten\TuneUp Software
2006-06-27 20:12 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-06-02 01:58 4096 --a------ C:\WINDOWS\system32\oodbsrs.dll
2006-06-02 01:56 112128 --a------ C:\WINDOWS\system32\oodbs.exe
2006-06-02 01:52 339456 --a------ C:\WINDOWS\system32\oodag.exe
2006-06-02 01:52 10240 --a------ C:\WINDOWS\system32\oodagrs.dll
2006-06-02 01:50 11264 --a------ C:\WINDOWS\system32\oodagmg.dll
2006-06-01 23:57 9728 --a------ C:\WINDOWS\system32\ootmapi.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"SoundMan"="SOUNDMAN.EXE"
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
"*windows update"="wruauclt.exe"
"wininet.dll"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
@="iexpl0res.exe"
"start uploading"="smsss.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
"*windows update"="wruauclt.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,c4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmss"="system.exe"
@="iexpl0res.exe"
"start uploading"="smsss.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"cmss"="system.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
@="iexpl0res.exe"
"start uploading"="smsss.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
"*windows update"="wuaurclt.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmss"="system.exe"
@="iexpl0res.exe"
"start uploading"="smsss.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"cmss"="system.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
@="iexpl0res.exe"
"start uploading"="smsss.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
"*windows update"="wuaurclt.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{7916f057-223f-4612-ac84-e882cbe043d4}"="bals"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{EFD771CE-E5AA-40F1-B9B6-035E3C09CFB8}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users.WINDOWS\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~4\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Felix Lehmann.MI6-FJXZHGFIEWD^Startmenü^Programme^Autostart^Morpheus.lnk]
"path"="C:\\Dokumente und Einstellungen\\Felix Lehmann.MI6-FJXZHGFIEWD\\Startmenü\\Programme\\Autostart\\Morpheus.lnk"
"backup"="C:\\WINDOWS\\pss\\Morpheus.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Morpheus\\Morpheus.exe -min"
"item"="Morpheus"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Felix Lehmann.MI6-FJXZHGFIEWD^Startmenü^Programme^Autostart^Mp3tag Quick Pick.lnk]
"path"="C:\\Dokumente und Einstellungen\\Felix Lehmann.MI6-FJXZHGFIEWD\\Startmenü\\Programme\\Autostart\\Mp3tag Quick Pick.lnk"
"backup"="C:\\WINDOWS\\pss\\Mp3tag Quick Pick.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Mp3tag\\MP3TAG~1.EXE "
"item"="Mp3tag Quick Pick"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Felix Lehmann.MI6-FJXZHGFIEWD^Startmenü^Programme^Autostart^PowerReg Scheduler.exe]
"path"="C:\\Dokumente und Einstellungen\\Felix Lehmann.MI6-FJXZHGFIEWD\\Startmenü\\Programme\\Autostart\\PowerReg Scheduler.exe"
"backup"="C:\\WINDOWS\\pss\\PowerReg Scheduler.exeStartup"
"location"="Startup"
"command"="C:\\Dokumente und Einstellungen\\Felix Lehmann.MI6-FJXZHGFIEWD\\Startmenü\\Programme\\Autostart\\PowerReg Scheduler.exe"
"item"="PowerReg Scheduler"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Felix Lehmann.MI6-FJXZHGFIEWD^Startmenü^Programme^Autostart^Rainlendar.lnk]
"path"="C:\\Dokumente und Einstellungen\\Felix Lehmann.MI6-FJXZHGFIEWD\\Startmenü\\Programme\\Autostart\\Rainlendar.lnk"
"backup"="C:\\WINDOWS\\pss\\Rainlendar.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\RAINLE~1\\RAINLE~1.EXE "
"item"="Rainlendar"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iexpl0res"
"hkey"="HKLM"
"command"="iexpl0res.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Agent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Agent"
"hkey"="HKLM"
"command"="C:\\Programme\\Medion\\PowerCinema\\My_TV\\Agent.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\BearShare]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BearShare"
"hkey"="HKLM"
"command"="\"C:\\Programme\\BearShare\\BearShare.exe\" /pause"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Device]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="socks2"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\socks2.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DXM6Patch_981116]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="p_981116"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\p_981116.exe /Q:A"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Google Desktop Search]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GoogleDesktop"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Logitech Hardware Abstraction Layer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="KHALMNPR"
"hkey"="HKLM"
"command"="KHALMNPR.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Microsoft Relay Manager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="kpbavo"
"hkey"="HKLM"
"command"="kpbavo.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Microsoft Works Update Detection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WkUFind"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NvCplScan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msc32"
"hkey"="HKLM"
"command"="msc32.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\PowerStrip]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="pstrip"
"hkey"="HKLM"
"command"="c:\\programme\\powerstrip\\pstrip.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RAM_DEFRAG]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RAM_DEFRAG"
"hkey"="HKLM"
"command"="\"C:\\Programme\\RAM Defrag V2.55\\RAM_DEFRAG.EXE\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\STYLEXP]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="StyleXP"
"hkey"="HKCU"
"command"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TBAction]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="tbaction"
"hkey"="HKLM"
"command"="C:\\Programme\\Visual TimeAnalyzer\\tbaction.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TuneUp MemOptimizer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="memoptimizer"
"hkey"="HKCU"
"command"="\"C:\\Programme\\TuneUp Utilities 2006\\memoptimizer.exe\" autostart"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WeatherCast]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Weather"
"hkey"="HKCU"
"command"="\"C:\\Programme\\WeatherCast\\Weather.exe\" /q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WhenUSave]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Save"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Save\\Save.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\services]
"TODslService"=dword:00000003
"StarWindService"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"JMacro"="C:\\Programme\\Journal Macro\\JMacro.exe"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrzf32


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 26.08.2006 17:11:42.17
ComboFix.txt
ComboFix2.txt





Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 706A-702F

Verzeichnis von C:\WINDOWS\system32

26.08.2006 17:05 401.372 perfh009.dat
26.08.2006 17:05 62.460 perfc009.dat
26.08.2006 17:05 415.818 perfh007.dat
26.08.2006 17:05 75.116 perfc007.dat
26.08.2006 17:05 966.322 PerfStringBackup.INI
26.08.2006 17:03 54.112 vsconfig.xml
26.08.2006 17:03 2.206 wpa.dbl
26.08.2006 17:02 49.819 nvapps.xml
26.08.2006 17:00 23.280 OODBS.lor
24.08.2006 20:26 3.002 CONFIG.NT
23.08.2006 17:57 13.844 sdlmnjea.exe
22.08.2006 16:55 13.844 arktjgbv.exe
18.08.2006 16:47 13.844 yxfigbes.exe
10.08.2006 20:26 2.580 ebpumwqa.exe
08.08.2006 19:18 143 mcrh.tmp
08.08.2006 18:53 635.520 aswBoot.exe
05.08.2006 08:18 90.112 AVASTSS.scr
03.08.2006 03:22 8.255.912 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
26.07.2006 07:09 65.556 cwprxhwu.exe
25.07.2006 22:33 615.936 urlmon.dll
25.07.2006 14:10 4.212 zllictbl.dat
23.07.2006 11:21 17.750 xnibmxyv.exe
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
09.07.2006 13:42 42.920 vsutil_loc0407.dll
09.07.2006 13:42 392.824 vsdatant.sys
09.07.2006 13:42 83.960 zlcomm.dll
09.07.2006 13:42 71.672 zlcommdb.dll
09.07.2006 13:42 59.384 vswmi.dll
09.07.2006 13:42 100.344 vsxml.dll
09.07.2006 13:42 71.672 vsregexp.dll
09.07.2006 13:42 440.312 vsutil.dll
09.07.2006 13:42 157.688 vsinit.dll
09.07.2006 13:42 268.280 vspubapi.dll
09.07.2006 13:42 104.440 vsmonapi.dll
09.07.2006 13:42 83.960 vsdata.dll
05.07.2006 22:16 8.192 simpole.tlb
05.07.2006 22:16 71.680 dcomcfg.exe
05.07.2006 12:55 1.057.792 kernel32.dll
05.07.2006 12:42 48.140 ld101.tmp
03.07.2006 16:50 4.286 ot.ico
27.06.2006 20:16 57.868 regperf.exe
27.06.2006 20:16 18.432 winrzf32.dll
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 10:53 27.136 xpsp3res.dll
20.06.2006 23:32 796.584 libeay32_0.9.6l.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
12.06.2006 20:26 234.368 FNTCACHE.DAT
02.06.2006 01:58 4.096 oodbsrs.dll
02.06.2006 01:56 112.128 oodbs.exe
02.06.2006 01:52 339.456 oodag.exe
02.06.2006 01:52 10.240 oodagrs.dll
02.06.2006 01:50 11.264 oodagmg.dll
01.06.2006 23:57 9.728 ootmapi.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll






Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 706A-702F

Verzeichnis von C:\DOKUME~1\BESITZER\LOKALE~1\Temp

26.08.2006 17:05 240 datFind.zip
26.08.2006 17:03 16.384 ~DF2D69.tmp
26.08.2006 17:03 512 ~DF467.tmp
26.08.2006 17:03 16.384 ~DF454.tmp







Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 706A-702F

Verzeichnis von C:\WINDOWS

26.08.2006 17:02 0 0.log
26.08.2006 17:01 1.575.305 WindowsUpdate.log
26.08.2006 17:01 50 wiaservc.log
26.08.2006 17:01 159 wiadebug.log
26.08.2006 17:01 32.594 SchedLgU.Txt
26.08.2006 17:00 2.048 bootstat.dat
26.08.2006 17:00 912 icssys.log
26.08.2006 03:53 60.416 ALCFDRTM.VER
25.08.2006 18:13 116 NeroDigital.ini
25.08.2006 04:14 1.409 QTFont.for
25.08.2006 04:14 54.156 QTFont.qfn
24.08.2006 21:21 173.976 setupapi.log
24.08.2006 20:35 652 win.ini
24.08.2006 20:35 227 system.ini
24.08.2006 20:29 41.434 WgaNotify.log
24.08.2006 18:15 2.232.808 dp2_log.txt
21.08.2006 02:42 83.853 wmsetup.log
19.08.2006 00:51 950 GEARInstall.log
09.08.2006 22:03 260.593 comsetup.log
09.08.2006 22:03 160.470 ntdtcsetup.log
09.08.2006 22:03 117.091 iis6.log
09.08.2006 22:03 36.846 ocmsn.log
09.08.2006 22:03 1.355 imsins.log
09.08.2006 22:03 300.704 tsoc.log
09.08.2006 22:03 17.544 KB920214.log
09.08.2006 22:03 398.974 ocgen.log
09.08.2006 22:03 38.625 msgsocm.log
09.08.2006 22:03 768.605 FaxSetup.log
09.08.2006 22:03 1.355 imsins.BAK
09.08.2006 22:03 17.317 KB921883.log
09.08.2006 22:03 25.685 updspapi.log
09.08.2006 22:02 17.124 KB922616.log
09.08.2006 22:02 17.570 KB921398.log
09.08.2006 22:02 20.604 KB918899.log
09.08.2006 22:01 12.336 KB920670.log
09.08.2006 22:01 12.591 KB917422.log
09.08.2006 21:58 12.776 KB920683.log
08.08.2006 18:13 0 PowerReg.dat
12.07.2006 02:42 12.097 KB917159.log
12.07.2006 02:42 12.618 KB914388.log
12.07.2006 02:42 10.579 KB916595.log
01.07.2006 16:03 2.583 discwriter.log
01.07.2006 15:59 0 OrangeBurn.log
24.06.2006 19:16 106.508 War3Unin.dat
16.06.2006 13:34 31.833 spupdsvc.log
15.06.2006 23:54 11.021 KB917734.log
15.06.2006 23:53 14.417 KB918439.log
15.06.2006 23:53 14.777 KB917344.log
15.06.2006 23:53 14.552 KB917953.log
15.06.2006 23:53 14.533 KB911280.log
15.06.2006 23:53 17.860 KB916281.log
15.06.2006 23:52 11.758 KB914389.log
08.06.2006 20:02 19.744 KB908531.log
08.06.2006 19:49 13.897 KB904942.log
08.06.2006 19:31 14.483 WGA.log








Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 706A-702F

Verzeichnis von C:\

26.08.2006 17:09 0 sys.txt
26.08.2006 17:08 11.406 system.txt
26.08.2006 17:08 435 systemtemp.txt
26.08.2006 17:06 106.481 system32.txt
26.08.2006 16:58 19.044 ComboFix.txt
24.08.2006 21:07 1.620 VundoFix.txt
24.08.2006 20:35 244 boot.ini

#139 Morgoth2k5

0.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
"*windows update"=-
"wininet.dll"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
@="iexpl0res.exe"=-
"iexpl0res.exe"=-
"start uploading"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
"*windows update"=-

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmss"=-
@="iexpl0res.exe"=-
"iexpl0res.exe"=-
"start uploading"=-

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"cmss"="system.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
@="iexpl0res.exe"=-
"iexpl0res.exe"=-
"start uploading"=-

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
"*windows update"=-

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmss"=-
@="iexpl0res.exe"=-
"iexpl0res.exe"=-
"start uploading"=-

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"cmss"=-

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
@="iexpl0res.exe"=-
"iexpl0res.exe"=-
"start uploading"=-

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
"*windows update"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{7916f057-223f-4612-ac84-e882cbe043d4}"=-

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Microsoft Relay Manager
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winrzf32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NvCplScan
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WeatherCast
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WhenUSave

Files to delete:

C:\WINDOWS\system32\msc32.exe
C:\WINDOWS\msc32.exe
C:\msc32.exe
C:\WINDOWS\socks2.exe
C:\WINDOWS\system32\kpbavo.exe
C:\WINDOWS\kpbavo.exe
C:\kpbavo.exe
C:\WINDOWS\system32\system.exe
C:\WINDOWS\system.exe
C:\WINDOWS\system32\wruauclt.exe
C:\WINDOWS\wruauclt.exe
C:\WINDOWS\system32\iexpl0res.exe
C:\WINDOWS\system32\smsss.exe
C:\WINDOWS\system32\WING32.dll
C:\WINDOWS\system32\sdlmnjea.exe
C:\WINDOWS\system32\arktjgbv.exe
C:\WINDOWS\system32\yxfigbes.exe
C:\WINDOWS\system32\ebpumwqa.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\cwprxhwu.exe
C:\WINDOWS\system32\xnibmxyv.exe
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ld101.tmp
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\winrzf32.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste daslog vom avenger, was nach neustart erscheint

**
smitfraudfix anwenden (option 1 und 2 ) - poste die scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

---------------

http://virus-protect.org/multiavtool.html
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 - dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS

------------------------------------------------------------------------------


**
loesche, falls es vorhanden ist:
C:\Programme\WeatherCast

------------------------------------------------------------------------------
ist fuer mich...........

http://www.sophos.de/security/analyses/w32rbotsf.html
http://www.sophos.de/security/analyses/w32forbotdd.html
FROM:

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
EnableDCOM = "Y"
TO:

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
EnableDCOM = "N"

(Note: The original entry of this registry key is EnableDCOM = "Y" instead of EnableDCOM = "n".)

FROM:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Lsa
restrictanonymous = "dword:00000000"
TO:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Lsa
restrictanonymous = "dword:00000001"

(Note: The original entry of this registry key is restrictanonymous = "dword:00000000" instead of restrictanonymous = "dword:00000001".)
http://es.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_RBOT.ACR
__________
MfG Sabina

rund um die PC-Sicherheit

#140 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\exgtwvbu

*******************

Script file located at: \??\C:\vguridxx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\msc32.exe not found!
Deletion of file C:\WINDOWS\system32\msc32.exe failed!

Could not process line:
C:\WINDOWS\system32\msc32.exe
Status: 0xc0000034



File C:\WINDOWS\msc32.exe not found!
Deletion of file C:\WINDOWS\msc32.exe failed!

Could not process line:
C:\WINDOWS\msc32.exe
Status: 0xc0000034



File C:\WINDOWS\msc32.exe not found!
Deletion of file C:\WINDOWS\msc32.exe failed!

Could not process line:
C:\WINDOWS\msc32.exe
Status: 0xc0000034



File C:\WINDOWS\socks2.exe not found!
Deletion of file C:\WINDOWS\socks2.exe failed!

Could not process line:
C:\WINDOWS\socks2.exe
Status: 0xc0000034



File C:\WINDOWS\system32\system.exe not found!
Deletion of file C:\WINDOWS\system32\system.exe failed!

Could not process line:
C:\WINDOWS\system32\system.exe
Status: 0xc0000034



File C:\WINDOWS\system32\wruauclt.exe not found!
Deletion of file C:\WINDOWS\system32\wruauclt.exe failed!

Could not process line:
C:\WINDOWS\system32\wruauclt.exe
Status: 0xc0000034



File C:\WINDOWS\system32\iexpl0res.exe not found!
Deletion of file C:\WINDOWS\system32\iexpl0res.exe failed!

Could not process line:
C:\WINDOWS\system32\iexpl0res.exe
Status: 0xc0000034



File C:\WINDOWS\system32\smsss.exe not found!
Deletion of file C:\WINDOWS\system32\smsss.exe failed!

Could not process line:
C:\WINDOWS\system32\smsss.exe
Status: 0xc0000034

File C:\WINDOWS\system32\WING32.dll deleted successfully.
File C:\WINDOWS\system32\sdlmnjea.exe deleted successfully.
File C:\WINDOWS\system32\arktjgbv.exe deleted successfully.
File C:\WINDOWS\system32\yxfigbes.exe deleted successfully.
File C:\WINDOWS\system32\ebpumwqa.exe deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\cwprxhwu.exe deleted successfully.
File C:\WINDOWS\system32\xnibmxyv.exe deleted successfully.
File C:\WINDOWS\system32\simpole.tlb deleted successfully.
File C:\WINDOWS\system32\dcomcfg.exe deleted successfully.
File C:\WINDOWS\system32\ld101.tmp deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\regperf.exe deleted successfully.
File C:\WINDOWS\system32\winrzf32.dll deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrzf32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NvCplScan deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WeatherCast deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WhenUSave deleted successfully.

Completed script processing.

*******************

Finished! Terminate.





SmitFraudFix v2.81

Scan done at 23:30:47,01, 26.08.2006
Run from C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Felix Lehmann.MI6-FJXZHGFIEWD\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1.WIN\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1.WIN\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\FELIXL~1.MI6\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



In C:\AV-CLS gibts kein log, aber in C:\AV-CLS\McAfee gibts einen ScanReport, der hat aber anscheinend nur den letzten Lauf gespeichert, d.h nur den vom kompletten Windows Ordner, vorher hatte ich system32 only gescannt, da hat er eine Sache gefunden und erfolgreich entfernt. Ganz C wollte ich nicht scannen weils einfach ewig gedauert hätte




Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4838 created Aug 25 2006
Scanning for 206695 viruses, trojans and variants.

Virus Scan Results



08/27/2006 00:03:37


Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [BOOT]
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 31037
Clean: ................. 31019
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:16.31


Visit the McAfee Online Web Site
Need some help or advice? Send email to Technical Support.

#141 also, wenn du meine Meinung hoeren willst, dann scanne, scanne mit allem, was ich dir noch geben werde, denn dein Rechner ist aus hoechste kompromitiert, eigentlich solltest du formatieren...
schau mal:
http://www.sophos.de/security/analyses/w32rbotsf.html
http://www.sophos.de/security/analyses/w32forbotdd.html

------------------------------------------------------------

F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#142 Hrm, ich finde es schwer, so einfach beschließen zu formatieren, man sammelt halt ne Menge Daten an...

Aber gibts hier irgendwo im Forum nen Ratgeber oder sowas, wie man den PC sicherer machen kann? Ich dachte bisher ich hätte gut ausgesorgt, ich hab n anständiges Antivirenprogramm (Avast Antivir) und ne Firewall (Zonelabs) und dann kommt die Aussage, ich sollte am besten formatieren^^ ich denke mal nicht, dass du das zu jedem sagst wenn sein pc befallen ist...

#143 du hast dir doch sicher diese beiden Links angesehen, da steht, was u.a. auf deinem Rechner ist und wie die Registry usw. veraendert wurde,
http://www.sophos.de/security/analyses/w32rbotsf.html
http://www.sophos.de/security/analyses/w32forbotdd.html

man kann das in Ordnung bringen, aber du musst mit allem scannen, was ich dir gebe und die scanreporte posten
(siehe oben...)
__________
MfG Sabina

rund um die PC-Sicherheit

#144 Scanning Report
Sunday, August 27, 2006 14:45:04 - 15:40:30

Computer name: MI6-FJXZHGFIEWD
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\ E:\
Result: 7 malware found
Tracking Cookie (spyware)

* System (Disinfected)
* System

Trojan.Win32.Agent.ny (virus)

* C:\VUNDOFIX BACKUPS\DP.SYS (Renamed)

W32/Spybot.ATW (virus)

* C:\WINDOWS\SYSTEM32\TFTP2020

W32/VBDoor.ADE (virus)

* C:\PROGRAMME\GXTRANSCODER V2\FUNCTIONADDINS\GXFUNCTION_SYSTEM.DLL

not-virus:BadJoke.DOS.Alarm.a (virus)

* C:\PROGRAMME\FELIX DATEIEN\FUN\FUN PROGS\ALARM.EXE

not-virus:BadJoke.Win32.VB.ai (virus)

* C:\PROGRAMME\FELIX DATEIEN\FUN\FUN PROGS\PROLANGEWEILE.EXE

Statistics
Scanned:

* Files: 32810
* System: 5439
* Not scanned: 9

Actions:

* Disinfected: 1
* Renamed: 1
* Deleted: 0
* None: 5
* Submitted: 0

Files not scanned:

* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\VAXSCSI.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* D:\PAGEFILE.SYS
* D:\C36655C1B9B45F8CD9F88511\XPSP1HFM.EXE

Options
Scanning engines:

* F-Secure AVP: 6.0.171, 2006-08-26
* F-Secure Libra: 2.4.1, 2006-08-24
* F-Secure Orion: 1.2.37, 2006-08-25
* F-Secure Blacklight: 1.0.31, 0000-00-00
* F-Secure Draco: 1.0.35, 0259-24-212
* F-Secure Pegasus: 1.19.0, 2006-07-18

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
* Use Advanced heuristics

Copyright © 1998-2006 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

#145 1.
loesche.falls es noch vorhanden ist:
C:\WINDOWS\SYSTEM32\TFTP2020

2.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#146 Hallo ins Forum,
ich muß mich auch leider hier einklinken, da ich das gleiche Problem habe mit diesen idd***.tmp.exe Dateien.
Ich hoffe ich habe die Anleitung richtug gelesen und die richtigen Daten hier reingestellt.
In freudiger Erwartung
Henry


Logfile of HijackThis v1.99.1
Scan saved at 09:29:39, on 30.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\javaw.exe
C:\Programme\AlfaClock\AlfaClock.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\PGP\PGP602i\PGPtray.exe
C:\WINDOWS\system32\javaw.exe
C:\Programme\Sound Control\SC.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Download\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [prisma desktop connector] "C:\PROGRA~1\NUERNB~1\prismaJC\pjc_dc.lnk"
O4 - HKCU\..\Run: [AlfaClock Classic] "C:\Programme\AlfaClock\AlfaClock.exe" /startup
O4 - Startup: Sound Control.lnk = C:\Programme\Sound Control\SC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: PGPtray.lnk = C:\Programme\PGP\PGP602i\PGPtray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{00220AE7-E967-457C-8577-F76A545A3355}: NameServer = 192.168.10.251,192.168.10.246
O17 - HKLM\System\CS1\Services\Tcpip\..\{00220AE7-E967-457C-8577-F76A545A3355}: NameServer = 192.168.10.251,192.168.10.246
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



HFennert - 06-08-30 9:56:13,96
ComboFix 06.08.27BT - Running from: C:\Dokumente und Einstellungen\HFennert\Desktop

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Safety Bar
C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-07-30 to 2006-08-30 ))))))))))))))))))))))))))))))))))


2006-08-30 00:16 679,858 ---hs---- C:\WINDOWS\system32\yyabc.bak2
2006-08-29 14:46 679,995 ---hs---- C:\WINDOWS\system32\yyabc.ini2
2006-08-29 12:16 679,225 ---hs---- C:\WINDOWS\system32\yyabc.bak1
2006-08-29 12:14 573,492 ---hs---- C:\WINDOWS\system32\cbayy.dll
2006-08-29 12:07 40,973 ---hs---- C:\WINDOWS\system32\awtqpqq.dll
2006-08-29 12:07 18,944 --a------ C:\WINDOWS\system32\winius32.dll
2006-08-28 09:59 706,048 --a------ C:\WINDOWS\system32\PGP60sc.dll
2006-08-28 09:59 62,976 --a------ C:\WINDOWS\system32\PGP60mn.dll
2006-08-28 09:59 549,888 --a------ C:\WINDOWS\system32\PGP_SDK.dll
2006-08-28 09:59 30,720 --a------ C:\WINDOWS\system32\PGP60hk.dll
2006-08-28 09:59 202,240 --a------ C:\WINDOWS\system32\PGPsdkUI.dll
2006-08-28 09:59 190,976 --a------ C:\WINDOWS\system32\PGPdskSE.dll
2006-08-28 09:59 172,544 --a------ C:\WINDOWS\system32\PGPsdkNL.dll
2006-08-28 09:59 1,199,104 --a------ C:\WINDOWS\system32\PGP60cl.dll
2006-08-25 16:34 299,520 --a------ C:\WINDOWS\uninst.exe
2006-08-25 16:29 81,920 --a------ C:\WINDOWS\system32\BRSPLWMK.DLL
2006-08-25 16:29 77,824 --a------ C:\WINDOWS\system32\BROSNMP.DLL
2006-08-25 16:29 73,728 --a------ C:\WINDOWS\system32\BRSPL2KB.DLL
2006-08-25 16:29 73,728 --a------ C:\WINDOWS\system32\BRRBTOOL.EXE
2006-08-25 16:29 57,344 --a------ C:\WINDOWS\system32\BRSVC01A.EXE
2006-08-25 16:29 49,152 --a------ C:\WINDOWS\system32\BRVPD95A.DLL
2006-08-25 16:29 45,056 --a------ C:\WINDOWS\system32\BRSS01A.EXE
2006-08-25 16:29 4,608 --a------ C:\WINDOWS\system32\BRGSRC16.DLL
2006-08-25 16:29 32,768 --a------ C:\WINDOWS\system32\PTRCGER.DLL
2006-08-25 16:29 32,768 --a------ C:\WINDOWS\system32\BRVPDNTA.DLL
2006-08-25 16:29 26,624 --a------ C:\WINDOWS\system32\BRGSRC32.DLL
2006-08-25 16:29 225,280 --a------ C:\WINDOWS\system32\BRSPL02B.DLL
2006-08-25 16:29 172,032 --a------ C:\WINDOWS\system32\Brdiag2.exe
2006-08-25 16:29 102,400 --a------ C:\WINDOWS\system32\BRSPL02B.EXE
2006-08-25 16:28 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
2006-08-25 16:28 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
2006-08-25 16:28 176,128 --a------ C:\WINDOWS\system32\PDRVINST.DLL
2006-08-25 15:59 286,720 --------- C:\WINDOWS\Setup1.exe
2006-08-25 15:58 74,752 --------- C:\WINDOWS\ST6UNST.EXE
2006-08-25 13:46 99,008 -ra------ C:\WINDOWS\system32\POSTWPP.DLL
2006-08-25 13:46 98,960 -ra------ C:\WINDOWS\system32\FTPWPP.DLL
2006-08-25 13:46 93,456 -ra------ C:\WINDOWS\system32\FPWPP.DLL
2006-08-25 13:46 50,816 -ra------ C:\WINDOWS\system32\PIPARSE.DLL
2006-08-25 13:46 145,360 -ra------ C:\WINDOWS\system32\WEBPOST.DLL
2006-08-25 13:46 121,984 -ra------ C:\WINDOWS\system32\CRSWPP.DLL
2006-08-25 13:46 112,064 -ra------ C:\WINDOWS\system32\WPWIZDLL.DLL
2006-08-25 11:42 53,301 --a------ C:\WINDOWS\system32\nwnsp32.dll
2006-08-25 11:20 46,352 --a------ C:\WINDOWS\setdebug.exe
2006-08-25 11:20 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2006-08-25 11:19 113 --a------ C:\WINDOWS\system32\zonedon.reg
2006-08-25 11:19 113 --a------ C:\WINDOWS\system32\zonedoff.reg
2006-08-25 10:59 64,512 --a------ C:\WINDOWS\system32\MSCc2DE.dll
2006-08-25 10:59 36,864 C:\WINDOWS\system32T„gliche Losung.scr
2006-08-25 10:59 36,352 --a------ C:\WINDOWS\system32\RchTxDE.dll
2006-08-25 10:59 33,792 --a------ C:\WINDOWS\system32\CmDlgDE.dll
2006-08-25 10:59 29,696 --a------ C:\WINDOWS\system32\Vb5stkit.dll
2006-08-25 10:59 158,208 --a------ C:\WINDOWS\system32\MSCmCDE.dll
2006-08-25 10:59 125,712 --a------ C:\WINDOWS\system32\VB6DE.DLL
2006-08-25 10:59 10,752 --a------ C:\WINDOWS\system32\SysInDE.dll
2006-08-25 10:58 304,128 --a------ C:\WINDOWS\unin0407.exe
2006-08-25 09:48 91,856 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-08-25 09:38 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2006-08-24 17:34 9,728 --------- C:\WINDOWS\system32\comsdupd.exe
2006-08-24 17:33 88,064 --------- C:\WINDOWS\system32\p2pnetsh.dll
2006-08-24 17:33 870,784 --------- C:\WINDOWS\system32\ati3d1ag.dll
2006-08-24 17:33 86,016 --------- C:\WINDOWS\system32\p2pgasvc.dll
2006-08-24 17:33 86,016 --------- C:\WINDOWS\system32\mdmxsdk.dll
2006-08-24 17:33 81,920 --------- C:\WINDOWS\system32\ieencode.dll
2006-08-24 17:33 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2006-08-24 17:33 755,200 --------- C:\WINDOWS\system32\ir50_32.dll
2006-08-24 17:33 73,832 --------- C:\WINDOWS\system32\slcoinst.dll
2006-08-24 17:33 71,680 --------- C:\WINDOWS\system32\blastcln.exe
2006-08-24 17:33 7,680 --------- C:\WINDOWS\system32\kbdsmsno.dll
2006-08-24 17:33 7,680 --------- C:\WINDOWS\system32\kbdsmsfi.dll
2006-08-24 17:33 7,168 --------- C:\WINDOWS\system32\kbdukx.dll
2006-08-24 17:33 7,168 --------- C:\WINDOWS\system32\kbdno1.dll
2006-08-24 17:33 7,168 --------- C:\WINDOWS\system32\kbdfi1.dll
2006-08-24 17:33 7,168 --------- C:\WINDOWS\system32\hccoin.dll
2006-08-24 17:33 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2006-08-24 17:33 60,416 --------- C:\WINDOWS\system32\fwcfg.dll
2006-08-24 17:33 6,656 --------- C:\WINDOWS\system32\kbdinmal.dll
2006-08-24 17:33 6,656 --------- C:\WINDOWS\system32\kbdinben.dll
2006-08-24 17:33 6,144 --------- C:\WINDOWS\system32\kbdmlt48.dll
2006-08-24 17:33 6,144 --------- C:\WINDOWS\system32\kbdmlt47.dll
2006-08-24 17:33 6,144 --------- C:\WINDOWS\system32\kbdinbe1.dll
2006-08-24 17:33 526,848 --------- C:\WINDOWS\system32\p2psvc.dll
2006-08-24 17:33 52,736 --------- C:\WINDOWS\system32\mspmsnsv.dll
2006-08-24 17:33 516,768 --------- C:\WINDOWS\system32\ativvaxx.dll
2006-08-24 17:33 50,688 --------- C:\WINDOWS\system32\btpanui.dll
2006-08-24 17:33 5,632 --------- C:\WINDOWS\system32\kbdmaori.dll
2006-08-24 17:33 49,152 --------- C:\WINDOWS\system32\powercfg.exe
2006-08-24 17:33 48,640 --------- C:\WINDOWS\system32\pnrpnsp.dll
2006-08-24 17:33 438,784 --------- C:\WINDOWS\system32\xpob2res.dll
2006-08-24 17:33 4,274,816 --------- C:\WINDOWS\system32\nv4_disp.dll
2006-08-24 17:33 397,056 --------- C:\WINDOWS\system32\s3gnb.dll
2006-08-24 17:33 384,512 --------- C:\WINDOWS\system32\mp4sdmod.dll
2006-08-24 17:33 377,984 --------- C:\WINDOWS\system32\ati2dvaa.dll
2006-08-24 17:33 338,432 --------- C:\WINDOWS\system32\ir41_qcx.dll
2006-08-24 17:33 32,768 --------- C:\WINDOWS\system32\ativtmxx.dll
2006-08-24 17:33 32,285 --------- C:\WINDOWS\system32\hsfcisp2.dll
2006-08-24 17:33 312,320 --------- C:\WINDOWS\system32\p2pgraph.dll
2006-08-24 17:33 310,272 --------- C:\WINDOWS\system32\mp43dmod.dll
2006-08-24 17:33 30,208 --------- C:\WINDOWS\system32\bthserv.dll
2006-08-24 17:33 29,184 --------- C:\WINDOWS\system32\sdhcinst.dll
2006-08-24 17:33 24,576 --------- C:\WINDOWS\system32\httpapi.dll
2006-08-24 17:33 229,376 --------- C:\WINDOWS\system32\ati2cqag.dll
2006-08-24 17:33 22,528 --------- C:\WINDOWS\system32\fltmc.exe
2006-08-24 17:33 201,728 --------- C:\WINDOWS\system32\ati2dvag.dll
2006-08-24 17:33 200,192 --------- C:\WINDOWS\system32\ir50_qc.dll
2006-08-24 17:33 20,992 --------- C:\WINDOWS\system32\bthci.dll
2006-08-24 17:33 2,113,536 --------- C:\WINDOWS\system32\dxdiagn.dll
2006-08-24 17:33 193,024 --------- C:\WINDOWS\system32\fsquirt.exe
2006-08-24 17:33 183,808 --------- C:\WINDOWS\system32\ir50_qcx.dll
2006-08-24 17:33 16,896 --------- C:\WINDOWS\system32\fltlib.dll
2006-08-24 17:33 14,336 --------- C:\WINDOWS\system32\auditusr.exe
2006-08-24 17:33 13,824 --------- C:\WINDOWS\system32\cmsetacl.dll
2006-08-24 17:33 120,320 --------- C:\WINDOWS\system32\ir41_qc.dll
2006-08-24 17:33 118,784 --------- C:\WINDOWS\system32\msdadiag.dll
2006-08-24 17:33 116,224 --------- C:\WINDOWS\system32\p2p.dll
2006-08-24 17:33 1,888,992 --------- C:\WINDOWS\system32\ati3duag.dll
2006-08-24 17:33 1,737,856 --------- C:\WINDOWS\system32\mtxparhd.dll
2006-08-24 17:33 1,689,088 --------- C:\WINDOWS\system32\d3d9.dll
2006-08-24 17:32 896,512 --------- C:\WINDOWS\system32\wmspdmoe.dll
2006-08-24 17:32 81,408 --------- C:\WINDOWS\system32\wscsvc.dll
2006-08-24 17:32 8,192 --------- C:\WINDOWS\system32\smbinst.exe
2006-08-24 17:32 75,776 --------- C:\WINDOWS\system32\strmfilt.dll
2006-08-24 17:32 73,796 --------- C:\WINDOWS\system32\slserv.exe
2006-08-24 17:32 50,176 --------- C:\WINDOWS\system32\xmlprovi.dll
2006-08-24 17:32 484,864 --------- C:\WINDOWS\system32\wmspdmod.dll
2006-08-24 17:32 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2006-08-24 17:32 44,032 --------- C:\WINDOWS\system32\twext.dll
2006-08-24 17:32 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-08-24 17:32 32,866 --------- C:\WINDOWS\system32\slrundll.exe
2006-08-24 17:32 32,866 --------- C:\WINDOWS\slrundll.exe
2006-08-24 17:32 286,792 --------- C:\WINDOWS\system32\slextspk.dll
2006-08-24 17:32 233,472 --------- C:\WINDOWS\system32\wmpdxm.dll
2006-08-24 17:32 202,752 --------- C:\WINDOWS\system32\wmerror.dll
2006-08-24 17:32 2,981,888 --------- C:\WINDOWS\system32\xpsp2res.dll
2006-08-24 17:32 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-08-24 17:32 188,508 --------- C:\WINDOWS\system32\slgen.dll
2006-08-24 17:32 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-08-24 17:32 173,536 --a------ C:\WINDOWS\system32\wuweb.dll
2006-08-24 17:32 17,408 --------- C:\WINDOWS\system32\winshfhc.dll
2006-08-24 17:32 151,552 --------- C:\WINDOWS\system32\wmidx.dll
2006-08-24 17:32 15,872 --------- C:\WINDOWS\system32\w3ssl.dll
2006-08-24 17:32 13,824 --------- C:\WINDOWS\system32\wscntfy.exe
2006-08-24 17:32 129,536 --------- C:\WINDOWS\system32\xmlprov.dll
2006-08-24 17:32 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2006-08-24 17:32 114,688 --------- C:\WINDOWS\system32\wmpasf.dll
2006-08-24 17:32 108,032 --------- C:\WINDOWS\system32\wshbth.dll
2006-08-24 17:32 1,119,744 --------- C:\WINDOWS\system32\wmsdmoe2.dll
2006-08-24 17:32 1,001,472 --------- C:\WINDOWS\system32\wmvdmoe2.dll
2006-08-24 16:52 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-08-24 16:34 252,032 --a------ C:\WINDOWS\system32\sis300iv.dll
2006-08-24 16:33 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2006-08-24 16:33 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2006-08-24 16:29 86,556 --a------ C:\WINDOWS\system32\dgsetup.dll
2006-08-24 16:29 8,704 --a------ C:\WINDOWS\system32\batt.dll
2006-08-24 16:29 8,192 -ra------ C:\WINDOWS\system32\kbdhept.dll
2006-08-24 16:29 76,288 --a------ C:\WINDOWS\system32\storprop.dll
2006-08-24 16:29 70,144 --a------ C:\WINDOWS\notepad.exe
2006-08-24 16:29 7,168 -ra------ C:\WINDOWS\system32\kbdcz.dll
2006-08-24 16:29 6,656 -ra------ C:\WINDOWS\system32\kbdycl.dll
2006-08-24 16:29 6,656 -ra------ C:\WINDOWS\system32\kbdsl1.dll
2006-08-24 16:29 6,656 -ra------ C:\WINDOWS\system32\kbdsl.dll
2006-08-24 16:29 6,656 -ra------ C:\WINDOWS\system32\kbdpl.dll
2006-08-24 16:29 6,656 -ra------ C:\WINDOWS\system32\kbdhu.dll
2006-08-24 16:29 6,656 -ra------ C:\WINDOWS\system32\kbdhela3.dll
2006-08-24 16:29 6,656 -ra------ C:\WINDOWS\system32\kbdcz2.dll
2006-08-24 16:29 6,656 -ra------ C:\WINDOWS\system32\kbdcz1.dll
2006-08-24 16:29 6,656 -ra------ C:\WINDOWS\system32\kbdcr.dll
2006-08-24 16:29 6,656 -ra------ C:\WINDOWS\system32\KBDAL.DLL
2006-08-24 16:29 6,144 -ra------ C:\WINDOWS\system32\kbdtuq.dll
2006-08-24 16:29 6,144 -ra------ C:\WINDOWS\system32\kbdtuf.dll
2006-08-24 16:29 6,144 -ra------ C:\WINDOWS\system32\kbdlv1.dll
2006-08-24 16:29 6,144 -ra------ C:\WINDOWS\system32\kbdlv.dll
2006-08-24 16:29 6,144 -ra------ C:\WINDOWS\system32\kbdhela2.dll
2006-08-24 16:29 6,144 -ra------ C:\WINDOWS\system32\kbdgkl.dll
2006-08-24 16:29 6,144 -ra------ C:\WINDOWS\system32\kbdest.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdycc.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbduzb.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdur.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdtat.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdru1.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdru.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdro.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdpl1.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdmon.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdlt1.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdlt.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdkyr.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdkaz.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdhu1.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdhe319.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdhe220.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdhe.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdbu.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdblr.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdazel.dll
2006-08-24 16:29 5,632 -ra------ C:\WINDOWS\system32\kbdaze.dll
2006-08-24 16:29 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2006-08-24 16:29 176,157 --a------ C:\WINDOWS\system32\dgrpsetu.dll
2006-08-24 16:29 15,872 --a------ C:\WINDOWS\TASKMAN.EXE
2006-08-24 16:29 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2006-08-24 16:29 103,936 --a------ C:\WINDOWS\system32\EqnClass.Dll
2006-08-24 16:26 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2006-08-24 15:59 0 -rahs---- C:\MSDOS.SYS
2006-08-24 15:59 0 -rahs---- C:\IO.SYS
2006-08-24 15:59 0 --a------ C:\CONFIG.SYS
2006-08-24 15:59 0 --a------ C:\AUTOEXEC.BAT
2006-08-24 15:58 112,128 --a------ C:\WINDOWS\system32\mapi32.dll
2006-08-24 15:53 86,016 --a------ C:\WINDOWS\system32\isign32.dll
2006-08-24 15:53 73,728 --a------ C:\WINDOWS\system32\icwdial.dll
2006-08-24 15:53 70,144 --a------ C:\WINDOWS\system32\acctres.dll
2006-08-24 15:53 65,536 --a------ C:\WINDOWS\system32\icwphbk.dll
2006-08-24 15:53 51,712 --a------ C:\WINDOWS\system32\inetres.dll
2006-08-24 15:53 45,568 --a------ C:\WINDOWS\system32\safrslv.dll
2006-08-24 15:53 44,032 --a------ C:\WINDOWS\system32\racpldlg.dll
2006-08-24 15:53 43,520 --a------ C:\WINDOWS\system32\safrcdlg.dll
2006-08-24 15:53 32,768 --a------ C:\WINDOWS\system32\mnmsrvc.exe
2006-08-24 15:53 32,768 --a------ C:\WINDOWS\system32\isrdbg32.dll
2006-08-24 15:53 29,696 --a------ C:\WINDOWS\system32\safrdm.dll
2006-08-24 15:53 282,624 --a------ C:\WINDOWS\system32\inetcfg.dll
2006-08-24 15:53 16,384 --a------ C:\WINDOWS\system32\icfgnt5.dll
2006-08-24 15:53 12,288 --a------ C:\WINDOWS\system32\nmevtmsg.dll
2006-08-24 15:53 11,264 --a------ C:\WINDOWS\system32\atrace.dll
2006-08-24 15:52 81,920 --a------ C:\WINDOWS\system32\ils.dll
2006-08-24 15:52 69,632 --a------ C:\WINDOWS\system32\msconf.dll
2006-08-24 15:52 679,424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-08-24 15:52 67,584 --a------ C:\WINDOWS\system32\srclient.dll
2006-08-24 15:52 382,464 --a------ C:\WINDOWS\system32\qmgr.dll
2006-08-24 15:52 34,560 --a------ C:\WINDOWS\system32\mnmdd.dll
2006-08-24 15:52 280,064 --a------ C:\WINDOWS\system32\mstask.dll
2006-08-24 15:52 28,672 --a------ C:\WINDOWS\system32\nmmkcert.dll
2006-08-24 15:52 252,928 --a------ C:\WINDOWS\system32\msoeacct.dll
2006-08-24 15:52 242,176 --a------ C:\WINDOWS\system32\srrstr.dll
2006-08-24 15:52 192,000 --a------ C:\WINDOWS\system32\schedsvc.dll
2006-08-24 15:52 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2006-08-24 15:52 171,008 --a------ C:\WINDOWS\system32\srsvc.dll
2006-08-24 15:52 12,288 --a------ C:\WINDOWS\system32\mstinit.exe
2006-08-24 15:52 105,984 --a------ C:\WINDOWS\system32\msoert2.dll
2006-08-24 15:49 80,896 --a------ C:\WINDOWS\system32\charmap.exe
2006-08-24 15:49 73,216 --a------ C:\WINDOWS\system32\avwav.dll
2006-08-24 15:49 683,520 --a------ C:\WINDOWS\system32\getuname.dll
2006-08-24 15:49 67,072 --a------ C:\WINDOWS\system32\rdshost.exe
2006-08-24 15:49 57,344 --a------ C:\WINDOWS\system32\sol.exe
2006-08-24 15:49 55,808 --a------ C:\WINDOWS\system32\freecell.exe
2006-08-24 15:49 5,632 --a------ C:\WINDOWS\system32\write.exe
2006-08-24 15:49 44,544 --a------ C:\WINDOWS\system32\hticons.dll
2006-08-24 15:49 356,352 --a------ C:\WINDOWS\system32\hypertrm.dll
2006-08-24 15:49 35,840 --a------ C:\WINDOWS\system32\winchat.exe
2006-08-24 15:49 232,960 --a------ C:\WINDOWS\system32\avtapi.dll
2006-08-24 15:49 188,416 --a------ C:\WINDOWS\system32\accwiz.exe
2006-08-24 15:49 16,384 --a------ C:\WINDOWS\system32\avmeter.dll
2006-08-24 15:49 139,776 --a------ C:\WINDOWS\system32\sndvol32.exe
2006-08-24 15:49 133,120 --a------ C:\WINDOWS\system32\sndrec32.exe
2006-08-24 15:49 128,000 --a------ C:\WINDOWS\system32\mshearts.exe
2006-08-24 15:49 120,320 --a------ C:\WINDOWS\system32\winmine.exe
2006-08-24 15:49 114,688 --a------ C:\WINDOWS\system32\calc.exe
2006-08-24 15:49 10,240 --a------ C:\WINDOWS\system32\reset.exe
2006-08-24 15:49 1,237 --a------ C:\WINDOWS\system32\usrlogon.cmd
2006-08-24 15:48 97,792 --a------ C:\WINDOWS\system32\comrepl.dll
2006-08-24 15:48 956,416 --a------ C:\WINDOWS\system32\msdtctm.dll
2006-08-24 15:48 94,720 --a------ C:\WINDOWS\system32\tscfgwmi.dll
2006-08-24 15:48 91,136 --a------ C:\WINDOWS\system32\mtxoci.dll
2006-08-24 15:48 87,176 --a------ C:\WINDOWS\system32\rdpwsx.dll
2006-08-24 15:48 85,504 --a------ C:\WINDOWS\system32\catsrvps.dll
2006-08-24 15:48 655,360 --a------ C:\WINDOWS\system32\mstscax.dll
2006-08-24 15:48 625,152 --a------ C:\WINDOWS\system32\catsrvut.dll
2006-08-24 15:48 62,464 --a------ C:\WINDOWS\system32\rdpclip.exe
2006-08-24 15:48 61,440 --a------ C:\WINDOWS\system32\remotepg.dll
2006-08-24 15:48 60,416 --a------ C:\WINDOWS\system32\colbact.dll
2006-08-24 15:48 6,656 --a------ C:\WINDOWS\system32\wuauserv.dll
2006-08-24 15:48 6,144 --a------ C:\WINDOWS\system32\msdtc.exe
2006-08-24 15:48 58,880 --a------ C:\WINDOWS\system32\msdtclog.dll
2006-08-24 15:48 58,880 --a------ C:\WINDOWS\system32\licwmi.dll
2006-08-24 15:48 56,320 --a------ C:\WINDOWS\system32\servdeps.dll
2006-08-24 15:48 540,160 --a------ C:\WINDOWS\system32\comuid.dll
2006-08-24 15:48 54,272 --a------ C:\WINDOWS\system32\stclient.dll
2006-08-24 15:48 539,136 --a------ C:\WINDOWS\system32\spider.exe
2006-08-24 15:48 5,120 --a------ C:\WINDOWS\system32\dcomcnfg.exe
2006-08-24 15:48 498,688 --a------ C:\WINDOWS\system32\clbcatq.dll
2006-08-24 15:48 44,544 --a------ C:\WINDOWS\system32\tscupgrd.exe
2006-08-24 15:48 426,496 --a------ C:\WINDOWS\system32\msdtcprx.dll
2006-08-24 15:48 412,672 --a------ C:\WINDOWS\system32\mstsc.exe
2006-08-24 15:48 4,608 --a------ C:\WINDOWS\system32\rdpcfgex.dll
2006-08-24 15:48 4,096 --a------ C:\WINDOWS\system32\mtxex.dll
2006-08-24 15:48 39,424 --a------ C:\WINDOWS\system32\cfgbkend.dll
2006-08-24 15:48 346,624 --a------ C:\WINDOWS\system32\mspaint.exe
2006-08-24 15:48 33,792 --a------ C:\WINDOWS\system32\regini.exe
2006-08-24 15:48 297,472 --a------ C:\WINDOWS\system32\termsrv.dll
2006-08-24 15:48 25,600 --a------ C:\WINDOWS\system32\comaddin.dll
2006-08-24 15:48 25,088 --a------ C:\WINDOWS\system32\mtxlegih.dll
2006-08-24 15:48 225,792 --a------ C:\WINDOWS\system32\catsrv.dll
2006-08-24 15:48 22,528 --a------ C:\WINDOWS\system32\qwinsta.exe
2006-08-24 15:48 22,528 --a------ C:\WINDOWS\system32\msg.exe
2006-08-24 15:48 20,480 --a------ C:\WINDOWS\system32\qprocess.exe
2006-08-24 15:48 20,480 --a------ C:\WINDOWS\system32\mtxdm.dll
2006-08-24 15:48 19,968 --a------ C:\WINDOWS\system32\rdpsnd.dll
2006-08-24 15:48 189,440 --a------ C:\WINDOWS\system32\cmprops.dll
2006-08-24 15:48 17,920 --a------ C:\WINDOWS\system32\tsshutdn.exe
2006-08-24 15:48 17,920 --a------ C:\WINDOWS\system32\mmfutil.dll
2006-08-24 15:48 17,408 --a------ C:\WINDOWS\system32\qappsrv.exe
2006-08-24 15:48 161,280 --a------ C:\WINDOWS\system32\msdtcuiu.dll
2006-08-24 15:48 16,384 --a------ C:\WINDOWS\system32\tskill.exe
2006-08-24 15:48 16,384 --a------ C:\WINDOWS\system32\rwinsta.exe
2006-08-24 15:48 15,872 --a------ C:\WINDOWS\system32\logoff.exe
2006-08-24 15:48 15,872 --a------ C:\WINDOWS\system32\cdmodem.dll
2006-08-24 15:48 15,360 --a------ C:\WINDOWS\system32\tsdiscon.exe
2006-08-24 15:48 15,360 --a------ C:\WINDOWS\system32\tscon.exe
2006-08-24 15:48 15,360 --a------ C:\WINDOWS\system32\shadow.exe
2006-08-24 15:48 147,968 --a------ C:\WINDOWS\system32\rdchost.dll
2006-08-24 15:48 147,456 --a------ C:\WINDOWS\system32\comsnap.dll
2006-08-24 15:48 142,848 --a------ C:\WINDOWS\system32\sessmgr.exe
2006-08-24 15:48 13,824 --a------ C:\WINDOWS\system32\rdsaddin.exe
2006-08-24 15:48 124,928 --a------ C:\WINDOWS\system32\mplay32.exe
2006-08-24 15:48 124,696 --a------ C:\WINDOWS\system32\wuauclt.exe
2006-08-24 15:48 110,080 --a------ C:\WINDOWS\system32\clbcatex.dll
2006-08-24 15:48 11,776 --a------ C:\WINDOWS\system32\xolehlp.dll
2006-08-24 15:48 11,264 --a------ C:\WINDOWS\system32\icaapi.dll
2006-08-24 15:48 104,448 --a------ C:\WINDOWS\system32\clipbrd.exe
2006-08-24 15:48 1,343,768 --a------ C:\WINDOWS\system32\wuaueng.dll
2006-08-24 15:48 1,267,200 --a------ C:\WINDOWS\system32\comsvcs.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-30 09:23 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-30 09:19 -------- d-------- C:\Programme\Symantec AntiVirus
2006-08-30 09:02 -------- d-------- C:\Programme\CleanUp!
2006-08-30 08:55 -------- d-------- C:\Programme\freeCommander2006
2006-08-30 08:23 -------- d---s---- C:\Dokumente und Einstellungen\HFennert\Anwendungsdaten\Microsoft
2006-08-29 15:01 -------- d-------- C:\Dokumente und Einstellungen\HFennert\Anwendungsdaten\Lavasoft
2006-08-29 15:00 -------- d-------- C:\Programme\Lavasoft
2006-08-29 14:21 -------- d-------- C:\Programme\Stgr32
2006-08-29 13:48 -------- d-------- C:\Programme\Spybot
2006-08-29 13:34 -------- d-------- C:\Programme\Unlocker
2006-08-29 13:09 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-29 12:35 -------- d-------- C:\Programme\Common Files
2006-08-29 09:22 -------- d-------- C:\Programme\WizFlow
2006-08-29 08:41 -------- d-------- C:\Programme\Visustin
2006-08-28 14:49 -------- d-------- C:\Programme\NUERNBERGER
2006-08-28 14:47 -------- d-------- C:\Dokumente und Einstellungen\HFennert\Anwendungsdaten\AdobeUM
2006-08-28 14:44 -------- d-------- C:\Programme\java
2006-08-28 14:43 -------- d-------- C:\Programme\Gemeinsame Dateien\Java
2006-08-28 12:10 -------- d-------- C:\Dokumente und Einstellungen\HFennert\Anwendungsdaten\foobar2000
2006-08-28 11:24 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-08-28 09:59 -------- d-------- C:\Programme\PGP
2006-08-25 16:29 -------- d-------- C:\Programme\Brownie
2006-08-25 16:29 -------- d-------- C:\Programme\Brother
2006-08-25 15:24 -------- d-------- C:\Programme\DFš-Speed
2006-08-25 14:55 -------- d-------- C:\Programme\sevList32
2006-08-25 14:54 -------- d-------- C:\Programme\sevXPCtl
2006-08-25 14:53 -------- d-------- C:\Programme\sevCmd32
2006-08-25 14:53 -------- d-------- C:\Programme\sevClb32
2006-08-25 14:52 -------- d-------- C:\Programme\sevEin20
2006-08-25 14:52 -------- d-------- C:\Programme\sevDataGrid2
2006-08-25 14:50 -------- d-------- C:\Programme\sevMenuXP2
2006-08-25 14:49 -------- d-------- C:\Programme\ADOGridView
2006-08-25 14:32 -------- d-------- C:\Programme\PhotoFiltre
2006-08-25 14:22 -------- d-------- C:\Programme\Microsoft Visual Studio
2006-08-25 14:13 -------- d-------- C:\Dokumente und Einstellungen\HFennert\Anwendungsdaten\Macromedia
2006-08-25 13:59 -------- d-------- C:\Programme\VBScroll
2006-08-25 13:59 -------- d-------- C:\Dokumente und Einstellungen\HFennert\Anwendungsdaten\Mozilla
2006-08-25 13:58 -------- d-------- C:\Programme\PSPad
2006-08-25 13:58 -------- d-------- C:\Programme\Miranda
2006-08-25 13:46 -------- d-------- C:\Programme\Web Publish
2006-08-25 13:45 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-25 13:45 -------- d-------- C:\Programme\Gemeinsame Dateien\DESIGNER
2006-08-25 13:16 -------- d-------- C:\Programme\Sound Control
2006-08-25 13:15 -------- d-------- C:\Programme\audiograbber
2006-08-25 13:13 -------- d-------- C:\Programme\STiconED
2006-08-25 12:15 -------- d-------- C:\Programme\CSpace
2006-08-25 11:39 -------- d-------- C:\Programme\Notes
2006-08-25 11:33 -------- d-------- C:\Programme\Messenger
2006-08-25 11:29 -------- d-------- C:\Programme\Internet Explorer
2006-08-25 11:26 -------- d-------- C:\Programme\Windows Media Player
2006-08-25 11:17 -------- d-------- C:\Dokumente und Einstellungen\HFennert\Anwendungsdaten\DeepBurner
2006-08-25 11:12 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-08-25 11:01 -------- d-------- C:\Programme\Outlook Express
2006-08-25 11:01 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-08-25 10:59 -------- d-------- C:\Programme\T„gliche Losungen
2006-08-25 10:57 30688 --a------ C:\WINDOWS\system32\drivers\tifsfilt.sys
2006-08-25 10:57 249152 --a------ C:\WINDOWS\system32\drivers\timntr.sys
2006-08-25 10:56 96320 --a------ C:\WINDOWS\system32\drivers\snapman.sys
2006-08-25 10:56 -------- d-------- C:\Programme\Gemeinsame Dateien\Acronis
2006-08-25 10:56 -------- d-------- C:\Programme\Acronis
2006-08-25 10:43 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-08-25 10:38 -------- d-------- C:\Programme\AlfaClock
2006-08-25 10:34 -------- d-------- C:\Programme\foobar2000
2006-08-25 10:32 -------- d-------- C:\Programme\DeepBurner
2006-08-25 10:29 -------- d-------- C:\Programme\Defrag Professional
2006-08-25 10:27 -------- d-------- C:\Programme\FoxitReader
2006-08-25 10:22 -------- d-------- C:\Programme\7-Zip
2006-08-25 09:49 -------- d-------- C:\Programme\Symantec
2006-08-24 17:32 -------- d-------- C:\Programme\Movie Maker
2006-08-24 17:12 -------- d-------- C:\Programme\Windows NT
2006-08-24 17:12 -------- d-------- C:\Programme\NetMeeting
2006-08-24 16:32 -------- d-------- C:\Dokumente und Einstellungen\HFennert\Anwendungsdaten\Adobe
2006-08-24 16:30 -------- d-------- C:\Programme\Adobe
2006-08-24 16:29 62 --ahs---- C:\Dokumente und Einstellungen\HFennert\Anwendungsdaten\desktop.ini
2006-08-24 16:29 -------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2006-08-24 16:29 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-08-24 16:23 -------- d-------- C:\Programme\Microsoft.NET
2006-08-24 16:21 -------- d-------- C:\Programme\Microsoft Works
2006-08-24 16:21 -------- d-------- C:\Programme\Microsoft Office
2006-08-24 16:15 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-08-24 16:15 -------- d-------- C:\Dokumente und Einstellungen\HFennert\Anwendungsdaten\TuneUp Software
2006-08-24 16:14 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-08-24 16:12 -------- d--h----- C:\Programme\Uninstall Information
2006-08-24 16:12 -------- d-------- C:\Dokumente und Einstellungen\HFennert\Anwendungsdaten\Identities
2006-08-24 16:01 -------- d-------- C:\Programme\xerox
2006-08-24 16:01 -------- d-------- C:\Programme\microsoft frontpage
2006-08-24 15:55 -------- d-------- C:\Programme\Online-Dienste
2006-08-24 15:53 -------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2006-08-24 15:53 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-08-24 15:50 -------- d-------- C:\Programme\ComPlus Applications
2006-08-24 15:49 -------- d--h----- C:\Programme\WindowsUpdate
2006-08-24 15:49 -------- d-------- C:\Programme\Online Services
2006-08-24 15:49 -------- d-------- C:\Programme\MSN Gaming Zone
2006-08-24 15:49 -------- d-------- C:\Programme\MSN
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"vptray"="C:\\PROGRA~1\\SYMANT~1\\VPTray.exe"
"TrueImageMonitor.exe"="C:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe"
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"prisma desktop connector"="\"C:\\PROGRA~1\\NUERNB~1\\prismaJC\\pjc_dc.lnk\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlfaClock Classic"="\"C:\\Programme\\AlfaClock\\AlfaClock.exe\" /startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:000000fd
"NoDriveAutoRun"=dword:03ffffff
"NoRecentDocsHistory"=dword:00000001
"NoUserNameInStartMenu"=dword:00000001
"CDRAutoRun"=dword:00000000
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,cb,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,d2,03,00,00,23,00,00,00,1c,01,00,00,27,01,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Rsoo]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="regedit"
"hkey"="HKCU"
"command"="\"C:\\PROGRA~1\\COMMON~1\\SKS~1\\regedit.exe\" -vt yazr"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbayy
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winius32


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\Spybot - Search & Destroy - Scheduled Task.job

Completion time: 30.08.2006 9:59:26.10
ComboFix.txt


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\WINDOWS\system32

30.08.2006 10:01 679.995 yyabc.ini2
30.08.2006 09:18 13.588 wpa.dbl
30.08.2006 09:13 582 OODBS.lor
30.08.2006 09:11 143 mcrh.tmp
30.08.2006 09:11 679.692 yyabc.ini
30.08.2006 00:16 679.858 yyabc.bak2
29.08.2006 14:51 13.588 wpa.bak
29.08.2006 14:46 680.082 yyabc.tmp
29.08.2006 12:16 679.225 yyabc.bak1
29.08.2006 12:14 573.492 cbayy.dll
29.08.2006 12:07 40.973 awtqpqq.dll
29.08.2006 12:07 18.944 winius32.dll
28.08.2006 14:44 3.527 jupdate-1.5.0_03-b07.log
25.08.2006 16:29 30 brss01a.ini
25.08.2006 16:29 184 brsvc01a.bsi
25.08.2006 16:07 53.248 sevClb32.oca
25.08.2006 16:07 46.592 sevMenuXP2.oca
25.08.2006 16:07 71.680 sevCmd32.oca
25.08.2006 16:07 157.696 sevDataGrid2.oca
25.08.2006 16:07 57.344 ADOGridView.oca
25.08.2006 16:07 241.664 COMCTL32.oca
25.08.2006 16:07 29.184 MSINET.oca
25.08.2006 16:07 91.136 MSHFLXGD.oca
25.08.2006 16:07 36.352 MSADODC.oca
25.08.2006 16:07 36.352 COMCT332.oca
25.08.2006 16:07 70.656 MSDATLST.oca
25.08.2006 16:07 66.560 MSDATGRD.oca
25.08.2006 16:07 49.664 MSMASK32.oca
25.08.2006 16:07 25.600 MSCOMM32.oca
25.08.2006 16:07 64.000 MCI32.oca
25.08.2006 16:07 43.520 MSMAPI32.oca
25.08.2006 16:07 167.424 MSCHRT20.oca
25.08.2006 16:07 65.024 RICHTX32.oca
25.08.2006 16:07 136.192 MSCOMCT2.oca
25.08.2006 16:07 267.776 MSCOMCTL.oca
25.08.2006 16:07 36.352 COMDLG32.oca
25.08.2006 16:07 77.312 MSFLXGRD.oca
25.08.2006 16:07 42.496 MSRDC20.oca
25.08.2006 16:07 173.056 sevXPCtl.oca
25.08.2006 16:07 122.880 sevEin20.oca
25.08.2006 12:14 311.604 perfh009.dat
25.08.2006 12:14 39.992 perfc009.dat
25.08.2006 12:14 316.594 perfh007.dat
25.08.2006 12:14 48.156 perfc007.dat
25.08.2006 12:14 723.744 PerfStringBackup.INI
25.08.2006 12:10 241.536 FNTCACHE.DAT
25.08.2006 11:43 995 notespis.inf
25.08.2006 07:57 245 spupdwxp.log
24.08.2006 16:38 0 h323log.txt
24.08.2006 16:12 25.065 wmpscheme.xml
24.08.2006 16:07 261 $winnt$.inf
24.08.2006 15:59 2.951 CONFIG.NT
24.08.2006 15:59 16.832 amcompat.tlb
24.08.2006 15:59 23.392 nscompat.tlb
24.08.2006 15:55 488 logonui.exe.manifest
24.08.2006 15:55 488 WindowsLogon.manifest
24.08.2006 15:55 749 sapi.cpl.manifest
24.08.2006 15:55 749 wuaucpl.cpl.manifest
24.08.2006 15:55 749 nwc.cpl.manifest
24.08.2006 15:55 749 cdplayer.exe.manifest
24.08.2006 15:55 749 ncpa.cpl.manifest
24.08.2006 15:50 21.740 emptyregdb.dat
09.08.2006 12:03 8.325.544 MRT.exe

2189 Datei(en) 370.961.111 Bytes
0 Verzeichnis(se), 14.239.571.968 Bytes frei

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\DOKUME~1\HFennert\LOKALE~1\Temp


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\WINDOWS

30.08.2006 09:53 213 Brownie.ini
30.08.2006 09:16 0 0.log
30.08.2006 09:16 512 randseed.rnd
30.08.2006 09:16 734.192 WindowsUpdate.log
30.08.2006 09:14 2.048 bootstat.dat
30.08.2006 08:50 95 vbaddin.ini
30.08.2006 08:20 487 win.ini
30.08.2006 08:20 227 system.ini
29.08.2006 15:14 355.456 setupapi.log
29.08.2006 14:51 20.378 setuplog.txt
29.08.2006 10:50 50 wiaservc.log
29.08.2006 10:50 216 wiadebug.log
29.08.2006 08:50 181 INSTRUK.INI
29.08.2006 08:41 286.720 Setup1.exe
28.08.2006 14:59 4.691 pjcinst.LOG
28.08.2006 14:48 282 nova.ini
28.08.2006 14:48 1.901 pjcInst.prt
28.08.2006 14:42 1.642 pjcinst.ini
28.08.2006 12:11 1.219 wmsetup.log
28.08.2006 10:43 40 opt_7050.ini
28.08.2006 10:43 70 brmx2001.ini
28.08.2006 10:00 187 PGP_sdk.prf
28.08.2006 10:00 6.241 PGP_Client.prf
28.08.2006 09:59 2.255 PGPMacBinaryMappings.txt
25.08.2006 16:29 0 BROHL705.INI
25.08.2006 16:29 40 BRDIAG.INI
25.08.2006 16:29 16.408 HL-7050.INI
25.08.2006 16:29 141 BRVIDEO.INI
25.08.2006 16:29 52 BRPP2KA.INI
25.08.2006 16:29 416 BRWMARK.INI
25.08.2006 16:06 16.742 dasetup.log
25.08.2006 15:58 74.752 ST6UNST.EXE
25.08.2006 15:56 315 ST6UNST.000
25.08.2006 13:59 0 nsreg.dat
25.08.2006 13:49 126 mdm.ini
25.08.2006 13:49 4.346 ODBCINST.INI
25.08.2006 13:49 660 ODBC.INI
25.08.2006 13:46 1.309 vb.ini
25.08.2006 13:46 0 wplog.txt
25.08.2006 12:12 29.878 spupdsvc.log
25.08.2006 12:00 493.055 iis6.log
25.08.2006 12:00 134.291 comsetup.log
25.08.2006 12:00 80.613 ntdtcsetup.log
25.08.2006 12:00 181.723 tsoc.log
25.08.2006 12:00 19.509 tabletoc.log
25.08.2006 12:00 1.374 imsins.log
25.08.2006 12:00 20.760 ocmsn.log
25.08.2006 12:00 66.677 netfxocm.log
25.08.2006 12:00 27.860 medctroc.Log
25.08.2006 12:00 204.537 ocgen.log
25.08.2006 12:00 19.390 msgsocm.log
25.08.2006 12:00 373.679 FaxSetup.log
25.08.2006 12:00 132.984 msmqinst.log
25.08.2006 12:00 15.832 updspapi.log
25.08.2006 11:59 1.374 imsins.BAK
25.08.2006 11:56 28.205 KB917734.log
25.08.2006 11:43 54 lotus.ini
25.08.2006 11:43 26.518 WgaNotify.log
25.08.2006 11:20 2.072 vminst.log
25.08.2006 08:06 1.174 OEWABLog.txt
25.08.2006 07:58 360 DtcInstall.log
25.08.2006 07:58 316.640 WMSysPr9.prx
25.08.2006 07:54 435.482 svcpack.log
24.08.2006 17:37 200 cmsetacl.log
24.08.2006 17:36 1.330 sessmgr.setup.log
24.08.2006 16:35 0 Sti_Trace.log
24.08.2006 16:29 1.348 regopt.log
24.08.2006 16:27 0 setuperr.log
24.08.2006 16:09 8.192 REGLOCS.OLD
24.08.2006 16:08 177.621 setupact.log
24.08.2006 15:59 0 control.ini
24.08.2006 15:59 299.552 WMSysPrx.prx
24.08.2006 15:57 280 Windows Update.log
24.08.2006 15:55 749 WindowsShell.Manifest

116 Datei(en) 9.439.694 Bytes
0 Verzeichnis(se), 14.239.584.256 Bytes frei

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\

30.08.2006 10:02 0 sys.txt
30.08.2006 10:02 5.957 system.txt
30.08.2006 10:01 130 systemtemp.txt
30.08.2006 10:01 106.959 system32.txt
30.08.2006 09:59 32.557 ComboFix.txt
30.08.2006 09:14 519.626.752 hiberfil.sys
30.08.2006 09:13 780.140.544 pagefile.sys
30.08.2006 08:20 368 boot.ini
29.08.2006 14:09 404 avenger.txt
24.08.2006 17:00 47.564 NTDETECT.COM
24.08.2006 17:00 251.184 ntldr
24.08.2006 15:59 0 MSDOS.SYS
24.08.2006 15:59 0 CONFIG.SYS
24.08.2006 15:59 0 IO.SYS
24.08.2006 15:59 0 AUTOEXEC.BAT
29.08.2002 14:00 4.952 bootfont.bin
16 Datei(en) 1.300.217.371 Bytes
0 Verzeichnis(se), 14.239.580.160 Bytes frei

#147 age.ef

1.
vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html
poste den report

2,
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Rsoo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbayy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winius32

Files to delete:
C:\WINDOWS\system32\yyabc.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\yyabc.ini
C:\WINDOWS\system32\yyabc.bak2
C:\WINDOWS\system32\yyabc.tmp
C:\WINDOWS\system32\yyabc.bak1
C:\WINDOWS\system32\cbayy.dll
C:\WINDOWS\system32\awtqpqq.dll
C:\WINDOWS\system32\winius32.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#148 Hallo Sabina,
hier die erstellten logs


VundoFix V6.1.2

Checking Java version...

Sun Java not detected
Scan started at 12:33:03 30.08.2006

Listing files found while scanning....

C:\WINDOWS\system32\awtqpqq.dll
C:\WINDOWS\system32\cbayy.dll
C:\WINDOWS\system32\yyabc.ini
C:\WINDOWS\system32\yyabc.bak1
C:\WINDOWS\system32\yyabc.bak2
C:\WINDOWS\system32\yyabc.ini2
C:\WINDOWS\system32\yyabc.tmp

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtqpqq.dll
C:\WINDOWS\system32\awtqpqq.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\cbayy.dll
C:\WINDOWS\system32\cbayy.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\yyabc.ini
C:\WINDOWS\system32\yyabc.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\yyabc.bak1
C:\WINDOWS\system32\yyabc.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\yyabc.bak2
C:\WINDOWS\system32\yyabc.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\yyabc.ini2
C:\WINDOWS\system32\yyabc.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\yyabc.tmp
C:\WINDOWS\system32\yyabc.tmp Has been deleted!

Performing Repairs to the registry.
Done!

================================================================================

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wfevdglt

*******************

Script file located at: \??\C:\WINDOWS\system32\xuevahwi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\yyabc.ini2 not found!
Deletion of file C:\WINDOWS\system32\yyabc.ini2 failed!

Could not process line:
C:\WINDOWS\system32\yyabc.ini2
Status: 0xc0000034

File C:\WINDOWS\system32\mcrh.tmp deleted successfully.


File C:\WINDOWS\system32\yyabc.ini not found!
Deletion of file C:\WINDOWS\system32\yyabc.ini failed!

Could not process line:
C:\WINDOWS\system32\yyabc.ini
Status: 0xc0000034



File C:\WINDOWS\system32\yyabc.bak2 not found!
Deletion of file C:\WINDOWS\system32\yyabc.bak2 failed!

Could not process line:
C:\WINDOWS\system32\yyabc.bak2
Status: 0xc0000034



File C:\WINDOWS\system32\yyabc.tmp not found!
Deletion of file C:\WINDOWS\system32\yyabc.tmp failed!

Could not process line:
C:\WINDOWS\system32\yyabc.tmp
Status: 0xc0000034



File C:\WINDOWS\system32\yyabc.bak1 not found!
Deletion of file C:\WINDOWS\system32\yyabc.bak1 failed!

Could not process line:
C:\WINDOWS\system32\yyabc.bak1
Status: 0xc0000034



File C:\WINDOWS\system32\cbayy.dll not found!
Deletion of file C:\WINDOWS\system32\cbayy.dll failed!

Could not process line:
C:\WINDOWS\system32\cbayy.dll
Status: 0xc0000034



File C:\WINDOWS\system32\awtqpqq.dll not found!
Deletion of file C:\WINDOWS\system32\awtqpqq.dll failed!

Could not process line:
C:\WINDOWS\system32\awtqpqq.dll
Status: 0xc0000034

File C:\WINDOWS\system32\winius32.dll deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Rsoo deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbayy not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbayy failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winius32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


================================================================================


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\Windows\System32\Com

25.08.2006 11:21 <DIR> .
25.08.2006 11:21 <DIR> ..
26.07.2005 06:39 195.072 comadmin.dll
29.08.2002 14:00 61.440 comempty.dat
29.08.2002 14:00 77.348 comexp.msc
04.08.2004 00:57 9.728 comrepl.exe
29.08.2002 14:00 5.120 comrereg.exe
29.08.2002 14:00 19.456 mtsadmin.tlb
6 Datei(en) 368.164 Bytes
2 Verzeichnis(se), 14.231.404.544 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\WINDOWS\system32

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 18:52 697 DirectAnimation Java Classes.osd
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
30.06.2003 22:41 1.689 WMV9VCM.inf
3 Datei(en) 3.548 Bytes
0 Verzeichnis(se), 14.231.400.448 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\Programme\Common Files

29.08.2006 12:35 <DIR> .
29.08.2006 12:35 <DIR> ..
25.08.2006 14:23 <DIR> System
29.08.2006 12:41 <DIR> ??sks
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 14.231.400.448 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\Dokumente und Einstellungen\HFennert

30.08.2006 12:57 <DIR> .
30.08.2006 12:57 <DIR> ..
28.08.2006 15:59 <DIR> Application Data
30.08.2006 13:02 <DIR> Desktop
29.08.2006 12:10 <DIR> Favoriten
30.08.2006 12:57 1.572.864 NTUSER.DAT
28.08.2006 14:50 <DIR> prisma
24.08.2006 16:29 <DIR> Startmen�
25.08.2006 09:38 <DIR> WINDOWS
25.08.2006 12:17 <DIR> _CSpace
25.08.2006 12:17 <DIR> _CSpaceProfiles
1 Datei(en) 1.572.864 Bytes
10 Verzeichnis(se), 14.231.400.448 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Temp

30.08.2006 12:56 <DIR> .
30.08.2006 12:56 <DIR> ..
30.08.2006 12:47 <DIR> c.programme.notes.Lotus.Data
30.08.2006 11:45 <DIR> Excel8.0
30.08.2006 13:01 <DIR> hsperfdata_HFennert
30.08.2006 11:27 0 i2w4F.tmp
30.08.2006 11:21 <DIR> LDVPScan
30.08.2006 12:14 <DIR> plugtmp
30.08.2006 09:59 <DIR> VBE
30.08.2006 12:32 32.768 ~DF9EA1.tmp
2 Datei(en) 32.768 Bytes
8 Verzeichnis(se), 14.231.400.448 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\WINDOWS\Temp

30.08.2006 13:01 <DIR> .
30.08.2006 13:01 <DIR> ..
30.08.2006 09:22 <DIR> c.programme.notes.Lotus.Data
30.08.2006 11:31 33.195 idd59.tmp.exe
30.08.2006 11:55 33.195 idd67.tmp.exe
30.08.2006 12:17 33.195 idd72.tmp.exe
30.08.2006 12:41 33.195 idd8D.tmp.exe
30.08.2006 13:00 255 WGAErrLog.txt
30.08.2006 12:56 409 WGANotify.settings
30.08.2006 10:22 40.448 win1E.tmp.exe
30.08.2006 10:42 0 win26.tmp
30.08.2006 10:44 40.448 win27.tmp.exe
30.08.2006 11:04 0 win2B.tmp
30.08.2006 11:06 0 win35.tmp
30.08.2006 11:28 0 win57.tmp
30.08.2006 11:30 1.043 win58.tmp
30.08.2006 11:50 0 win64.tmp
30.08.2006 11:53 0 win65.tmp
30.08.2006 12:15 0 win6E.tmp
30.08.2006 12:37 0 win8A.tmp
30.08.2006 12:39 0 win8B.tmp
30.08.2006 09:42 0 winD.tmp
30.08.2006 10:02 0 winE.tmp
20 Datei(en) 215.383 Bytes
3 Verzeichnis(se), 14.231.396.352 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30



Verzeichnis von C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Anwendungsdaten

28.08.2006 14:47 <DIR> Adobe
25.08.2006 08:06 64.376 GDIPFONTCACHEV1.DAT
25.08.2006 13:41 <DIR> Identities
29.08.2006 10:48 <DIR> Microsoft
25.08.2006 13:59 <DIR> Mozilla
25.08.2006 09:52 <DIR> Symantec
28.08.2006 14:42 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150030}
1 Datei(en) 64.376 Bytes
6 Verzeichnis(se), 14.231.392.256 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\Dokumente und Einstellungen\HFennert\Anwendungsdaten

24.08.2006 16:32 <DIR> Adobe
28.08.2006 14:47 <DIR> AdobeUM
25.08.2006 11:17 <DIR> DeepBurner
28.08.2006 12:10 <DIR> foobar2000
24.08.2006 16:12 <DIR> Identities
29.08.2006 15:01 <DIR> Lavasoft
25.08.2006 14:13 <DIR> Macromedia
25.08.2006 13:59 <DIR> Mozilla
24.08.2006 16:15 <DIR> TuneUp Software
0 Datei(en) 0 Bytes
9 Verzeichnis(se), 14.231.392.256 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

28.08.2006 10:26 <DIR> Acronis
24.08.2006 16:31 <DIR> Adobe
29.08.2006 13:52 <DIR> Spybot - Search & Destroy
25.08.2006 09:47 <DIR> Symantec
24.08.2006 16:14 <DIR> TuneUp Software
25.08.2006 11:39 <DIR> Windows Genuine Advantage
0 Datei(en) 0 Bytes
6 Verzeichnis(se), 14.231.392.256 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\Programme\Gemeinsame Dateien

29.08.2006 13:09 <DIR> .
29.08.2006 13:09 <DIR> ..
25.08.2006 10:56 <DIR> Acronis
28.08.2006 11:24 <DIR> Adobe
25.08.2006 13:45 <DIR> DESIGNER
24.08.2006 15:53 <DIR> Dienste
25.08.2006 10:43 <DIR> InstallShield
28.08.2006 14:43 <DIR> Java
25.08.2006 13:45 <DIR> Microsoft Shared
24.08.2006 15:53 <DIR> MSSoap
24.08.2006 16:29 <DIR> ODBC
24.08.2006 16:29 <DIR> SpeechEngines
25.08.2006 11:12 <DIR> Symantec Shared
25.08.2006 11:01 <DIR> System
24.08.2006 16:14 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
15 Verzeichnis(se), 14.231.392.256 Bytes frei

#149 0.
erstelle eine neu.bat - poste den text (alles bishergepostete wird wieder erscheinen...ich will nur das hier sehen:

Zitat

cd\
dir "C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Anwendungsdaten\{3248F0A6-6813-11D6-A77B-00B0D0150030}" >>files.txt
notepad files.txt

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
Avenger

Zitat

Files to delete:
C:\WINDOWS\Temp\idd59.tmp.exe
C:\WINDOWS\Temp\idd67.tmp.exe
C:\WINDOWS\Temp\idd72.tmp.exe
C:\WINDOWS\Temp\idd8D.tmp.exe
C:\WINDOWS\Temp\win1E.tmp.exe
C:\WINDOWS\Temp\win26.tmp
C:\WINDOWS\Temp\win27.tmp.exe
C:\WINDOWS\Temp\win2B.tmp
C:\WINDOWS\Temp\win35.tmp
C:\WINDOWS\Temp\win57.tmp
C:\WINDOWS\Temp\win58.tmp
C:\WINDOWS\Temp\win64.tmp
C:\WINDOWS\Temp\win65.tmp
C:\WINDOWS\Temp\win6E.tmp
C:\WINDOWS\Temp\win8A.tmp
C:\WINDOWS\Temp\win8B.tmp
C:\WINDOWS\Temp\winD.tmp
C:\WINDOWS\Temp\winE.tmp
C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Temp\i2w4F.tmp

das musst du im abgesicherten Modus loeschen:

C:\Programme\Common Files\??sks

29.08.2006 12:41 <DIR> ??sks

"command"="\"C:\\PROGRA~1\\COMMON~1\\SKS~1\\regedit.exe

es sind nur hier die Fragezeichen zu sehen, in wirklichkeit sind es kryptische zeichen

Beispiel:




----------------
__________
MfG Sabina

rund um die PC-Sicherheit

#150 Hallo Sabina

in den log-Datein ist nix drin und das Verzeichnis habe ich gelöscht.
In c:\Windows\Temp tummeln sich immernoch diese nervigen dateien

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\WINDOWS\TEMP

30.08.2006 14:07 <DIR> .
30.08.2006 14:07 <DIR> ..
30.08.2006 09:22 <DIR> c.programme.notes.Lotus.Data
30.08.2006 14:00 255 WGAErrLog.txt
30.08.2006 14:03 409 WGANotify.settings
30.08.2006 10:22 40.448 win1E.tmp.exe
30.08.2006 10:42 0 win26.tmp
30.08.2006 10:44 40.448 win27.tmp.exe
30.08.2006 11:04 0 win2B.tmp
30.08.2006 11:06 0 win35.tmp
30.08.2006 11:28 0 win57.tmp
30.08.2006 11:30 1.043 win58.tmp
30.08.2006 11:50 0 win64.tmp
30.08.2006 11:53 0 win65.tmp
30.08.2006 12:15 0 win6E.tmp
30.08.2006 12:37 0 win8A.tmp
30.08.2006 12:39 0 win8B.tmp
30.08.2006 09:42 0 winD.tmp
30.08.2006 10:02 0 winE.tmp
16 Datei(en) 82.603 Bytes
3 Verzeichnis(se), 14.227.111.936 Bytes frei